Penetratietesten & Dreigingsevaluatie
Weet waar u blootgesteld bent — penetratietesten, kwetsbaarheidsanalyses en aanvalsoppervlak-inventarisatie die laten zien wat een aanvaller daadwerkelijk zou vinden, voor organisaties in België en Europa.
Beveiligingsassessments Begrijpen
Een beveiligingsassessment is een gestructureerde evaluatie van de verdedigingen van een organisatie — haar systemen, netwerken, applicaties en processen — om zwakke plekken te identificeren die door een aanvaller kunnen worden uitgebuit. Het doel is niet het genereren van een lijst met CVE's. Het is het bieden van een eerlijk, op bewijs gebaseerd beeld van wat een aanvaller zou kunnen bereiken gezien uw huidige beveiligingshouding.
ForgeWork levert penetratietesten en dreigingsevaluatiediensten aan organisaties in België en Europa.
Assessments bestaan op een spectrum. Aan de ene kant voeren geautomatiseerde kwetsbaarheidsscanners brede controles uit tegen bekende signatures en configuratieproblemen. Aan de andere kant simuleren volledige red team opdrachten een vastberaden tegenstander gedurende weken of maanden, waarbij niet alleen technische maatregelen worden getest maar ook detectiecapaciteiten, menselijke reacties en organisatorische besluitvorming onder druk.
Waar uw organisatie op dat spectrum moet zitten, hangt af van uw volwassenheid, dreigingsmodel en regelgevende verplichtingen. Een organisatie die nooit een kwetsbaarheidsanalyse heeft uitgevoerd, moet daar beginnen — niet meteen naar een red team opdracht springen. Omgekeerd heeft een volwassen organisatie met een goed bemand SOC en regelmatig gepatchte infrastructuur weinig aan weer een geautomatiseerde scan; zij hebben vijandige simulatie nodig die hun detectie- en response-capaciteiten test aan de grens van waar ze zich op hebben voorbereid.
Het assessmentlandschap wordt ook geplaagd door verkeerd gebruikte terminologie. "Penetratietest" wordt vaak toegepast op opdrachten die eigenlijk geautomatiseerde scans zijn met een gebrandmerkt PDF-rapport. Het begrijpen van de verschillen is belangrijk, omdat elk type assessment andere vragen beantwoordt, andere bedragen kost en in andere stadia van beveiligingsvolwassenheid gepast is.
Waarom Assessments Belangrijk Zijn
Organisaties bevinden zich in een staat van voortdurende verandering — nieuwe systemen uitgerold, configuraties gewijzigd, werknemers ingewerkt, applicaties bijgewerkt, cloudbronnen ingericht. Elke verandering kan kwetsbaarheden introduceren. Assessments bieden periodieke realiteitschecks: een momentopname van uw daadwerkelijke beveiligingshouding, gemeten tegen wat een aanvaller zou tegenkomen.
Zonder regelmatige assessments opereren organisaties op aannames. Ze nemen aan dat hun firewallregels correct zijn, hun patches actueel zijn, hun cloudconfiguraties best practices volgen en hun webapplicaties invoer veilig verwerken. Assessments vervangen aannames door bewijs. Soms bevestigt het bewijs dat alles goed werkt. Vaker onthult het lacunes waarvan de organisatie niet wist dat ze bestonden — lacunes die een aanvaller uiteindelijk zou vinden.
Typen Assessments
De volgende tabel geeft een overzicht van de belangrijkste assessmenttypen, hun methodologie en waarvoor ze het best geschikt zijn. Het begrijpen van deze onderscheidingen is essentieel voor het selecteren van de juiste opdracht en het stellen van passende verwachtingen.
