Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Penetratietest

Processen

Handmatige controle waarbij men zo diep mogelijk wil binnendringen in een digitaal systeem om zwakke plekken te vinden en de gevolgen hiervan te kennen. Men gebruikt de zwakke plekken om nog wat dieper in het systeem te komen. Doel van de test is niet om zoveel mogelijk zwakke plekken te vinden, maar om te onderzoeken of een systeem zwakke plekken kent. Het zoeken naar zoveel mogelijk zwakke plekken gebeurt wel bij een vulnerability scan.

Een penetratietest, ook wel pentest genoemd, is een gecontroleerde aanval op je IT-systemen, netwerken of applicaties. Het doel is om kwetsbaarheden te vinden voordat kwaadwillende hackers dat doen. Een gecertificeerde ethical hacker probeert op dezelfde manier als een echte aanvaller binnen te komen, maar dan met toestemming en binnen duidelijke afspraken.

Waar een vulnerability scan geautomatiseerd zoekt naar bekende zwakke plekken, gaat een penetratietest verder. De tester combineert handmatige technieken met tooling om te onderzoeken of gevonden kwetsbaarheden daadwerkelijk te misbruiken zijn. Daarmee krijg je een realistisch beeld van het risico dat je organisatie loopt.

Hoe werkt een penetratietest? Stappen

Een professionele penetratietest doorloopt een aantal vaste fasen:

  1. Scoping en intake - Samen met de opdrachtgever bepaal je de scope: welke systemen, applicaties of netwerken worden getest? Hier stel je ook de regels vast, zoals testtijden en welke methoden zijn toegestaan.
  2. Reconnaissance (verkenning) - De tester verzamelt informatie over het doelwit. Bij een black box test gebeurt dit via open bronnen (OSINT). Bij een white box test krijgt de tester vooraf toegang tot documentatie en broncode.
  3. Vulnerability assessment - Met gespecialiseerde tools en handmatige technieken brengt de tester alle potentiële kwetsbaarheden in kaart. Denk aan verouderde software, zwakke configuraties of onveilige authenticatiemechanismen.
  4. Exploitatie - De tester probeert de gevonden kwetsbaarheden actief te exploiteren. Hiermee toont hij aan of een kwetsbaarheid daadwerkelijk misbruikt kan worden en wat de impact is.
  5. Post-exploitatie - Na succesvolle toegang onderzoekt de tester hoe ver hij kan komen. Kan hij lateraal bewegen door het netwerk? Zijn er gevoelige gegevens bereikbaar?
  6. Rapportage - Alle bevindingen komen in een gedetailleerd rapport. Per kwetsbaarheid beschrijft de tester de ernst, het risico en een concrete aanbeveling om het probleem te verhelpen.

Soorten penetratietesten

Er bestaan verschillende soorten pentests, afhankelijk van hoeveel informatie de tester vooraf krijgt en wat het doelwit is:

  • Black box pentest - De tester krijgt geen voorkennis over de omgeving. Dit simuleert een aanval door een externe hacker en geeft het meest realistische beeld van je aanvalsoppervlak.
  • Grey box pentest - De tester ontvangt beperkte informatie, bijvoorbeeld inloggegevens of netwerkdiagrammen. Dit is de meest gangbare aanpak en biedt een goede balans tussen diepgang en realisme.
  • White box pentest - De tester krijgt volledige toegang tot broncode, architectuur en documentatie. Hiermee vind je de meeste kwetsbaarheden in de kortste tijd.
  • Externe pentest - Richt zich op systemen die bereikbaar zijn vanaf het internet, zoals websites, API's en firewalls.
  • Interne pentest - Simuleert een aanvaller die al toegang heeft tot het interne netwerk, bijvoorbeeld via een gecompromitteerd werkstation.
  • Red team assessment - Een bredere en langere test waarbij het volledige beveiligingsniveau wordt getoetst, inclusief fysieke beveiliging en social engineering.

Wanneer voer je een penetratietest uit?

