14. RoE

Rules of Engagement - Azure Cloud Pentest

Opdracht:

Uitvoeren van een pentest binnen de Microsoft Azure-cloudomgeving van Opdrachtgever, conform de hieronder beschreven Rules of Engagement (RoE) en de vereisten van ISO 27001.

1. Definities

  1. Pentest: Een gecontroleerd onderzoek naar potentiële beveiligingslekken en -risico’s in de Azure-cloudomgeving van Opdrachtgever.

  2. ISO 27001: Internationale norm voor informatiebeveiliging, waarin eisen zijn vastgelegd ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

  3. Rules of Engagement (RoE): De in deze overeenkomst beschreven afspraken en randvoorwaarden die gelden voor de uitvoering van de pentest.

  4. Testomgeving: De systemen, applicaties, netwerken en data die in de scope zijn opgenomen voor de pentest.

2. Doel en Scope van de Pentest

  1. Doel:

  • Het primaire doel is het identificeren van beveiligingslekken, misconfiguraties en verbeterpunten in de Azure-cloudomgeving, met inachtneming van de ISO 27001-vereisten. De resultaten worden gebruikt om de beveiliging te versterken en de compliance te borgen.

  1. Scope:

  • De scope omvat vooraf gedefinieerde componenten (zoals virtuele machines, Azure AD-configuraties, databases, webapplicaties, function apps, subnetten en netwerkinstellingen) binnen de Azure-tenant van Opdrachtgever.

  • Systemen, IP-adressen en/of data die niet expliciet in de scope zijn opgenomen, worden niet getest of aangeraakt.

  • Indien productiesystemen in scope zijn, gebeurt dit binnen strikt afgebakende vensters volgens artikel 7 (Tijdsvensters en Escalatie).

3. Rollen en Verantwoordelijkheden

  1. Opdrachtgever:

  • Maakt de testomgeving beschikbaar, verstrekt de benodigde accounts en autorisaties.

  • Draagt zorg voor de naleving van privacy- en andere relevante wet- en regelgeving binnen de eigen organisatie.

  • Beoordeelt de rapportage en beslist over opvolging van de aanbevelingen.

  1. Pentest-partij (Tester):

  • Voert de pentest uit volgens de RoE en met inachtneming van ISO 27001.

  • Waarborgt de vertrouwelijkheid van alle verkregen gegevens.

  • Rapporteert gevonden kwetsbaarheden zorgvuldig en hanteert een gepaste Responsible Disclosure-benadering.

  1. Security Officer / Management (indien van toepassing):

  • Coördineert de planning, allocatie van middelen en houdt toezicht op naleving van interne (beveiligings)procedures.

  • Monitort de voortgang en stuurt bij indien escalatie nodig is.

4. Toegang en Autorisaties

  1. Accountbeheer:

  • De Pentest-partij krijgt minimaal benodigde rechten (“least privilege”) om relevante tests uit te voeren.

  • Accounts of tokens worden gedeeld via een secure channel (bijv. wachtwoordkluis).

  • Alle verstrekte inloggegevens worden na afronding van de pentest direct ingetrokken ofgewijzigd.

  1. Datatoegang:

  • Wanneer tijdens de test gevoelige data wordt aangetroffen, wordt deze uitsluitend gebruikt om kwetsbaarheden aan te tonen.

  • Er zal geen ongeautoriseerde kopie of verdere verspreiding van data plaatsvinden.

5. Methodologie en Testactiviteiten

  1. Frameworks en Best Practices:

  • De pentest wordt uitgevoerd op basis van best practices en frameworks zoals OWASP, NIST SP 800-115, PTES, CIS Benchmarks voor Azure en aanvullende ISO 27001-controles.

  1. Testvormen:

  • Kan bestaan uit een combinatie van black-, grey-, crystal- of white-box tests, afhankelijk van de gemaakte afspraken en de reikwijdte.

  • Kan bestaan uit een red teaming opdracht, afhankelijk van de gemaakte afspraken en de reikwijdte.

  1. Datahandling en Logging:

  • Logbestanden en bewijsmateriaal worden veilig opgeslagen, versleuteld en alleen gedeeld met geautoriseerde personen.