| Type | Aanpak | Diepte | Duur | Best Geschikt Voor |
|---|---|---|---|---|
| Kwetsbaarheidsscan | Geautomatiseerde tools scannen systemen tegen bekende kwetsbaarheidsdatabases en configuratiebenchmarks | Laag | Uren | Basishygiëne, compliance-vereisten, continue monitoring tussen diepere assessments |
| Kwetsbaarheidsanalyse | Geautomatiseerd scannen plus handmatige validatie, eliminatie van false positives en contextuele risicoanalyse | Gemiddeld | Dagen | Organisaties die een initiële beveiligingshouding opbouwen, periodieke compliance-validatie |
| Penetratietest | Gesimuleerde aanval met handmatige exploitatie, koppeling van kwetsbaarheden en demonstratie van real-world impact | Hoog | 1–3 weken | Valideren van verdedigingen, demonstreren van reëel risico aan stakeholders, regelgevende vereisten (PCI DSS, SOC 2) |
| Red Team | Vijandige simulatie met stealth, social engineering, fysieke toegang en op maat gemaakte tooling over een langere periode | Zeer Hoog | 4–8 weken | Volwassen organisaties die detectie- en response-capaciteiten testen, risico-demonstratie op bestuursniveau |
| Purple Team | Collaboratieve oefening waarbij offensieve testers samenwerken met defensieve teams om detectiecapaciteiten in realtime te testen en verbeteren | Hoog | 1–2 weken | Validatie van detectie-engineering, SOC-vaardigheidsontwikkeling, specifieke detectielacunes dichten |
Kwetsbaarheidsscan vs. Penetratietest: Het Cruciale Verschil
Het meest voorkomende misverstand bij beveiligingsassessments is het gelijkstellen van kwetsbaarheidsscannen aan penetratietesten. Een kwetsbaarheidsscan identificeert potentiële zwakke plekken door systemen te controleren tegen databases met bekende kwetsbaarheden — in feite de vraag "heeft dit systeem softwareversie X waarvan bekend is dat deze kwetsbaar is?" De uitvoer is een lijst met bevindingen met ernstgradaties, waarvan veel false positives kunnen zijn of technisch correct maar praktisch onuitbuitbaar in de gegeven omgeving.
Een penetratietest gaat verder. De tester probeert actief geïdentificeerde kwetsbaarheden uit te buiten, koppelt meerdere bevindingen samen om echte aanvalspaden te demonstreren, en laat zien wat een aanvaller daadwerkelijk zou kunnen bereiken: toegang tot gevoelige gegevens, privileges escaleren tot domeinbeheerder, pivotteren van een internetgerichte applicatie naar interne financiële systemen. De uitvoer is geen lijst met kwetsbaarheden — het is een verhaal van wat er gebeurde toen een vaardige aanvaller gerichte tijd besteedde aan uw omgeving.
Red Team vs. Penetratietest
Penetratietesten hebben doorgaans een vastgestelde scope ("test deze applicatie" of "test dit netwerksegment") en de verdedigers weten dat de test plaatsvindt. Red team opdrachten simuleren een echte tegenstander: de scope is breder (meestal de hele organisatie), slechts enkele senior leiders weten dat de opdracht plaatsvindt, en het red team gebruikt dezelfde technieken als echte aanvallers — inclusief social engineering, fysieke toegang en op maat gemaakte malware. De primaire vraag die een red team beantwoordt is niet "welke kwetsbaarheden bestaan er?" maar eerder "kunnen onze verdedigingen een realistische aanval detecteren en erop reageren?"
Purple Team
Purple teaming keert het vijandige model om naar een collaboratief model. De offensieve tester voert technieken uit vanuit een gestructureerd framework (doorgaans MITRE ATT&CK) terwijl het defensieve team hun monitoringtools observeert en probeert elke techniek te detecteren. Wanneer detectie faalt, werken beide teams in realtime samen om te begrijpen waarom en betere detecties te bouwen. Purple teaming is zeer efficiënt voor het verbeteren van detectiedekking omdat het de kennis van het offensieve team over hoe aanvallen werken combineert met de kennis van het defensieve team over de omgeving en tooling.
Onze Methodologie
De assessmentmethodologie van ForgeWork is ontleend aan gevestigde frameworks — de Penetration Testing Execution Standard (PTES), OWASP Testing Guide en MITRE ATT&CK — aangepast door onze operationele ervaring. Elke opdracht volgt deze fasen, geschaald naar het type assessment.
1. Scoping en Spelregels
Voordat er getest wordt, werken we met de klant samen om precies te definiëren wat getest wordt, wat buiten bereik valt, welke technieken zijn geautoriseerd en welke communicatieprotocollen gelden als er tijdens het testen een kritieke kwetsbaarheid wordt ontdekt. Het scopingdocument wordt het contract voor de opdracht — het beschermt beide partijen en zorgt ervoor dat verwachtingen op één lijn liggen.
Scopinggesprekken behandelen: doelsystemen en netwerken, testvenster, geautoriseerde aanvalsvectoren, escalatieprocedures voor kritieke bevindingen, contactgegevens en eventuele juridische of compliance-beperkingen die de methodologie beïnvloeden.
