Hoe ziet een goed pentest-rapport eruit? En wat staat er echt in?
U heeft een penetratietest laten uitvoeren. Nu ontvangt u het rapport. Maar hoe weet u of het een goed rapport is? En wat verwacht u van een professionele pentester? Dit artikel legt uit wat in een kwalitatief pentest-rapport staat en waar je op moet letten.
De structuur van een goed pentest-rapport
1. Managementsamenvatting (executive summary)
De managementsamenvatting is voor bestuurders en niet-technische beslissers. Een goede samenvatting bevat:
- Wat er getest is (scope) en hoe (aanpak)
- Een overall risicoklasse: kritiek / hoog / midden / laag
- De twee of drie meest kritieke bevindingen in gewone taal
- Een algemene aanbeveling (bijv. “direct patchen” of “planmatig aanpakken”)
Een managementsamenvatting mag nooit meer dan één A4 zijn. Als het er twee zijn, is het geen samenvatting.
2. Testomvang en methodologie
Wat was in scope? Welke aanpak is gebruikt (black/grey/white box)? Welke tools zijn ingezet? Welke standaard is gevolgd (OWASP, PTES, NIST)? Wanneer is de test uitgevoerd? Dit is cruciaal voor herleidbaarheid en audits.
3. Bevindingen — de kern van het rapport
Elke bevinding bevat minimaal:
- Titel — korte, duidelijke naam van de kwetsbaarheid
- Ernst/risicoclassificatie — bij voorkeur een CVSS-score (0–10) plus tekstuele toelichting
- Beschrijving — wat is de kwetsbaarheid technisch gezien?
- Impact — wat kan een aanvaller hiermee doen? Wat is de potentiële schade?
- Reproduceerstappen — hoe kan de bevinding worden gereproduceerd (voor verificatie)?
- Bewijs — screenshots, HTTP-requests/responses, code-fragmenten
- Hersteladvies — concreet en specifiek, niet “implementeer betere beveiliging”
4. Totaaloverzicht bevindingen
Een overzichtstabel met alle bevindingen, gesorteerd op ernst. Dit geeft het development- of securityteam een directe prioriteitenlijst.
5. Positieve bevindingen (optioneel maar waardevol)
Goede rapporten benoemen ook wat wél goed is. Dit geeft context aan de bevindingen en erkent werk dat al gedaan is.
Wat is een CVSS-score?
CVSS (Common Vulnerability Scoring System) is een gestandaardiseerde manier om de ernst van een kwetsbaarheid te scoren op een schaal van 0 tot 10:
- 9.0–10.0 — Kritiek: directe actie vereist
- 7.0–8.9 — Hoog: zo snel mogelijk aanpakken
- 4.0–6.9 — Midden: planmatig oplossen
- 0.1–3.9 — Laag: monitoren en bij gelegenheid verhelpen
Een goede pentester legt uit waarom de score zo is — niet alleen het getal, maar ook de context (bijv. “hoog in het lab, midden in uw specifieke setup omdat…”).
Wat is een slecht rapport?
Let op deze rode vlaggen:
- Alleen geautomatiseerde scanresultaten zonder handmatige verificatie
- Geen reproductiestappen — u kunt de bevinding niet nabootsen
- Geen screenshots of bewijs
- Hersteladvies als “update uw software” zonder specificering welke versie
- Geen managementsamenvatting, of een samenvatting van vier pagina’s
- Rapport is binnen één dag na een “5-daagse pentest” al klaar
FAQ
Mag ik het rapport delen met mijn klanten of auditors?
Ja, maar wees voorzichtig. Een volledig technisch rapport bevat gedetailleerde aanvalsinformatie. Deel de managementsamenvatting met externen en het volledige rapport alleen met uw intern securityteam of auditors onder NDA.
Hoe lang is een rapport geldig?
Een pentest-rapport heeft geen formele vervaldatum, maar de bevindingen zijn contextueel: na significante systeemwijzigingen of na 12 maanden is een hertest aanbevolen. Sommige auditors accepteren rapporten ouder dan 12 maanden niet.
Kan ik een voorbeeldrapport inzien?
MonkeysICT kan een geanonimiseerd voorbeeldrapport tonen tijdens een kennismakingsgesprek. Neem contact op via de offertepagina.
