Vulnerability Scanning as a Service

Wat is vulnerability scanning?

Vulnerability scanning is het geautomatiseerd doorzoeken van je IT-omgeving op bekende kwetsbaarheden — zwakke plekken in software, configuraties en systemen die een aanvaller kan misbruiken. Een scanner vergelijkt je systemen met databases van bekende kwetsbaarheden (CVE's) en rapporteert wat er openstaat, hoe ernstig het is en wat je eraan kunt doen.

Het is geen aanval — het is een gezondheidscheck van je digitale omgeving. Waar een penetratietest simuleert hoe een aanvaller te werk gaat, inventariseert vulnerability scanning systematisch alle bekende zwakke plekken. De output is een geprioriteerde lijst van kwetsbaarheden met CVSS-scores, EPSS-kansen en remediatie-aanbevelingen.

Vulnerability scanning maakt deel uit van het bredere domein van vulnerability management: het doorlopende proces van identificeren, beoordelen, prioriteren en verhelpen van kwetsbaarheden. Scannen is de detectiefase van dat proces — zonder scanning is vulnerability management blind.

Wat detecteert een vulnerability scanner?

• Verouderde software — besturingssystemen, applicaties en libraries zonder actuele patches
• Configuratiefouten — standaard wachtwoorden, open poorten, onjuiste toegangsrechten
• Ontbrekende patches — bekende kwetsbaarheden waarvoor updates beschikbaar zijn maar niet zijn geïnstalleerd
• Onveilige protocollen — verouderde TLS-versies, onversleutelde verbindingen
• Cloud misconfiguraties — publiek toegankelijke S3-buckets, verkeerde IAM-rechten, onbeveiligde API-endpoints
• Webapplicatie-kwetsbaarheden — SQL injection, cross-site scripting (XSS), OWASP Top 10

Waarom is vulnerability scanning belangrijk voor het MKB?

Jaarlijks worden meer dan 25.000 nieuwe CVE's gepubliceerd. Slechts ~6% wordt daadwerkelijk geëxploiteerd — maar die 6% veroorzaakt 100% van de schade. Het probleem: zonder vulnerability scanning weet je niet welke kwetsbaarheden in jouw omgeving aanwezig zijn, laat staan of ze tot die gevaarlijke 6% behoren.

Het window of exploitation krimpt razendsnel

In 2020 duurde het gemiddeld 42 dagen voordat een gepubliceerde kwetsbaarheid werd geëxploiteerd (Bron: IBM Cost of a Data Breach Report 2024). In 2024 is dit gedaald naar minder dan 15 dagen, met 28% van exploits beschikbaar binnen 24 uur na publicatie. Dit betekent dat jaarlijks of kwartaal scannen niet meer voldoende is — maandelijks is het minimum, wekelijks is de aanbevolen frequentie voor kritieke systemen.

Het MKB is een favoriet doelwit

Volgens de CBS Cybersecuritymonitor 2024 had 43% van het Nederlandse MKB in 2024 te maken met een security-incident (Bron: CBS Cybersecuritymonitor 2024). De gemiddelde schade per incident bedraagt €270.000 — een bedrag dat de meeste MKB-bedrijven niet kunnen opvangen. Bovendien gaat 60% van de kleine bedrijven binnen zes maanden failliet na een ernstige cyberaanval (Bron: CBS Cybersecuritymonitor 2024).

Het MKB wordt niet minder aangevallen dan enterprise-organisaties. Het is een makkelijker doelwit: minder security-personeel, minder volwassen processen, en vaak achterstallig patchbeheer. Vulnerability scanning is de meest kosteneffectieve manier om die achterstand in te halen.

Kwetsbaarheden als initiële aanvalsvector

Vulnerability exploitation is bij 60% van security breaches de initiële aanvalsvector. Aanvallers scannen het internet permanent op bekende kwetsbare systemen met tools als Shodan, Censys en Masscan — precies dezelfde technologie die vulnerability scanners gebruiken. Het verschil: jij gebruikt het defensief, zij offensief. Als jij je eigen systemen niet scant, doen aanvallers het voor je.