2. Verkenning
We beginnen met dezelfde stap die een echte aanvaller zou nemen: informatie verzamelen. Passieve verkenning gebruikt open-source intelligence (OSINT) om de externe voetafdruk van de klant in kaart te brengen: DNS-records, certificate transparency logs, publieke code-repositories, werknemersinformatie op sociale media en professionele netwerken, gelekte credentials in inbreukdatabases, en blootgestelde diensten op internetgerichte infrastructuur.
Actieve verkenning breidt dit uit met directe interactie: poortscannen, dienst-enumeratie, technologie-fingerprinting en webapplicatie-crawling. De verkenningsfase onthult vaak verrassende blootstelling — vergeten ontwikkelservers, onbewaakte cloud-assets, verouderde applicaties die nog steeds bereikbaar zijn via het internet.
3. Kwetsbaarheidsidentificatie
Door geautomatiseerd scannen te combineren met handmatige analyse identificeren we kwetsbaarheden over het gehele doelbereik. Geautomatiseerde tools bieden breedte in dekking; handmatig testen biedt diepte en context. We richten ons op bevindingen die een aanvaller daadwerkelijk zou exploiteren, niet op theoretische kwetsbaarheden die omstandigheden vereisen die in de echte omgeving onwaarschijnlijk zijn.
4. Exploitatie
Voor penetratietesten en red team opdrachten proberen we geïdentificeerde kwetsbaarheden te exploiteren om real-world impact te demonstreren. Deze fase onderscheidt een echt assessment van een scan — het beantwoordt de vraag "en wat dan?" door te laten zien welke toegang een aanvaller verkrijgt en wat ze ermee kunnen doen. We koppelen bevindingen waar mogelijk, om te demonstreren hoe een low-severity misconfiguratie gecombineerd met een medium-severity applicatiefout een critical-impact aanvalspad kan opleveren.
5. Post-exploitatie
Zodra initiële toegang is verkregen, beoordelen we de mate van mogelijke compromittering: laterale beweging door het netwerk, privileges-escalatie naar beheerderstoegang, toegang tot gevoelige dataopslagplaatsen en potentie voor persistente toegang. Deze fase onthult de daadwerkelijke impactradius van een inbreuk — die vaak veel groter is dan het initiële toegangspunt zou doen vermoeden.
6. Rapportage
Het deliverable dat het meest ertoe doet. Onze rapporten zijn ontworpen om bruikbaar te zijn voor zowel directie als technische doelgroepen.
Assessmentgebieden
Beveiligingsassessments kunnen worden gericht op specifieke domeinen afhankelijk van de prioriteiten, het dreigingsmodel en de infrastructuur van de organisatie.
Netwerkinfrastructuur
Interne en externe netwerkassessments evalueren de beveiliging van routers, switches, firewalls, VPN's, draadloze netwerken en netwerksegmentatie. We testen of een aanvaller die een voet aan de grond krijgt op het ene netwerksegment kritieke assets op een ander segment kan bereiken. Veelvoorkomende bevindingen zijn: te permissieve firewallregels, platte netwerkarchitecturen zonder segmentatie, onversleutelde beheerprotocollen, standaard credentials op netwerkapparaten en VLAN hopping-mogelijkheden.
Webapplicaties
Webapplicatie-assessments volgen de OWASP Testing Guide methodologie en beslaan het volledige spectrum van applicatielaag-kwetsbaarheden: injectiefouten (SQL, command, LDAP), authenticatie- en sessiebeheer-zwaktes, toegangscontrole-bypass, cross-site scripting (XSS), insecure direct object references, beveiligingsmisconfiguratie en business logic-fouten die geautomatiseerde scanners niet kunnen detecteren. We testen zowel de applicatie zelf als de ondersteunende infrastructuur — API's, databases, authenticatiediensten en integraties met derden.
Cloudomgevingen
Cloud-assessments evalueren de beveiligingshouding van AWS, Azure en GCP-omgevingen. De cloud introduceert een distincte set risico's: verkeerd geconfigureerde IAM-beleiden die buitensporige machtigingen verlenen, publiek toegankelijke opslagbuckets, onversleutelde gegevens in rust en in transit, te permissieve security groups, ontbrekende auditlogging en serverloze functies met ingebedde credentials. We toetsen aan CIS Cloud Benchmarks en cloudprovider-specifieke beveiligingsbest practices.
Mobiele Applicaties
Mobiele assessments onderzoeken zowel de clientapplicatie (iOS en Android) als de backend-diensten. Het testen omvat: onveilige gegevensopslag op het apparaat, zwakke transportlaagbeveiliging, onjuiste authenticatie en autorisatie, client-side injectie, reverse engineering weerstand en runtime-manipulatie. We volgen de OWASP Mobile Application Security Testing Guide (MASTG) methodologie.
