Pentest

Organisaties investeren in firewalls, endpoint-beveiliging en awareness trainingen maar hoe weet je of die maatregelen standhouden tegen een echte aanval? Een pentest geeft daar antwoord op. Het toetst je beveiliging in de praktijk, op een moment dat het dreigingslandschap continu verandert en wat vorig jaar veilig was dat vandaag niet meer hoeft te zijn.

Daarnaast levert een pentest meer op dan een lijst met kwetsbaarheden. Het laat zien wat de daadwerkelijke impact is: kan een aanvaller bij klantgegevens, of zelfs het volledige netwerk overnemen? Die context helpt om de juiste prioriteiten te stellen.

Ondanks de diversiteit aan organisaties die we testen, zijn er opvallende patronen in de kwetsbaarheden die we aantreffen. Hieronder bespreek ik de vier meest voorkomende bevindingen uit de praktijk.

Dit is en blijft de nummer één. Bij vrijwel elke pentest weten we accounts te compromitteren door zwakke wachtwoorden. Denk aan variaties op de bedrijfsnaam, seizoenen gevolgd door een jaartal (Zomer2025!) of het klassieke Welkom01!. Het zijn wachtwoorden die technisch gezien aan het wachtwoordbeleid voldoen: ze bevatten hoofdletters, cijfers en soms een speciaal teken maar in de praktijk zijn ze binnen seconden te kraken.

Wat het probleem verergert is dat medewerkers wachtwoorden hergebruiken. Een gelekt wachtwoord uit een datalek bij een externe dienst blijkt dan ook te werken op het bedrijfsnetwerk. Voor een aanvaller is dat een open deur.

De oplossing begint bij een wachtwoordbeleid dat niet alleen lengte en complexiteit afdwingt, maar ook controleert tegen lijsten van veelvoorkomende en gelekte wachtwoorden. Overweeg daarnaast passphrases in plaats van complexe maar korte wachtwoorden: een zin als "MijnKatEetGraagKibbling" is zowel sterker als makkelijker te onthouden. En combineer dit altijd met het volgende punt.

Sterke wachtwoorden zijn belangrijk, maar ze zijn niet genoeg. Toch zien we regelmatig dat multi-factor authenticatie (MFA) ontbreekt op cruciale systemen: VPN-toegang, e-mail, beheerdersportalen en cloudplatformen.

Onder MFA is één gecompromitteerd wachtwoord voldoende om toegang te krijgen. In combinatie met een zwak wachtwoord of het hergebruiken van een wachtwoord wordt dat al snel een serieus risico. Een aanvaller die via een phishingmail of een datalek aan een wachtwoord komt, heeft dan vrij spel.

Het advies is duidelijk: rol MFA uit op alle extern bereikbare diensten en op beheerdersaccounts. Begin met de kroonjuwelen. VPN, e-mail en admin-portalen en breid van daaruit verder uit.

"Geef iedereen maar admin-rechten, dan kunnen ze tenminste werken." Het klinkt herkenbaar, en het is een van de gevaarlijkste patronen die we tegenkomen.

Tijdens een pentest is een overprivileged account goud waard. Als een standaard gebruikersaccount lokale admin-rechten heeft, kunnen we credentials uitlezen, lateraal bewegen door het netwerk en uiteindelijk volledige controle over het domein verkrijgen, vaak binnen enkele uren.

Het principe van least privilege is hier de sleutel: geef gebruikers alleen de rechten die ze daadwerkelijk nodig hebben voor hun werk, en niet meer. Voer periodieke reviews uit op admin-rechten. En scheid beheeraccounts van dagelijkse gebruikersaccounts, een IT-beheerder hoeft niet met een domain admin-account zijn e-mail te lezen.

Bekende kwetsbaarheden in software waarvoor al maanden of soms jaren een patch beschikbaar is: we komen het vaker tegen dan je zou verwachten. Van verouderde SSH-versies tot verouderde webapplicaties en vergeten testomgevingen die nog gewoon bereikbaar zijn.

Het probleem zit vaak niet in onwil, maar in complexiteit. Organisaties hebben niet altijd volledig zicht op hun IT-landschap. Patchprocessen lopen vertraging op of er zijn compatibiliteitsproblemen en schaduw-IT, systemen die buiten het zicht van van de IT-afdeling draaien, maakt het plaatje compleet. 

De basis is een actueel en volledig overzicht van alle systemen en software in de omgeving. Implementeer van daaruit een gestructureerd patchmanagement-proces met duidelijke afspraken over doorlooptijden voor kritieke updates. En vergeet testomgevingen en legacy-systemen niet: juist die worden vaak over het hoofd gezien, terwijl ze voor een aanvaller een uitstekend instappunt kunnen zijn.

Wat deze vier bevindingen gemeen hebben is dat het geen exotische kwetsbaarheden zijn. Het zijn basishygiëne-issues die met goed beleid, bewustzijn en een gestructureerde aanpak te voorkomen zijn. Toch zien we ze bij vrijwel elke organisatie in meer of mindere mate terug.

Dat is precies waarom een pentest zo waardevol is. Het is geen examen waar je voor moet slagen of zakken. Het is een spiegel die laat zien waar je organisatie staat en waar de grootste verbeterkansen liggen. De organisaties die het beste scoren zijn niet de organisaties die nooit kwetsbaarheden hebben, het zijn de organisaties die structureel aan hun security werken en de uitkomsten van eerdere testen gebruiken om hun beveiliging stap voor stap te verbeteren.