Veel organisaties beginnen hun beveiligingsstrategie met een vulnerability scan. Dat is logisch: een vulnerability scan is relatief goedkoop, snel uit te voeren en levert een overzicht van kwetsbaarheden op. Vaak verschijnt er binnen enkele minuten een rapport met kwetsbaarheden, CVE-nummers en de ernst van een kwetsbaarheid.
Het resultaat kan geruststellend lijken. Als de scan weinig kritieke kwetsbaarheden toont, ontstaat al snel de conclusie dat de omgeving redelijk veilig is.
Maar in de praktijk blijkt dat dit gevoel van veiligheid vaak misleidend is.
Een vulnerability scan laat namelijk slechts een deel van het risico zien. En juist de kwetsbaarheden die het grootste impact kunnen hebben, blijven vaak buiten beeld.
Wat een vulnerability scan eigenlijk doet
Een vulnerability scan is in essentie een geautomatiseerde controle op bekende kwetsbaarheden. De scanner vergelijkt software, configuraties en services met databases van bekende beveiligingsproblemen.
Dit werkt bijvoorbeeld goed voor:
- verouderde softwareversies
- bekende CVE-kwetsbaarheden
- misconfiguraties met duidelijke signatures
- ontbrekende security headers
- zwakke TLS-configuraties
In dat opzicht vervullen vulnerability scans een nuttige rol. Ze helpen organisaties om basisproblemen te identificeren en regelmatig te controleren of systemen up-to-date zijn.
Maar scanners kijken vooral naar wat bekend en meetbaar is. Ze beoordelen niet hoe een systeem zich gedraagt in de praktijk, en ook niet hoe verschillende onderdelen van een omgeving met elkaar interageren.
Daar begint het verschil tussen een vulnerability scan en een echte beveiligingstest.
Waarom vulnerability scans zelden het volledige risico tonen
Een vulnerability scan werkt volgens vooraf gedefinieerde regels. De scanner zoekt naar patronen die overeenkomen met bekende kwetsbaarheden.
Wat hij niet doet, is nadenken zoals een aanvaller dat zou doen.
Een scanner vraagt bijvoorbeeld niet:
- kan een gebruiker toegang krijgen tot data die niet voor hem bedoeld is?
- kunnen verschillende kwetsbaarheden samen een aanval mogelijk maken?
- kan een aanvaller via één systeem verder bewegen door het netwerk?
- kan de logica van een applicatie worden gemanipuleerd?
Dit soort vragen vereist context, interpretatie en creativiteit. Dat zijn precies de eigenschappen die geautomatiseerde scanners niet hebben.
Het gevolg is dat een omgeving technisch “schoon” kan lijken in een scanrapport, terwijl er in werkelijkheid nog steeds serieuze aanvalspaden bestaan.
Kwetsbaarheden zonder CVE
Een belangrijk probleem is dat veel beveiligingsrisico’s geen officiële kwetsbaarheid hebben.
Denk bijvoorbeeld aan fouten in autorisatie of businesslogica binnen een applicatie, kwetsbaarheden die vaak pas zichtbaar worden tijdens een webapplicatie pentest. Of aan businesslogica-problemen waarbij bestelprocessen, kortingssystemen of betaalflows kunnen worden gemanipuleerd.
Dit soort problemen ontstaan niet door een fout in softwareversies, maar door hoe systemen zijn ontworpen.
Omdat er geen CVE-nummer aan gekoppeld is, zal een scanner ze meestal niet detecteren.
Toch kunnen juist deze kwetsbaarheden leiden tot datalekken, fraude of ongeautoriseerde toegang tot gevoelige informatie.
Het probleem van context
Een andere beperking van vulnerability scans is het gebrek aan context.
Een scanner kan bijvoorbeeld vaststellen dat een bepaalde service draait op een server. Maar hij begrijpt niet hoe die service in de bredere infrastructuur past.
