Contents

De veroudering van de jaarlijkse ‘point-in-time’ pentest

Pentesting helpt je kwetsbaarheden in je infrastructuur en applicaties opsporen voordat aanvallers ze kunnen misbruiken. Maar hoe effectief is dat nog als je vertrouwt op een test die:

  • slechts één keer per jaar plaatsvindt
  • alleen een momentopname geeft
  • niets laat zien over wat een aanvaller doet zodra hij binnen is
  • geen inzicht biedt in echte aanvalspaden en verborgen afhankelijkheden

En nog belangrijker: hoe beantwoord je dan de vraag die elke board stelt: “Wat gebeurt er als iemand écht binnenkomt?”

Met tienduizenden nieuwe kwetsbaarheden per jaar, meer dan 48.000 in 2025 waarvan een groot deel binnen één dag weaponizable is, is het duidelijk dat traditionele pentests tekortschieten.

Aanvallers wachten niet. Dus waarom zou jij dat wel doen? Het doet er niet toe dat je de test hebt gehaald. Wat telt, is of je nú blootstaat. Als jouw organisatie vasthoudt aan oude methodes, is het tijd om die achter je te laten.

De oplossing: overstappen op continuous validation. Gartner-onderzoek laat zien dat organisaties die kiezen voor doorlopend dreigingsmanagement en datagedreven risicoinzichten twee keer minder breaches ervaren dan hun peers. Daarmee verklein je je risico’s, verbeter je prioritering en versterk je je vulnerability-management.

Waarom een jaarlijkse pentest niet meer volstaat

De klassieke pentest is gemaakt voor een wereld die niet meer bestaat. Een wereld van stabiele, on-prem omgevingen die nauwelijks veranderden. Vroeger kreeg je een rapport, loste je de bevindingen op en voelde je je veilig. Het was jarenlang de gouden standaard. Maar die tijd is voorbij. In een landschap vol hybride cloud, continue deploys, API-sprawl en veranderende aanvalstechnieken zegt een geslaagde pentest weinig. Tegen de tijd dat je het rapport leest, is je omgeving veranderd, en de aanvalsmethoden ook. Het vertelt je niet wat hackers nú bij jou zouden doen. Het biedt geen prioriteitenlijst gebaseerd op impact. Daarnaast:

  1. Je ‘window of exposure’ wordt groter Een nieuwe kritieke kwetsbaarheid één dag na je jaarlijkse pentest? Dan sta je 364 dagen bloot. In 2025 voegde CISA gemiddeld 130 nieuwe CVE’s per dag toe. Je verdediging is dus continu verouderd.
  2. Er blijven blinde vlekken bestaan Pentests zijn tijdsgebonden. Testers kunnen nooit elk pad onderzoeken. Wat buiten scope valt, blijft tot volgend jaar liggen. De subtiele maar impactvolle risico’s blijven onzichtbaar.
  3. Er is geen realtime dreigingsmanagement Pentesting is prima voor compliance (PCI-DSS, GDPR), maar compliance is geen security. Je hebt een continu beeld van exposures nodig. Dat biedt een jaarlijkse test simpelweg niet.

Voortdurende weerstand

Continuous resistance is een wendbare manier van beveiligen die aansluit bij moderne, complexe IT-omgevingen. Geen jaarlijkse exercitie, maar een doorlopende cyclus waarmee je:

  • de risico’s met de grootste impact prioriteert
  • een duidelijke, uitvoerbare security-roadmap creëert

Binnen Acora’s Cyber Incident Baseline & Readiness-aanpak doorlopen we vier stappen:

  1. Auditen en scopen van kritieke assets en risico’s Een Cyber Risk Assessment brengt je werkelijke aanvalsvlak en toegangspunten in kaart. Je ziet waar een aanvaller binnenkomt en hoe die zich zou verplaatsen nog vóór het misgaat.
  2. Testen van assets en hun exposures Met Active Directory- en cloudassessments kijken we verder dan CVE’s: legacy AD-problemen, supply-chain-risico’s, configuratie-fouten en mogelijke aanvalspaden worden realtime in kaart gebracht.
  3. Prioriteren van de meest kritieke exposures Stop met overal tegelijk brandjes blussen. Door offensieve tests en red teaming stellen we een 10-punten to-do-lijst op, gebaseerd op risico, impact en actieve exploits.
  4. Een end-to-end baseline van je hele omgeving Je krijgt een helder overzicht van risico’s, prioriteiten en acties. Impact-gedreven, data-gedreven én compliant.

De realiteit: risico’s nemen toe en baselines worden de norm

Strengere regelgeving en grote datalekken maken pijnlijk duidelijk dat:

  • organisaties te weinig zicht hebben op hun netwerken en applicaties
  • laterale beweging vaak niet begrepen wordt
  • risico’s niet worden geprioriteerd op impact

Daarom stappen steeds meer organisaties over op datagedreven threat assessments. Acora’s recente onderzoeksrapport laat zien dat bedrijven die evidence-based werken én kiezen voor proactieve weerbaarheid de grootste vooruitgang boeken.

Denken als een aanvaller

Aanvallers hebben één doel: binnenkomen. Ze geven niets om groene dashboards. Ze verfijnen hun tools en tactieken continu. Daarom is alleen werken aan ‘lage risico’s om compliant te zijn’ gevaarlijk. Echte aanvalspaden blijven dan verborgen. Tot het te laat is. Red teaming en geautomatiseerde testplatformen laten zien hoe hackers écht denken en waar zij wél binnenkomen. Doorlopend, realistisch en met directe feedback. Zo bouw je echte weerbaarheid op: door te testen, valideren en bevestigen dat je verdediging werkt.

Van compliance naar mobilisatie

Security verbeteren vraagt meer dan vinkjes zetten. Het vraagt om een cultuur waarin security een doorlopend proces is en een samenwerking tussen IT en security. Het probleem met de compliance-mindset Je lost issues vooral op omdat auditors, klanten of board members het willen. Daardoor mis je de onderliggende risico’s.

De kracht van de suppression-mindset Je voorkomt aanvallen vóór ze plaatsvinden. Je ziet meer, reageert sneller en houdt je risico’s structureel laag.

De stap naar mobilisatie Teams moeten security prioriteren op basis van het échte dreigingsbeeld. Dat betekent:

  • Security en businessdoelen op elkaar afstemmen
  • Beslissingen onderbouwen met harde data
  • Huidige tooling beter benutten in plaats van steeds nieuw te kopen

Zo wordt security geen last, maar een business enabler.

Een dynamische verdediging bouwen met Acora

Pentests zijn waardevol, maar veel te langzaam voor het huidige dreigingslandschap. Aanvallers bewegen sneller, zero-days nemen toe en reactietijd wordt steeds korter. De toekomst is aan organisaties die kiezen voor:

  • threat-led
  • evidence-driven
  • continuous validation

Met Acora stap je eenvoudig over naar zo’n strategie. Onze experts geven je een volledig beeld van je risico’s en helpen je niet alleen ‘te beoordelen’, maar je hele security-aanpak te herschrijven. Wil je ontdekken hoe continuous validation jouw organisatie veiliger maakt? Neem contact op. We laten het je graag zien.

Insights by Leon Smit