Een pentest aanbieder selecteren

De markt wordt overspoeld met leveranciers die 'Autonomous AI pentesting' claimen. Als CISO is het jouw taak om een hoogwaardige service te onderscheiden van een geautomatiseerde datadump.

Gebruik de 'BS-detector' van Woolves:

1. Wie is de 'human in the loop?' Als het gewoon een junior is die een dashboard bewaakt, is het geen pentest.
2. 'Hoe simuleer je 'geketende' exploits?' Vraag naar een voorbeeld uit de praktijk waarbij ze twee 'lage' bevindingen aan elkaar hebben gekoppeld om 'kritieke' toegang te krijgen.
3. 'Zijn jouw trainingsgegevens door mensen gevalideerd?' Een AI die getraind is op data met veel bugs zal alleen maar meer ruis produceren.
4. 'Wat is het percentage valse positieven? Eis een garantie dat de bevindingen handmatig worden geverifieerd.
5. 'Bevat het rapport een analyse van de bedrijfsimpact?' Je moet weten hoe een fout invloed heeft op je inkomsten, niet alleen je CVSS-score.

Het oordeel van Woolves: Koop geen gereedschap. Koop een partnerschap dat uw bedrijfsrisico begrijpt.