Stel dat een webserver een relatief kleine kwetsbaarheid bevat. Op zichzelf lijkt het risico beperkt. Maar als diezelfde server toegang heeft tot interne API’s, databases of cloudresources, kan die kwetsbaarheid het startpunt worden van een veel grotere aanval.
Aanvallers denken in aanvalspaden, niet in losse kwetsbaarheden. Zodra een aanvaller toegang heeft tot één systeem, kan hij proberen zich verder door een infrastructuur te bewegen. Tijdens een netwerk pentest wordt onderzocht hoe realistisch zulke aanvalspaden zijn.
Ze combineren kleine fouten tot een groter geheel. Dat is precies waar geautomatiseerde scans tekortschieten.
Waarom vulnerability scans toch populair blijven
Ondanks deze beperkingen blijven vulnerability scans populair. Dat heeft een aantal duidelijke redenen.
Ten eerste zijn vulnerability scans snel, makkelijk uitvoerbaar en relatief goedkoop. Binnen korte tijd kan een organisatie een overzicht krijgen van bekende kwetsbaarheden.
Daarnaast sluiten dit soort scans goed aan op compliance-eisen. Veel normen en frameworks vragen om vulnerability management. Een scanrapport biedt een tastbaar bewijs dat er controles zijn uitgevoerd.
Maar compliance betekent niet automatisch dat een omgeving daadwerkelijk veilig is. Het betekent vooral dat bepaalde controles aantoonbaar zijn uitgevoerd.
Het risico ontstaat wanneer organisaties vulnerability scans zien als een vervanging voor diepgaand securityonderzoek.
Het verschil tussen een vulnerability scan en een pentest
Waar een vulnerability scan geautomatiseerd zoekt naar bekende kwetsbaarheden, probeert een pentest te begrijpen hoe een aanvaller een systeem werkelijk zou kunnen misbruiken.
Tijdens een pentest wordt bijvoorbeeld onderzocht:
- hoe authenticatie en autorisatie in de praktijk functioneren
- of systemen op onverwachte manieren met elkaar verbonden zijn
- of misconfiguraties toegang geven tot gevoelige resources
- hoe een aanvaller zich na eerste toegang verder kan bewegen
Het doel is niet alleen het vinden van kwetsbaarheden, maar het identificeren van realistische aanvalsscenario’s.
Daardoor ontstaat een veel completer beeld van het werkelijke risico.
Wanneer een vulnerability scan wél waardevol is
Dat betekent niet dat vulnerability scans nutteloos zijn. Integendeel, ze vormen een belangrijk onderdeel van een volwassen securitystrategie.
Vulnerability scans zijn bijzonder geschikt voor:
- het continu monitoren van bekende kwetsbaarheden
- het controleren van patchmanagement
- het identificeren van basisconfiguratieproblemen
- het ondersteunen van vulnerability management processen
Ze zijn alleen niet bedoeld als vervanging voor diepgaand securityonderzoek.
Een vulnerability scan laat zien waar bekende kwetsbaarheden zitten. Een pentest laat zien hoe een aanvaller die kwetsbaarheden daadwerkelijk kan misbruiken.
Conclusie
Vulnerability scans zijn een nuttig hulpmiddel, maar ze geven slechts een gedeeltelijk beeld van de veiligheid van een systeem. Ze detecteren bekende kwetsbaarheden, maar missen vaak de context, creativiteit en aanvalsperspectieven die nodig zijn om echte risico’s zichtbaar te maken.
Juist daarom kan een schoon scanrapport soms een vals gevoel van veiligheid geven.
Organisaties die hun beveiliging serieus nemen, combineren vulnerability management met periodieke pentesten. Alleen zo ontstaat een realistisch beeld van hoe weerbaar een digitale omgeving daadwerkelijk is.
Wil je weten of jouw website of applicatie niet alleen technisch schoon lijkt, maar ook bestand is tegen realistische aanvalsscenario’s?
Een pentest laat zien waar kwetsbaarheden daadwerkelijk impact hebben en hoe een aanvaller een systeem zou kunnen misbruiken.
Bekijk onze pentesten of neem contact op voor een vrijblijvend gesprek.