Social Engineering
Social engineering assessments testen de menselijke verdedigingslaag via phishingcampagnes, vishing (voice phishing), pretexting en — waar geautoriseerd — fysieke toegangspogingen. Deze assessments meten hoe goed beveiligingsbewustzijnstraining zich vertaalt in daadwerkelijk gedrag onder realistische omstandigheden. Resultaten informeren gerichte trainingsverbeteringen en helpen organisaties hun werkelijke blootstelling aan op mensen gerichte aanvallen te begrijpen.
Uw Rapport Begrijpen
Een beveiligingsassessment is slechts zo waardevol als het rapport dat het oplevert. Als bevindingen ongelezen blijven omdat het rapport ondoorgrondelijk is, of als herstel stagneert omdat aanbevelingen vaag zijn, dan heeft het assessment gefaald, ongeacht hoe grondig het testen was.
ForgeWork assessmentrapporten bevatten de volgende onderdelen:
Management Samenvatting
Een niet-technisch overzicht van het doel, de scope, de belangrijkste bevindingen en de algehele risicohouding van het assessment. Geschreven voor directieleden, bestuursleden en stakeholders die de bedrijfsimplicaties moeten begrijpen zonder technische details te hoeven lezen. Dit onderdeel beantwoordt: "Hoe veilig zijn we, wat zijn de belangrijkste risico's, en wat moeten we prioriteren?"
Technische Bevindingen
Elke bevinding bevat: een heldere beschrijving van de kwetsbaarheid, de locatie binnen de omgeving, de stappen die zijn genomen om deze te ontdekken en te exploiteren, proof-of-concept bewijs (screenshots, command output, vastgelegde gegevens), CVSS v3.1 scoring met omgevingsaanpassingen, en een beoordeling van real-world exploiteerbaarheid in de specifieke context van de klant. Bevindingen zijn gecategoriseerd op ernst en op getroffen systeem of applicatie.
Aanvalsverhalen
Voor penetratietesten en red team opdrachten nemen we narratieve beschrijvingen op van aanvalspaden — hoe individuele bevindingen werden gekoppeld om significante impact te bereiken. Deze verhalen zijn krachtige instrumenten om risico te communiceren naar niet-technische stakeholders omdat ze een verhaal vertellen: "We begonnen met een phishing-e-mail, gebruikten de vastgelegde credentials om toegang te krijgen tot de VPN, exploiteerden een misconfiguratie om het interne netwerk te bereiken, escaleerden privileges via een Kerberoasting-aanval en kregen toegang tot de financiële database met 200.000 klantgegevens."
Herstelrichtlijnen
Elke bevinding bevat specifieke, uitvoerbare herstelrichtlijnen — niet alleen "pas de patch toe" maar gedetailleerde stappen die het team van de klant kan volgen om het probleem op te lossen. Aanbevelingen zijn geprioriteerd op risico en inspanning: quick wins (hoge impact, lage inspanning) worden gemarkeerd voor onmiddellijke actie, terwijl langetermijn architectuurwijzigingen worden gepositioneerd binnen een strategische routekaart.
Risicoprioriteitenmatrix
Een geconsolideerd overzicht dat bevindingen in kaart brengt op ernst en exploiteerbaarheid, waardoor het team van de klant herstelinspanningen kan richten waar ze de grootste impact hebben op het verminderen van real-world risico. Deze matrix geeft expliciet aan welke bevindingen een aanvaller als eerste zou exploiteren en welke de meest schadelijke aanvalspaden vertegenwoordigen.
Hoe u zich Kunt Voorbereiden op een Assessment
Voorbereiding aan klantzijde beïnvloedt direct de kwaliteit en efficiëntie van het assessment. Hier is een praktische checklist.
Definieer de Scope Duidelijk
Identificeer de specifieke systemen, applicaties, netwerken of omgevingen die getest moeten worden. Vermeld IP-bereiken, URL's, cloud-account identifiers en eventuele systemen die expliciet buiten scope vallen. Als bepaalde systemen fragiel zijn (legacy productiesystemen die bij testen kunnen crashen), meld dit dan zodat het testteam hun aanpak kan aanpassen.