De integratie met SIEM as a Service maakt het mogelijk om scanresultaten te correleren met live dreigingsdata, zodat kwetsbaarheden met actieve exploitatie in het wild direct prioriteit krijgen.

Hoe werkt vulnerability scanning?

Vulnerability scanning is meer dan een knop indrukken. Het volledige proces omvat vijf stappen: inventarisatie, scanning, triage, remediatie en verificatie.

Het scanproces in vijf stappen

1. Asset-inventarisatie (vooraf) — Breng alle systemen in kaart: servers, werkstations, netwerkapparatuur, cloud-diensten, webapplicaties. Je kunt niet beveiligen wat je niet kent. Schaduw-IT en vergeten testomgevingen zijn de meest kwetsbare systemen.
2. Scanning (geautomatiseerd) — De scanner vergelijkt je systemen met CVE-databases en configuratie-benchmarks. Authenticated scans voor interne systemen, unauthenticated voor het externe aanvalsvlak.
3. Triage en prioritering (na elke scan) — Niet elke kwetsbaarheid is even urgent. Prioriteer op basis van CVSS-score (technische ernst), EPSS-kans (kans op exploitatie binnen 30 dagen) en opname in de KEV-catalogus (bevestigde actieve exploitatie).
4. Remediatie (volgens SLA) — Patch of mitigeer kwetsbaarheden volgens prioriteit: kritiek binnen 24–48 uur, hoog binnen zeven dagen, medium binnen 30 dagen, laag in de volgende patchcyclus.
5. Verificatiescan (na remediatie) — Scan opnieuw om te bevestigen dat de kwetsbaarheid is verholpen. Zonder verificatie weet je niet of de patch effectief is.

Prioritering met CVSS, EPSS en KEV

De industrie beweegt weg van CVSS als enige prioriteringscriterium. CVSS meet de technische ernst van een kwetsbaarheid, niet de kans op exploitatie. Een CVSS 9.8-kwetsbaarheid die in de praktijk niet wordt misbruikt, is minder urgent dan een CVSS 7.0 die actief wordt geëxploiteerd.

Het drielaags prioriteringsmodel dat de industrie steeds meer adopteert:

• CVSS — Technische ernst: hoe erg kan het zijn als het wordt misbruikt?
• EPSS — Exploit Prediction Scoring System: hoe groot is de kans op exploitatie binnen 30 dagen?
• KEV — CISA Known Exploited Vulnerabilities: wordt deze kwetsbaarheid nu actief misbruikt?

Dit drielaags model reduceert het aantal "kritieke" kwetsbaarheden van duizenden naar tientallen — beheersbaar voor elk MKB zonder dedicated security-team.

Typen vulnerability scans

Niet elke scan is gelijk. De keuze voor het juiste scantype hangt af van je omgeving, risicoprofiel en compliancevereisten.

Authenticated vs unauthenticated scanning

Dit is de meest kritieke keuze in je vulnerability scanning aanpak. Een unauthenticated scan ziet alleen wat een buitenstaander ziet — vergelijkbaar met hoe een aanvaller je systemen van buitenaf bekijkt. Een authenticated scan logt in op systemen en detecteert 2–5x meer kwetsbaarheden, inclusief ontbrekende patches, verouderde software en configuratiefouten die van buitenaf onzichtbaar zijn.

Unauthenticated scans zijn nuttig als baseline en voor het externe aanvalsvlak. Voor interne systemen zijn authenticated scans verplicht als je werkelijk grip wilt krijgen op je kwetsbaarhedenprofiel.

Scantypen per omgeving

• Externe netwerkscan — Scant publiek bereikbare systemen: webservers, VPN-gateways, e-mailservers. Minimaal maandelijks — dit is wat aanvallers als eerste zien.
• Interne netwerkscan — Scant het interne netwerk: servers, werkstations, printers, netwerkapparatuur. Detecteert lateral movement-risico's en zwakke punten die na initiële toegang worden uitgebuit.
• Webapplicatiescan — Scant websites en webapplicaties op OWASP Top 10: SQL injection, XSS, onveilige authenticatie (Bron: OWASP Foundation). Na elke release en maandelijks voor productieomgevingen.
• Cloudscan — Scant cloud-configuraties: AWS, Azure, Microsoft 365, GCP. Misconfiguraties zijn de nummer één oorzaak van cloud-incidenten. Continu scannen is de aanbevolen aanpak.