  • Bewijsmateriaal en rapportages worden conform het interne (en ISO 27001-)retentiebeleid bewaard en daarna veilig vernietigd of gearchiveerd.

6. Communicatie en Incidentmeldingen

  1. Veilige Kanalen:

  • Alle communicatie rond de pentest (tussentijdse bevindingen, escalaties en eindrapport) verloopt via versleutelde mail of een beveiligd samenwerkingsplatform.

  1. Melding van Kritieke Bevindingen:

  • Bij ontdekking van een ernstig beveiligingslek of (mogelijke) ongeplande verstoring, wordt de opdrachtgever onmiddellijk ingelicht via de aangewezen contactpersonen.

  • In geval van een (potentieel) datalek of andere incidenten volgen beide partijen het vooraf overeengekomen incidentresponsplan en de escalatieprocedure.

7. Tijdsvensters en Escalatie

  1. Plan en Blokkade:

  • Niet-disruptieve tests vinden in overleg plaats, idealiter buiten kantoortijden om hinder tot een minimum te beperken.

  • Disruptieve tests (bijv. denial-of-service, brute force op kritieke componenten) worden expliciet afgestemd en bij voorkeur uitgevoerd in een onderhoudsvenster.

  1. Escalatieprotocol:

  • Alle betrokkenen kunnen bij technische of operationele problemen contact opnemen met de vooraf gedefinieerde contactpersonen.

  • Bij ernstige verstoringen wordt direct de Security Officer of het Incident Response Team ingeschakeld (ISO 27001 Annex A.16).

8. Rapportage en Afsluiting

  1. Eindrapport:

  • De Pentest-partij levert een rapportage met bevindingen, risicoclassificaties, aanbevelingen en een managementsamenvatting.

  • Het rapport bevat tevens een mapping naar relevante ISO 27001-controles, zodat Opdrachtgever verbetermaatregelen kan prioriteren.

  1. Verbeterplan:

  • Opdrachtgever beoordeelt de bevindingen en stelt zo nodig een verbeterplan op. De Pentest-partij kan optioneel ondersteuning bieden bij het verhelpen van de kwetsbaarheden.

  1. Afronding:

  • Na acceptatie van het eindrapport en de eventuele verbeteringsvoorstellen beschouwen beide partijen de pentest formeel als afgerond.

  • Alle tijdelijke accounts worden verwijderd of gedeactiveerd en gevoelige gegevens worden vernietigd conform de Retentie- en Vernietigingsrichtlijnen.

9. Juridische Aspecten en Aansprakelijkheid

  1. Geheimhouding:

  • Beide partijen behandelen alle vertrouwelijke informatie, inclusief testresultaten, als bedrijfsgeheim en maken deze niet openbaar zonder schriftelijke toestemming.

  • Deze geheimhoudingsverplichting blijft ook na afloop van de pentest gelden.

  1. Aansprakelijkheid:

  • Opdrachtgever en Pentest-partij stemmen in met beperkte aansprakelijkheid. Pentest-partij zal alle redelijke maatregelen treffen ter voorkoming van onbedoelde schade.

  • Indien desondanks schade ontstaat, wordt gehandeld volgens de contractuele afspraken omtrent aansprakelijkheid en de toepasselijke wetgeving.

  1. Toepasselijk Recht en Geschillen:

  • Op deze overeenkomst is het Nederlands recht van toepassing.

  • Eventuele geschillen worden voorgelegd aan de bevoegde rechtbank in het arrondissement van de vestigingsplaats van Opdrachtgever, tenzij schriftelijk anders is overeengekomen.

10. Overige Bepalingen

  1. Looptijd en Beëindiging:

  • Deze overeenkomst geldt voor de duur van de pentest en eindigt na oplevering van het eindrapport en eventuele nazorgperiode, tenzij anders overeengekomen.

  1. Wijzigingen:

  • Wijzigingen van of aanvullingen op deze overeenkomst zijn slechts geldig indien schriftelijk vastgelegd en door beide partijen ondertekend.

Previous13. Red Teaming Linux OS - KaliNext15. 365 - Pentest

Last updated