← Terug naar Blog
Onderzoek 22 min leestijd

Wat is penetratietesten? De complete gids

Penetratietesten is een gesimuleerde cyberaanval op uw systemen, uitgevoerd om hun beveiliging te evalueren. Met gemiddelde datalekkosten van $4,88 miljoen en regelgeving zoals NIS2, DORA en PCI DSS die regelmatige testen verplichten, is pentesten niet langer optioneel — het is een zakelijke noodzaak.

$4,88M
Gem. kosten datalek
332K+
Gevolgde CVE's
€990
/maand (KENSAI)
7
PTES-fasen

Wat is penetratietesten?

ℹ️ Definitie

Penetratietesten is een geautoriseerde, gecontroleerde poging om kwetsbaarheden in een systeem, netwerk of applicatie te exploiteren om de beveiligingshouding te beoordelen. In tegenstelling tot kwetsbaarheidsscanning worden kwetsbaarheden actief geëxploiteerd — wat bewijst of ze echt zijn en welke schade een aanvaller zou kunnen veroorzaken.

Belangrijkste kenmerken

Pentesten vs kwetsbaarheidsscanning

AspectKwetsbaarheidsscanningPenetratietesten
AanpakGeautomatiseerde identificatieExploitatie en validatie
DiepteBreed, oppervlakkigDiep, gericht
Vals positievenHogerMinimaal (geëxploiteerd = bevestigd)
BedrijfslogicaKan niet testenKan testen
UitvoerKwetsbaarhedenlijstAanvalsverhalen met bewijs
FrequentieContinu/wekelijksPer kwartaal/jaarlijks

Testperspectieven


Soorten penetratietesten

Netwerk-penetratietesten

Extern: Exploiteert publiek toegankelijke diensten, omzeilt firewalls/IDS, compromitteert VPN's. Intern: Privilege-escalatie, laterale beweging, AD-/domeincontrollercompromittering.

Webapplicatie-penetratietesten

OWASP Top 10-testen: SQL-injectie, XSS, authenticatiefouten, gebroken toegangscontrole, bedrijfslogicakwetsbaarheden, bestandsuploadproblemen, API-beveiliging.

API-penetratietesten

Het dominante moderne aanvalsoppervlak. Test authenticatie (OAuth, JWT), BOLA/IDOR, rate limiting, gegevensblootstelling, bedrijfslogicasequencing en GraphQL-specifieke aanvallen.

Cloud-penetratietesten

IAM-misconfiguraties, openbare opslagbuckets, beveiligingsgroepen, serverless-/Lambda-kwetsbaarheden, container escapes, K8s-misconfiguraties en metadata-service-aanvallen (IMDSv1).

Social engineering

Phishingcampagnes, vishing, fysieke inbraakpogingen en pretexting — het testen van het menselijke element van beveiliging.

Red team-beoordelingen

⚠️ De ultieme test

Red teaming simuleert een echte tegenstander gedurende weken tot maanden: doelgericht, volledige scope (technisch + sociaal + fysiek), gericht op stealth, en test uw volledige beveiligingsprogramma — niet alleen technische controles.


Penetratietestenmethodologie (PTES)

7 PTES-fasen

Andere erkende methodologieën: OSSTMM (operationele beveiliging), OWASP Testing Guide (webapps), NIST SP 800-115 (testen van informatiebeveiliging), TIBER-EU (red teaming voor de financiële sector, afgestemd op DORA).


De vijf fasen van penetratietesten

Fase 1: Planning & verkenning

Definieer scope, regels van engagement, schriftelijke autorisatie. Daarna passieve verkenning (OSINT, DNS, certificaattransparantie, lekdatabases) en actieve verkenning (poortscanning, crawling, fingerprinting).

Fase 2: Scanning & kwetsbaarheidsontdekking

Geautomatiseerde scanning (Nessus, OpenVAS, Nuclei), webapplicatiescanning (Burp Suite, ZAP), handmatige analyse, authenticatietesten, SSL/TLS-analyse.

Fase 3: Exploitatie

ℹ️ Gecontroleerd & veilig

Professioneel pentesten demonstreert exploiteerbaarheid zonder schade te veroorzaken — het bewijst dat toegang mogelijk is zonder productiegegevens te vernietigen of te exfiltreren.

Fase 4: Post-exploitatie

Beoordeling van de werkelijke impact: privilege-escalatie, laterale beweging, gegevenstoegang, persistentie en pivoting. Dit toont de zakelijke impact aan — het verschil tussen "dit systeem heeft een fout" en "deze fout geeft toegang tot 10 miljoen klantgegevens."

Fase 5: Rapportage & herstel

Managementsamenvatting voor niet-technische belanghebbenden. Technische bevindingen met CVSS, CWE, PoC-bewijs en herstelrichtlijnen. Herstelroutekaart met prioriteiten. Hertest om fixes te valideren.


Handmatig vs geautomatiseerd penetratietesten

De ideale aanpak: beide

Continue geautomatiseerde testen voor brede, herhaalbare dekking over alle assets. Periodiek handmatig testen (per kwartaal/jaarlijks) voor diepte — bedrijfslogica, creatieve aanvallen, nieuwe kwetsbaarheden. Gericht handmatig testen na grote wijzigingen.

AspectHandmatigGeautomatiseerd
Bedrijfslogica✅ Uitstekend❌ Beperkt
Creatieve aanvalsketens✅ Uitstekend❌ Beperkt
Consistentie❌ Verschilt✅ Elke keer
Schaal❌ Beperkt✅ Horizontaal
Snelheid❌ Weken✅ Uren
Kosten❌ €15K–€80K/opdracht✅ €990/maand
CI/CD-integratie❌ Nee✅ Ja

Hoeveel kost penetratietesten?