Scanfrequentie per omgeving

Kosten van vulnerability scanning in Nederland

De kosten variëren sterk afhankelijk van bedrijfsgrootte, aantal assets, scanfrequentie en of je kiest voor een selfservice-platform of een managed service waarbij triage en advies zijn inbegrepen.

Kosten per bedrijfsgrootte (2026)

Veelgebruikte prijsmodellen

• Per IP-adres — Vast bedrag per gescand IP-adres. Geschikt voor kleine omgevingen met weinig externe systemen.
• Per asset — Vast bedrag per gescand apparaat of systeem. Geschikt voor voorspelbare omgevingen.
• Flat fee/tier — Vast maandbedrag op basis van organisatiegrootte. Meest voorspelbaar, aanbevolen voor MKB.
• Per scan — Betaal per uitgevoerde scan. Geschikt voor incidenteel scannen, niet aanbevolen als structurele aanpak.

Verborgen kosten om rekening mee te houden

• Remediatie — Scanning vindt kwetsbaarheden, maar fixen kost tijd en geld. Reken op 2–4 uur per kritieke kwetsbaarheid voor een IT-medewerker.
• Authenticated scan setup — Configuratie van scanaccounts, firewall-regels en credentials management vereist initiële investering.
• False positive triage — Zonder expert-triage besteed je uren aan het beoordelen van niet-bestaande kwetsbaarheden. Managed services nemen dit over.
• Extra scantypen — Webapplicatie- en cloudscans zijn vaak aparte modules met eigen licentiekosten.

ROI-berekening

Een MKB-investering van €8.000/jaar in vulnerability scanning versus een gemiddelde schade van €270.000 per incident. Als scanning de kans op een incident met 30% verlaagt — conservatief, gezien dat kwetsbaarheden bij 60% van breaches de initiële aanvalsvector zijn — is de besparing in verwachte schade €81.000 per jaar. De return on investment is positief bij de eerste vermeden incident.

Selectiecriteria voor vulnerability scanning oplossingen

Niet elke vulnerability scanner is geschikt voor jouw situatie. Deze criteria helpen je de juiste keuze te maken.

Technische criteria

• Cloud-native architectuur — Geen on-premise hardware nodig, schaalt mee met je omgeving, automatische CVE-database updates.
• EPSS-integratie — Exploit Prediction Scoring System: berekent de kans dat een kwetsbaarheid daadwerkelijk wordt misbruikt. Voorkomt dat je 25.000 CVE's handmatig moet prioriteren.
• Authenticated scanning — Detecteert 2–5x meer kwetsbaarheden dan unauthenticated. Must-have voor intern scannen.
• Multi-omgeving ondersteuning — Netwerk, web, cloud en containers vanuit één platform.
• SLA voor CVE-database updates — Hoe snel worden nieuwe CVE's opgenomen? Binnen 24 uur is de norm.
• API en integraties — Koppeling met SIEM, ticketsysteem en CI/CD pipeline voor geautomatiseerde workflows.

Operationele criteria

• Rapportage op managementniveau — Technische rapporten voor IT, executive summaries voor directie, compliance-overzichten voor auditors.
• NIS2-compliance mapping — Automatische mapping van bevindingen naar NIS2 Art. 21 maatregelen.
• Patch management integratie — Directe koppeling met je patchsysteem zodat gevonden kwetsbaarheden automatisch in de patch-pipeline terechtkomen.
• False positive rate — Hoge false positive rates leiden tot alert fatigue. Vraag naar benchmarks en of de service triage inbegrepen heeft.

