Skip to content

Jarenlang was de penetratietest een logisch en effectief onderdeel van iedere securitystrategie. Een gespecialiseerde partij onderzocht periodiek de omgeving, bracht kwetsbaarheden in kaart en leverde een rapport op met verbeterpunten. Voor veel organisaties werkte dat prima. IT-omgevingen veranderden relatief langzaam, infrastructuren waren overzichtelijker en externe blootstelling bleef vaak maandenlang hetzelfde.

Maar die realiteit bestaat nauwelijks nog.

Geschreven door: Jacco Wildeman

Moderne attack surface verandert continu

De moderne IT-omgeving verandert continu. Nieuwe cloudomgevingen worden uitgerold, applicaties krijgen wekelijks updates, API’s worden toegevoegd, leveranciers koppelen systemen aan elkaar en medewerkers introduceren ongemerkt nieuwe SaaS-tools. Ondertussen verdwijnen oude systemen zelden volledig. Testomgevingen blijven bestaan, vergeten subdomeinen blijven actief en tijdelijke oplossingen worden permanent. Het resultaat is een aanvalsoppervlak (attack surface) die voortdurend in beweging is.

Daar zit precies het probleem van traditionele penetratietesten. Een pentest laat zien hoe je omgeving eruitzag op het moment van testen, maar niet hoe die er volgende week uitziet.

Aanvallers wachten niet op jouw auditcyclus

Dat verschil wordt steeds relevanter, omdat aanvallers niet periodiek werken. Zij wachten niet op een jaarlijkse auditcyclus of op een gepland testmoment. Moderne aanvallers scannen continu het internet op nieuwe openingen. Zodra een kwetsbaarheid publiek wordt, proberen geautomatiseerde tools binnen uren te bepalen welke organisaties nog kwetsbaar zijn. Waar organisaties vroeger dagen of zelfs weken hadden om te reageren, wordt dat tijdsvenster nu steeds kleiner.

Aanvallers kijken anders naar jouw omgeving

Daar komt nog iets bij: aanvallers kijken fundamenteel anders naar een omgeving dan interne IT-teams doen. Securityteams werken vaak vanuit bekende assets en beheerde infrastructuur. Een aanvaller doet precies het tegenovergestelde. Die begint extern, met alles wat zichtbaar is vanaf het internet. Een vergeten VPN-portaal, een oude cloudomgeving, een verkeerd geconfigureerde opslagcontainer of een subdomein dat ooit voor een project werd gebruikt. Dat zijn vaak de startpunten van een aanval.

Juist daarom verschuift offensive security steeds meer van een periodieke activiteit naar een continu proces.

Continu inzicht wordt belangrijker dan periodieke controles

Dat betekent niet dat penetratietesten geen waarde meer hebben. Integendeel. Een goede pentest blijft belangrijk om diepgang te creëren en complexe aanvalsscenario’s te simuleren. Maar op zichzelf is het niet langer voldoende. Organisaties hebben daarnaast continu inzicht nodig in hun externe exposure: wat is zichtbaar, wat is daadwerkelijk exploiteerbaar en welke combinaties van kwetsbaarheden vormen een realistisch risico?

Meer securitydata betekent niet automatisch meer veiligheid

Die verschuiving vraagt ook om een andere manier van prioriteren. Veel organisaties hebben geen tekort aan securitydata, ze hebben een tekort aan focus. Vulnerability scanners produceren duizenden meldingen, maar lang niet iedere kwetsbaarheid vormt een daadwerkelijk risico. Het gaat niet langer alleen om de vraag óf een kwetsbaarheid bestaat, maar vooral of een aanvaller die praktisch kan misbruiken binnen de context van jouw omgeving.

Dat is een belangrijk verschil. Een kwetsbare server zonder bereikbaarheid of zonder relevante aanvalsketen heeft een andere prioriteit dan een ogenschijnlijk kleinere misconfiguratie op een publiek toegankelijke applicatie. Moderne offensive security draait daarom steeds meer om validatie en context, niet alleen om detectie.

AI versnelt de ontwikkeling van offensive security

De opkomst van AI versnelt die ontwikkeling verder. Grote taalmodellen worden steeds effectiever in het analyseren van broncode, het herkennen van patronen en het identificeren van kwetsbaarheden. Daardoor neemt de snelheid waarmee nieuwe aanvalsmethoden ontstaan verder toe. Waar handmatig onderzoek vroeger specialistisch en tijdrovend was, wordt vulnerability discovery steeds schaalbaarder en goedkoper.

Voor organisaties betekent dit vooral één ding: reactief werken wordt steeds moeilijker vol te houden.

Van periodieke assessments naar continue validatie

Securityteams die uitsluitend vertrouwen op periodieke assessments lopen het risico structureel achter de feiten aan te lopen. Niet omdat hun processen slecht zijn ingericht, maar omdat de snelheid van verandering simpelweg groter wordt dan de snelheid van traditionele beveiligingscycli.

De organisaties die hierin volwassen omgaan met security, stappen daarom over naar een model waarin zichtbaarheid continu is, validatie geautomatiseerd plaatsvindt en risico’s voortdurend opnieuw worden beoordeeld vanuit het perspectief van een aanvaller.

Want uiteindelijk draait moderne offensive security niet om méér scans of méér rapportages. Het draait om één fundamentele vraag: als een aanvaller vandaag naar jouw organisatie kijkt, wat ziet hij dan als eerste?

Latest blogs

Waarom traditionele pentests niet meer voldoende zijn

  • Security
  • juni 1, 2026

Securityteams die uitsluitend vertrouwen op periodieke assessments lopen het risico structureel achter de feiten aan te lopen.

Lees meer

Privékanalen zonder eigenaar worden verwijderd in Teams

  • Modern Work
  • mei 28, 2026

Voor IT-beheerders is dit een logisch moment om bestaande privé kanalen opnieuw te inventariseren.

Lees meer

YellowKey laat zien waarom BitLocker alleen niet genoeg is voor endpointbeveiliging

  • Security
  • mei 20, 2026

YellowKey laat zien dat effectieve endpointbeveiliging draait om meerdere beveiligingslagen.

Lees meer

Werken bij Ekco – IT-team aan het werk in de cloud pic

Heb je een vraag?
Onze specialisten staan voor je klaar

Neem contact op