Handmatig penetratietesten

TypeDuurKostenbereik
Extern netwerk-pentest3–5 dagen€5.000–€15.000
Intern netwerk-pentest5–10 dagen€8.000–€25.000
Webapplicatie-pentest5–15 dagen€8.000–€30.000
API-pentest3–10 dagen€5.000–€20.000
Cloudomgeving-pentest5–15 dagen€10.000–€35.000
Red team-beoordeling2–6 weken€30.000–€100.000+

Geautomatiseerd alternatief

KENSAI biedt continue AI-gestuurde penetratietesten vanaf €990/maand — dekt hetzelfde oppervlak voor een fractie van de kosten. 50 applicaties handmatig testen: €400K+/jaar. Met KENSAI: een fractie daarvan.


Hoe vaak moet u pentesten?

Type testMinimumAanbevolen
Geautomatiseerde kwetsbaarheidsscanningWekelijksContinu
Geautomatiseerde penetratietestenMaandelijksNa elke grote wijziging
Handmatige webapplicatie-pentestJaarlijksPer kwartaal
Extern netwerk-pentestJaarlijksHalfjaarlijks
Red team-beoordelingElke 2 jaarJaarlijks

Voer aanvullende testen uit bij: Grote releases, infrastructuurwijzigingen, na een inbreuk, nieuwe compliancescope, wijzigingen bij derden of verificatie na herstel.

Probeer KENSAI gratis

Ontdek wat een echte aanvaller zou vinden. AI-gestuurde scanning voor webapps, API's en infrastructuur.

Start gratis scan →

Penetratietesten en compliance

KaderVereiste
NIS2Regelmatige beveiligingstests als onderdeel van risicobeheersmaatregelen
DORADreigingsgestuurde penetratietesten (TLPT) elke 3 jaar voor significante financiële entiteiten
PCI DSS 4.0Jaarlijks extern + intern pentesten; na significante wijzigingen; segmentatietesten elke 6 maanden
ISO 27001Technisch kwetsbaarheidsbeheer (A.8.8) en beveiligingstesten
AVGArtikel 32: "regelmatig testen, beoordelen en evalueren" van beveiligingsmaatregelen

Hoe KENSAI penetratietesten automatiseert

Wat KENSAI automatiseert

Verkenning — aanvalsoppervlakontdekking, fingerprinting. Kwetsbaarheidsontdekking — 332.000+ CVE's plus misconfiguraties. Exploitatievalidatie — AI-gestuurde bevestiging met weinig vals positieven. Risicoprioritering — ernst + exploiteerbaarheid + zakelijke context. Compliancemapping — NIS2, DORA, AVG, PCI DSS.

AI-gestuurde intelligentie

Slimme crawling van JavaScript-zware SPA's, adaptief testen op basis van reacties, AI-reductie van vals positieven en contextuele prioritering voorbij CVSS-scores.

Continu testmodel

Geplande terugkerende scans, on-demand testen na deployments, trendtracking in de loop der tijd en regressiedetectie voor kwetsbaarheden die terugkeren.

Vult handmatig testen aan

KENSAI neemt systematische controles voor zijn rekening zodat pentesters zich kunnen richten op creatieve, hoogwaardige testen. Continue monitoring vult hiaten tussen jaarlijkse opdrachten op. Pre-pentest voorbereiding identificeert voor de hand liggende problemen voordat de handmatige opdracht begint.

Prijzen

Professional: €990/maand — uitgebreide geautomatiseerde beveiligingstesten. Enterprise: €2.490/maand — geavanceerde functies, hogere scanvolumes, toegewijde ondersteuning.


Veelgestelde vragen

Wat is penetratietesten?

Een geautoriseerde, gesimuleerde cyberaanval met dezelfde tools en technieken als echte aanvallers. In tegenstelling tot kwetsbaarheidsscanning exploiteert pentesten actief kwetsbaarheden om te bewijzen dat ze echt zijn en de zakelijke impact te beoordelen.

Wat zijn de belangrijkste soorten?

Netwerk (extern/intern), webapplicatie, API, cloud, social engineering, draadloos en red team-beoordelingen. De meeste organisaties beginnen met extern netwerk- en webapplicatietesten.

Hoeveel kost een penetratietest?

Handmatig: €5.000–€30.000 per opdracht (red teams: €100K+). Geautomatiseerde platformen zoals KENSAI: vanaf €990/maand voor continue testen.

Hoe vaak moet u pentesten?

Minimaal jaarlijks. Per kwartaal voor kritieke applicaties. Daarnaast na grote wijzigingen. De trend is continue geautomatiseerde testen aangevuld met periodiek handmatig testen.

Is pentesten vereist voor compliance?

Ja voor de meeste kaders: PCI DSS (jaarlijks, verplicht), DORA (TLPT elke 3 jaar), NIS2 (regelmatige testen), ISO 27001 (kwetsbaarheidsbeoordeling), AVG (regelmatige testen/evaluatie).

Kan geautomatiseerd pentesten handmatig vervangen?

Niet volledig. Geautomatiseerd dekt systematische controles, bekende CVE's en configuratieanalyse. Handmatig testen is nodig voor bedrijfslogica, creatieve meerstapsaanvallen en social engineering. Gebruik beide.

Wat is het verschil tussen black-box en white-box?

Black-box: geen voorkennis (simulatie externe aanvaller). White-box: volledige informatie inclusief broncode (maximale dekking). Grey-box: gedeeltelijke kennis (simulatie insider). Gebruik meerdere voor uitgebreide dekking.

Probeer KENSAI gratis

Ken uw kwetsbaarheden voordat aanvallers dat doen. Continue, AI-gestuurde penetratietesten met compliance-klare rapportage.

Start gratis scan →

Beveiliging is niet optioneel.

🗡️ Het KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home