Tien vragen aan je leverancier

1. Ondersteunen jullie authenticated scanning voor alle OS-types?
2. Hoe snel worden nieuwe CVE's opgenomen in de scandatabase?
3. Bieden jullie EPSS-gebaseerde prioritering?
4. Wat is de gemiddelde false positive rate na triage?
5. Ondersteunen jullie cloud-configuratiescans (AWS, Azure, M365)?
6. Hoe integreren jullie met onze patch management tooling?
7. Bieden jullie NIS2-compliance rapportages?
8. Wat is inbegrepen bij "managed" — alleen scanning of ook triage en remediatie-advies?
9. Hoe werkt het prijsmodel bij groei van het aantal assets?
10. Kunnen we scanresultaten exporteren naar ons SIEM of ticketsysteem via API?

Voor organisaties die al werken met Endpoint Detection and Response (EDR) biedt een geïntegreerde aanpak meerwaarde: vulnerability scanning identificeert kwetsbare endpoints, EDR detecteert actieve exploitatie van die kwetsbaarheden in realtime.

Veelgemaakte fouten bij vulnerability scanning

Deze acht valkuilen ondermijnen de effectiviteit van je vulnerability management programma — en ze zijn allemaal te voorkomen.

1. Scannen zonder opvolging

De meest voorkomende fout: regelmatig scannen maar niets doen met de resultaten. Een kwetsbaarheidsrapport dat in een la belandt, beschermt niemand. Koppel elke scan aan een remediatieproces met duidelijke eigenaren, deadlines en escalatieprocedures.

2. Vulnerability management als project behandelen

Een eenmalige scan is een momentopname. Nieuwe kwetsbaarheden verschijnen dagelijks. Vulnerability management is een doorlopend proces, geen project. Organisaties die het als project behandelen, vervallen na de eerste scan weer in de oude situatie.

3. Alleen extern scannen

Externe scans tonen wat een aanvaller van buitenaf ziet. Maar de meeste schade ontstaat na initiële toegang — via lateral movement, privilege escalation en toegang tot interne systemen. Interne authenticated scans zijn minstens zo belangrijk als externe scans.

4. Geen actuele asset-inventaris

Je kunt niet scannen wat je niet kent. Schaduw-IT, vergeten testservers, oude webapplicaties — dit zijn de systemen die het eerst worden gecompromitteerd. Begin elke vulnerability management cyclus met een actuele asset-inventaris.

5. CVSS als enige prioriteringscriterium

CVSS meet de technische ernst, niet de kans op exploitatie. Een CVSS 9.8-kwetsbaarheid die in de praktijk niet wordt misbruikt, is minder urgent dan een CVSS 7.0 die actief geëxploiteerd wordt. Combineer CVSS met EPSS en de KEV-catalogus voor een realistisch prioriteringsmodel.

6. Patch management niet geïntegreerd

Vulnerability scanning en patch management zijn twee kanten van dezelfde medaille. Als je scansysteem niet automatisch kwetsbaarheden doorstuurt naar je patchsysteem, ontstaan handmatige tussenstappen die vertragen en foutgevoelig zijn.

7. Compliance als doel in plaats van middel

Scannen omdat de auditor het vraagt, niet omdat je wilt weten of je kwetsbaar bent. Het resultaat: een minimale scan op het minimale aantal systemen, net genoeg voor het vinkje. Dit beschermt tegen auditors, niet tegen aanvallers.

8. Geen communicatie naar management

Als management niet weet welke risico's er zijn, worden er geen middelen vrijgemaakt voor remediatie. Vertaal technische bevindingen naar bedrijfsrisico's: "We hebben 12 kritieke kwetsbaarheden op systemen die klantdata verwerken. Zonder patch lopen we €X risico." Dat is een taal die budget vrijmaakt.

Vulnerability scanning vs penetratietest vs bug bounty

Vulnerability scanning, penetratietests en bug bounty programma's vullen elkaar aan — ze zijn geen alternatieven voor elkaar. Begrijpen wanneer je welke aanpak inzet, is essentieel voor een volwassen security-programma.