Er zijn verschillende momenten waarop een penetratietest waardevol is:

  • Voor een livegang - Test nieuwe applicaties of platforms voordat ze in productie gaan. Zo voorkom je dat kwetsbaarheden direct exploiteerbaar zijn.
  • Na grote wijzigingen - Bij een infrastructuurmigratie, nieuwe integraties of grote software-updates is een hertest verstandig.
  • Periodiek - Veel organisaties laten jaarlijks of halfjaarlijks een pentest uitvoeren. Bij sectoren met strenge compliance-eisen, zoals financiële dienstverlening of de zorg, is dit vaak verplicht.
  • Na een incident - Als je organisatie te maken heeft gehad met een datalek of beveiligingsincident, helpt een pentest om te controleren of de genomen maatregelen effectief zijn.
  • Voor certificering - Standaarden zoals ISO 27001 en NEN 7510 vragen om regelmatige beveiligingstests als onderdeel van je informatiebeveiligingsbeleid.

Wat kost een penetratietest?

De kosten van een penetratietest in Nederland variëren sterk op basis van scope en complexiteit. Reken als richtlijn op de volgende prijsindicaties:

  • Eenvoudige webapplicatie - Vanaf circa 3.000 euro voor een beperkte scope met 2-3 testdagen.
  • Middelgrote omgeving - Tussen 5.000 en 10.000 euro voor een webapplicatie met meerdere rollen, API-koppelingen en een achterliggende database.
  • Complexe infrastructuur - Vanaf 10.000 tot 25.000 euro bij uitgebreide netwerken, meerdere applicaties of een combinatie van externe en interne tests.
  • Red team assessment - Vanaf 15.000 euro, afhankelijk van de duur en het aantal aanvalsscenario's.

De uiteindelijke prijs hangt af van factoren zoals het aantal testdagen, de complexiteit van de omgeving, de gewenste testmethode (black/grey/white box) en de certificeringen van de testers. Vraag altijd een offerte op maat aan bij gespecialiseerde pentest-aanbieders.

Waar let je op bij het kiezen van een pentestaanbieder?

Niet elke aanbieder levert dezelfde kwaliteit. Let bij je keuze op de volgende punten:

  • Certificeringen - Zoek testers met erkende certificeringen zoals OSCP, CREST of CEH. Deze garanderen een minimaal kennisniveau.
  • Rapportagekwaliteit - Een goed rapport bevat niet alleen bevindingen, maar ook concrete aanbevelingen en een management summary.
  • Hertest - Controleer of een gratis hertest is inbegrepen, zodat je kunt verifiëren dat kwetsbaarheden daadwerkelijk zijn verholpen.
  • Referenties - Vraag naar ervaring in jouw sector. Een pentest voor een SaaS-platform vraagt andere expertise dan een test van industriële besturingssystemen.

Veelgestelde vragen over penetratietesten

Wat is het verschil tussen een penetratietest en een vulnerability scan?
Een vulnerability scan is een geautomatiseerde check op bekende kwetsbaarheden. Een penetratietest gaat verder: een ethical hacker probeert kwetsbaarheden daadwerkelijk te exploiteren en beoordeelt de impact handmatig. Een pentest levert diepere inzichten en minder false positives op.

Hoe lang duurt een penetratietest?
Een gemiddelde pentest duurt 3 tot 10 werkdagen, afhankelijk van de scope. Een eenvoudige webapplicatietest kan in 2-3 dagen, terwijl een uitgebreide infrastructuurtest of red team assessment weken kan duren.

Veroorzaakt een pentest downtime?
In de meeste gevallen niet. Professionele pentesters werken zo dat productiesystemen beschikbaar blijven. In de scoping-fase bespreek je specifieke risico's en maak je afspraken over wat wel en niet mag.

Hoe vaak moet je een penetratietest laten uitvoeren?
Minimaal eenmaal per jaar, of vaker bij grote wijzigingen in je IT-omgeving. Organisaties in gereguleerde sectoren (financieel, zorg, overheid) testen vaak elk halfjaar of bij elke grote release.

Is een pentest verplicht?
Een pentest is niet wettelijk verplicht, maar wordt sterk aanbevolen door standaarden als ISO 27001, NEN 7510 en de NIS2-richtlijn. Voor bepaalde certificeringen en in aanbestedingen is een recente pentest vaak een vereiste.

Wat gebeurt er als er kritieke kwetsbaarheden worden gevonden?
Bij kritieke bevindingen meldt de tester deze direct aan de opdrachtgever, zonder het eindrapport af te wachten. Zo kun je direct actie ondernemen om het risico te beperken.

Vind de juiste pentest-aanbieder. Vergelijk pentesting aanbieders op IBgidsNL.

Gerelateerde begrippen

SecuritytestVulnerability scan