Elke 24 uur worden er circa 80 nieuwe CVE's gepubliceerd. Zonder een systematische aanpak voor het vinden, prioriteren en verhelpen van kwetsbaarheden speelt u Russische roulette met uw organisatie. 60% van alle datalekken betreft een bekende, niet-gepatchte kwetsbaarheid.
Kwetsbaarheidsbeheer is het doorlopende, systematische proces van identificeren, evalueren, prioriteren, verhelpen en verifiëren van beveiligingskwetsbaarheden in alle IT-assets van een organisatie. Het is geen eenmalige scan — het is een continu programma dat het organisatierisico over tijd verlaagt.
Kwetsbaarheden beslaan meerdere categorieën:
Een kwetsbaarheidsassessment vertelt u wat er mis is (momentopname). Kwetsbaarheidsbeheer zorgt ervoor dat het opgelost wordt — en opgelost blijft (doorlopend programma met prioritering, tracking, verificatie en verbetering).
Regelgevingsboetes: NIS2 verplicht kwetsbaarheidsbeheer — tot €10 miljoen of 2% van de omzet. Aansprakelijkheid bij datalekken: AVG vereist "passende technische maatregelen." Ransomware: WannaCry, Log4Shell, MOVEit — allemaal maakten ze misbruik van bekende, patchbare kwetsbaarheden. Verzekeringen: Cyberverzekeraars auditen patchbeheer en passen premies aan of weigeren claims.
U kunt niet beschermen wat u niet kent. Onderhoud een actuele inventarisatie van alle IT-assets en scan continu. Belangrijke metrics: assetdekking, scanfrequentie, tijd sinds laatste scan.
Niet alle kwetsbaarheden zijn gelijk. Een kritieke CVSS-score betekent niet automatisch kritiek risico. Houd rekening met exploiteerbaarheid, assetkritikaliteit, blootstelling, compenserende maatregelen en bedrijfscontext.
Opties zijn onder meer patching, configuratiewijzigingen, compenserende maatregelen (WAF, virtual patching), formele risicoacceptatie of systeemuitfasering.
Een "gepatchte" kwetsbaarheid die niet daadwerkelijk is opgelost, geeft een vals gevoel van veiligheid. Herscan altijd, voer regressietesten uit en valideer configuratiewijzigingen na herstel.
Bedien meerdere doelgroepen: beveiligingsteams (tactische dashboards), IT-management (strategische rapporten), directie (bedrijfsrisico) en auditors (compliance-bewijsvoering).
Volume: Tienduizenden kritieke/hoge bevindingen — die kunt u niet allemaal oplossen. Valse urgentie: Veel kritieke CVE's worden nooit geëxploiteerd. Ontbrekende context: Een gemiddelde kwetsbaarheid op een betaalsysteem kan een hoger risico zijn dan een kritieke op een geïsoleerde ontwikkelserver.
Risicogebaseerd kwetsbaarheidsbeheer (RBVM) combineert de ernst van kwetsbaarheden met dreigingsinformatie (wordt het actief misbruikt?), assetkritikaliteit (hoe belangrijk is het?) en blootstelling (internet-facing?). Dit reduceert de actiegerichte achterstand met 80–90%.
| Aspect | CVSS | EPSS |
|---|---|---|
| Wat het meet | Ernst van kwetsbaarheid (0–10) | Kans op exploitatie (0–100%) |
| Updates | Grotendeels statisch | Dagelijks |
| Focus | Wat zou kunnen gebeuren | Wat zal gebeuren |
| Beperking | Slechts ~15% van kritieke wordt geëxploiteerd | Houdt geen rekening met assetcontext |
Hoog CVSS + hoog EPSS → Kritiek, onmiddellijk verhelpen. Hoog CVSS + laag EPSS → Inplannen binnen standaard SLA. Laag CVSS + hoog EPSS → Verhoogd, onderzoeken (mogelijk onderschat). Laag CVSS + laag EPSS → Meenemen in regulier onderhoud.
Ontdek uw kwetsbaarheden voordat aanvallers dat doen. AI-gestuurde scanning met risicogebaseerde prioritering.