Vergelijking

Maturiteitsmodel: drie fases

Een veelgemaakte fout is starten met een penetratietest in een omgeving die vol staat met bekende, ongepatchte kwetsbaarheden. De pentester vindt dezelfde kwetsbaarheden die een scanner in 30 minuten had gevonden — verspild geld.

• Fase 1: Basis — Geautomatiseerde vulnerability scanning (extern + intern, authenticated). Nu starten — dit is de minimale baseline.
• Fase 2: Verdieping — Jaarlijkse penetratietest op kritieke systemen, gecombineerd met doorlopende scanning. Start als scanning structureel draait en remediatie op orde is.
• Fase 3: Volwassen — Bug bounty programma plus continue scanning plus periodieke pentests plus CTEM. Enterprise-niveau: maximale dekking van bekende en onbekende kwetsbaarheden.

NIS2-compliance en kwetsbaarheidsbeheer

De Cyberbeveiligingswet — de Nederlandse implementatie van de NIS2-richtlijn — maakt kwetsbaarheidsbeheer wettelijk verplicht voor circa 10 (Bron: NCSC / Digitale Overheid).000 Nederlandse organisaties. De wet treedt naar verwachting in Q2 2026 in werking.

NIS2 Artikel 21, lid 2

NIS2 Artikel 21, lid 2 verplicht essentiële en belangrijke entiteiten tot het nemen van maatregelen voor "beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, met inbegrip van de respons op en de bekendmaking van kwetsbaarheden" (Bron: NCSC / Digitale Overheid). Vulnerability scanning is de directe invulling van deze verplichting — het is niet een optionele best practice, maar een aantoonbare plicht.

Boetes en bestuurdersaansprakelijkheid

NIS2 introduceert bestuurdersaansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie niet aan de zorgplicht voldoet. Dit geldt expliciet voor het niet implementeren van kwetsbaarheidsbeheer. Vulnerability scanning rapportages zijn het sterkste compliance-bewijs: ze tonen aan dat je structureel scant, prioriteert op basis van risico en kwetsbaarheden tijdig verhelpt.

Voor organisaties die begeleiding nodig hebben bij de volledige NIS2-implementatie biedt NIS2-compliance begeleiding ondersteuning bij de gap-analyse, de implementatie van technische maatregelen en de voorbereiding op audits.

Trends: CTEM, ASM en AI-gestuurde prioritering

Vulnerability scanning evolueert snel. Vier ontwikkelingen bepalen de richting voor de komende jaren.

CTEM: Continuous Threat Exposure Management

Gartner introduceert CTEM als opvolger van traditioneel vulnerability management. CTEM gaat verder dan scannen: het combineert vulnerability scanning, attack surface management, threat intelligence en business context tot een doorlopend programma dat risico's prioriteert op basis van daadwerkelijke dreiging. Organisaties die CTEM toepassen, ervaren 3x minder breaches dan organisaties met traditioneel vulnerability management.

Attack Surface Management (ASM)

ASM breidt vulnerability scanning uit naar het volledige externe aanvalsvlak: vergeten subdomeinen, schaduw-IT, cloud-diensten die niet in je inventaris staan. De ASM-markt groeit naar $5,2 miljard in 2030 (Bron: Mordor Intelligence / Grand View Research). ASM detecteert wat je niet wist dat je had — en dat is vaak het zwakste punt in je beveiliging.

AI-powered scanning en prioritering

AI versnelt de triage van scanresultaten: automatische false positive reductie, contextbewuste prioritering en voorspellende analyse van welke kwetsbaarheden het eerst worden misbruikt. De combinatie van CVSS, EPSS, KEV en AI maakt het mogelijk om van 25.000 CVE's per jaar te focussen op de vijftig die er werkelijk toe doen.

Integratie met threat intelligence

Vulnerability scanning wordt steeds vaker gecombineerd met threat intelligence feeds die real-time informatie leveren over kwetsbaarheden die actief worden geëxploiteerd. Threat Intelligence Platforms (TIP) verrijken scanresultaten met context over welke dreigingsactoren specifieke kwetsbaarheden misbruiken en in welke sectoren.