Stel Spelregels Vast
Bepaal welke testtechnieken zijn geautoriseerd. Mogen de testers social engineering gebruiken? Zijn denial-of-service technieken toegestaan? Op welke uren mag er getest worden? Wat is het escalatiepad als er tijdens het testen een kritieke kwetsbaarheid wordt gevonden? Documenteer dit schriftelijk voordat de opdracht begint.
Bereid Credentials Voor
Voor geauthenticeerde assessments (die uitgebreidere dekking bieden), maak testaccounts aan op elk privilege-niveau dat wordt beoordeeld. Verstrek deze credentials op een veilige manier en plan om ze na de opdracht uit te schakelen. Bereid voor webapplicaties accounts voor voor elke gebruikersrol.
Informeer Relevante Teams
Afhankelijk van het type opdracht moeten uw SOC, IT-operaties en cloudteams mogelijk op de hoogte zijn. Voor een penetratietest met bekende scope voorkomt het informeren van de SOC verspilde inspanning bij het onderzoeken van de activiteit van de tester. Voor een red team opdracht waar detectie deel uitmaakt van de test, mag alleen het aangewezen contactpersoon op de hoogte zijn.
Verzamel Documentatie
Netwerkdiagrammen, applicatiearchitectuur-documenten en eerdere assessmentrapporten helpen het testteam efficiënter te werken en zich te richten op de gebieden die het meest waarschijnlijk significante bevindingen opleveren.
Compliance Context
Veel regelgevende en compliance-frameworks vereisen of bevelen beveiligingsassessments aan. Begrijpen welke frameworks welke typen assessments vereisen, helpt organisaties hun assessmentprogramma's efficiënt te plannen.
PCI DSS
De Payment Card Industry Data Security Standard vereist driemaandelijkse netwerkkwetsbaarheidsscans door een Approved Scanning Vendor (ASV) voor extern gerichte systemen, en jaarlijkse penetratietesten van zowel netwerk- als applicatielagen. PCI DSS v4.0 introduceerde strengere eisen voor geauthenticeerd scannen en bredere scope voor penetratietesten.
SOC 2
Hoewel SOC 2 geen specifieke assessmenttypen verplicht, vereisen de Common Criteria dat organisaties het ontwerp en de operationele effectiviteit van hun maatregelen evalueren. Penetratietesten bieden sterk bewijs voor de CC7.1 (detectie van beveiligingsgebeurtenissen) en CC6.1 (logische en fysieke toegang) criteria. De meeste auditors verwachten regelmatige kwetsbaarheidsanalyses en periodieke penetratietesten.
ISO 27001
ISO 27001 Bijlage A maatregel A.8.8 (Beheer van technische kwetsbaarheden) vereist dat organisaties technische kwetsbaarheden identificeren, evalueren en aanpakken. Regelmatige kwetsbaarheidsanalyses en penetratietesten zijn de primaire mechanismen om aan deze maatregel te voldoen. ISO 27001 vereist ook dat organisaties de effectiviteit van hun informatiebeveiligingsbeheer evalueren, wat assessmentbevindingen direct ondersteunen.
NIS2
De NIS2-richtlijn vereist dat essentiële en belangrijke entiteiten risicogebaseerde beveiligingsmaatregelen implementeren, waaronder regelmatig testen en auditen van beveiliging. Beveiligingsassessments — met name penetratietesten — leveren de bewijsbasis voor het aantonen van compliance met het vereiste van Artikel 21 voor "beleid en procedures om de effectiviteit van cybersecurity risicobeheermaatregelen te beoordelen."
Compliance vs. Beveiliging
Compliance-vereisten vertegenwoordigen een minimumdrempel, geen plafond. Een organisatie kan volledig compliant zijn met PCI DSS, SOC 2 en ISO 27001 en toch significante beveiligingslacunes hebben die een gemotiveerde aanvaller zou exploiteren. Gebruik compliance-vereisten als basislijn voor uw assessmentprogramma en ga dan verder op basis van uw daadwerkelijke dreigingsmodel en risicobereidheid.
Gerelateerde Bronnen
- Beveiligingsassessment Gids — Een uitgebreide gids voor het kiezen en voorbereiden van beveiligingsassessments.
- Security Engineering Diensten — Vertaal assessmentbevindingen naar verharde verdedigingen.
Begrijp uw werkelijke beveiligingshouding
Of u nu een gerichte penetratietest nodig heeft, een brede kwetsbaarheidsanalyse of een vijandige simulatie die uw volledige verdedigingscapaciteit test — ForgeWork levert bevindingen waar u mee aan de slag kunt, geen rapporten die stof verzamelen.