Start gratis scan →| Framework | Vereiste voor kwetsbaarheidsbeheer | Sanctie |
|---|---|---|
| NIS2 | Artikel 21: "kwetsbaarheidsafhandeling en -openbaarmaking" als minimummaatregel | Tot €10 miljoen / 2% omzet |
| DORA | ICT-risicobeheer, regelmatige kwetsbaarheidsbeoordelingen | Sectorspecifieke handhaving |
| AVG | Artikel 32: "passende technische maatregelen" | Tot €20 miljoen / 4% omzet |
| ISO 27001 | A.8.8: Beheer van technische kwetsbaarheden | Certificeringsrisico |
| PCI DSS 4.0 | Kwartaal externe ASV-scans, interne scanning, jaarlijkse pentesting | PCI-non-complianceboetes |
| Risiconiveau | Internet-facing | Intern kritiek | Intern standaard |
|---|---|---|---|
| Kritiek | 24 uur | 72 uur | 7 dagen |
| Hoog | 7 dagen | 14 dagen | 30 dagen |
| Gemiddeld | 30 dagen | 60 dagen | 90 dagen |
| Laag | 90 dagen | 180 dagen | Volgend onderhoud |
KENSAI scant webapplicaties, API's en infrastructuur met een database van 332.000+ CVE's die continu wordt bijgewerkt. Identificeert zowel bekende kwetsbaarheden als misconfiguraties over uw gehele aanvalsoppervlak.
Gaat verder dan CVSS: cross-referentie met actieve dreigingsinformatie, houdt rekening met daadwerkelijke exploitatiedata, vermindert false positives door intelligente analyse en levert risicogebaseerde prioritering zodat u zich richt op wat ertoe doet.
Elke scan genereert rapporten die aansluiten bij NIS2, AVG, DORA en ISO 27001 — gedocumenteerde bewijsvoering van kwetsbaarheidsafhandeling en -openbaarmaking voor auditors en toezichthouders.
Concrete aanbevelingen voor elke bevinding. Vermindert de tijd en expertise die nodig zijn om kwetsbaarheden te dichten.
Professional: €990/maand — ideaal voor groeiende bedrijven. Enterprise: €2.490/maand — geavanceerde functies en hogere scanvolumes.
Het doorlopende proces van identificeren, evalueren, prioriteren, verhelpen en verifiëren van beveiligingskwetsbaarheden. In tegenstelling tot eenmalige assessments is het een continu programma met gestructureerde ontdekking, risicogebaseerde prioritering en bijgehouden herstel met vastgestelde SLA's.
RBVM prioriteert op basis van daadwerkelijk risico (dreigingsinformatie + assetkritikaliteit + blootstelling) in plaats van alleen CVSS-ernst. Vermindert de actiegerichte achterstand met 80–90% en richt middelen op daadwerkelijk gevaarlijke kwetsbaarheden.
CVSS beoordeelt de ernst (statisch, 0–10). EPSS voorspelt de kans op exploitatie (dynamisch, dagelijks bijgewerkt). Samen gebruikt bieden ze zowel ernstcontext als exploitatiekans voor superieure prioritering.
Kritiek/internet-facing: minimaal wekelijks (dagelijks of continu heeft de voorkeur). Intern: minimaal maandelijks. Na significante wijzigingen: altijd. De trend is continue scanning.
NIS2 artikel 21 vereist expliciet "kwetsbaarheidsafhandeling en -openbaarmaking." Een compliant programma moet systematische ontdekking, risicogebaseerde prioritering, vastgestelde SLA's, verificatie, continue monitoring en gedocumenteerde processen aantonen.
MTTR voor kritieke/hoog-risicokwetsbaarheden — dit meet direct hoe snel u uw gevaarlijkste blootstellingsvensters sluit.
Neem controle over uw kwetsbaarheidsbeheer. AI-gestuurde ontdekking, prioritering en compliancerapportage.
Start gratis scan →Beveiliging is niet optioneel.
🗡️ Het KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →