Pentest laten uitvoeren
Eén kwetsbaarheid is genoeg
Onze aanpak: handmatig, methodisch, contextgericht
Geautomatiseerde tools vinden bekende patronen. Onze specialisten vinden wat tools missen. DEFION-pentesten worden grotendeels handmatig uitgevoerd. Onze ethical hackers gebruiken ervaring, logica en creativiteit om een realistisch beeld te geven van kwetsbaarheden die een aanvaller daadwerkelijk zou kunnen misbruiken. Alle output van automatische tooling wordt handmatig geverifieerd - geen false positives in uw rapport.
Onze standaard is grey-box: wij testen vanuit de rol van zowel een niet-geauthentiseerde als een geauthentiseerde gebruiker. Dit geeft het meest realistische beeld van uw aanvalsoppervlak. Bevindingen worden getoetst aan de gevestigde standaarden van OWASP Top-10 en NCSC-richtlijnen, aangevuld met de eigen onderzoekservaring die DEFION in meer dan twintig jaar pentesten heeft opgebouwd. Zo heeft u de garantie dat altijd op alle bekende kwetsbaarheden wordt gecontroleerd.
Wat een DEFION pentest u concreet oplevert
- Realistische aanvalssimulatie door ervaren ethical hackers
- Inzicht in kwetsbaarheden én hoe ze kunnen worden gecombineerd of uitgebuit
- Risicoprioritering op basis van uw specifieke bedrijfscontext en impact
- Rapport op zowel technisch als managementniveau — zonder onnodige ruis
- Concrete verbeteracties, direct toepasbaar voor uw teams
- Her-test na herstel mogelijk — zodat u zeker weet dat het dicht is
20+ jaar penetratietesten in de praktijk
DEFION (voortgekomen uit Computest Security en Incide) voert al meer dan twee decennia penetratietesten uit voor organisaties in kritieke sectoren. Die ervaring zit in elke test - niet alleen in de methode, maar in het oordeel van de specialist achter het toetsenbord.
Onze ethical hackers beschikken over erkende certificeringen waaronder OSCP, OSWE & OSEP. Alle specialisten hebben een Verklaring Omtrent Gedrag (VOG) en zijn gebonden aan strikte geheimhouding.
Welke pentest past bij uw situatie?
Afhankelijk van uw IT landschap en doelstellingen voeren wij verschillende typen testen uit:
Webapplicatie Pentest
Grondige test van webapplicaties en API's volgens OWASP en CVSS. Grey-box als standaard, black- of whitebox op verzoek. Voor organisaties met klantportalen, SaaS-producten of kritieke webomgevingen.
Interne Pentest
Simulatie van een aanvaller die al binnen is - via een gecompromitteerde medewerker, leverancier of apparaat. De Active Directory wordt beoordeeld op de rechtenstructuur, de aanwezigheid van zwakke wachtwoorden en mogelijkheden voor laterale beweging. Daarnaast voeren we een assessment uit op de Microsoft 365-omgeving (configuratie, toegangsrechten en mogelijke datablootstelling), de WiFi-netwerken en virtuele werkplekken zoals Citrix en thin clients, en de hardening van werkstations en laptops op basis van best practices.
Externe Pentest
Aanvalssimulatie vanuit het perspectief van een externe aanvaller. Wat is zichtbaar vanaf internet, welke diensten zijn onbedoeld bereikbaar, en wat kan een aanvaller daarmee bereiken? Inclusief Leaked Credentials Analysis - zijn uw medewerkerswachtwoorden uit eerdere datalekken nog bruikbaar?
OT Pentest
Beheerste aanvalssimulatie op industriële omgevingen en procesbesturing. DEFION heeft de testmethodologie specifiek aangepast voor OT-omgevingen - om impact op beschikbaarheid en correcte werking tot een absoluut minimum te beperken. Voorafgaand aan de test bespreekt DEFION alle risico's met uw team. Testscenario's worden afgestemd op uw specifieke architectuur: netwerksegmentatie, authenticatie, leverancierstoegang en beveiligde componenten.
Cloud Security Assessment
Beoordeling van uw cloudomgeving op Identity & Access Management, netwerkbeveiliging, storage-configuratie, security monitoring en compliance. Inclusief consult met uw cloudbeheerder om bevindingen in context te plaatsen.
Red Team Engagement
Geavanceerde, scenario-gedreven aanvalssimulatie gericht op uw volledige detectie- en responscapabiliteit. Niet alleen technische kwetsbaarheden — ook mensen, processen en fysieke toegang.
Tijdens de intake bepalen we samen welke aanpak passend is.
Hoe een pentest bij DEFION verloopt
-
Scope & intake: We bepalen samen doelstellingen, systemen en randvoorwaarden. De securityspecialist stelt een testplan op met exacte scope, IP-adressen, URL's en aanvalsperspectief.
-
Testfase — Handmatige aanvalssimulatie door een ervaren ethical hacker. Methodisch en gecontroleerd — binnen de afgesproken scope, met oog voor operationele continuïteit.
-
Rapportage & prioritering — Helder rapport met bevindingen op technisch én managementniveau. Risico's geprioriteerd op basis van business impact. Geen generieke lijst — wel direct toepasbare inzichten.
-
Rapportbespreking — Persoonlijke toelichting op de bevindingen door de uitvoerend specialist. Zodat uw team begrijpt wat er is gevonden en wat er als eerste moet worden aangepakt.
-
Validatie — Na herstel testen wij de mitigaties opnieuw. Zodat u zeker weet dat de kwetsbaarheid daadwerkelijk is gedicht.
"Met DEFION hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. De specialisten zijn zeer technisch en gepassioneerd over hun vakgebied. Dat blijkt duidelijk uit hun diensten." FuturumShop, e-commerce klant
"Dankzij DEFION profiteren we van up-to-date kennis over hedendaagse beveiligingsdreigingen en manieren om risico's te voorkomen. We hebben gemoedsrust in de wetenschap dat we 24/7 volledig worden ondersteund door hun team."
“De sector en de partners waarmee we samenwerken hanteren hoge beveiligingsnormen. Het beschermen van de privacy van individuen in de beelden en de gevoeligheid van de informatie die de drones verzamelen, zoals over objecten in kritieke infrastructuur, vereist dat onze beveiliging onfeilbaar is. Met Defion werken we samen met een professionele partner die ons op het juiste niveau kan ondersteunen. De samenwerking past ook perfect binnen onze strategie om betrouwbare en veilige dronetechnologie aan Europese klanten te leveren.”
“Nieuwe eisen vanuit NIS2 voor OT-systemen vergroten de focus op beveiliging. Met DEFION weten we dat we de juiste expertise in huis hebben om onze systemen veilig te houden. De samenwerking was gemakkelijk en prettig; de specialisten zaten echt naast ons in plaats van tegenover ons. Dankzij hun openheid en expertise werken we samen aan hetzelfde doel: optimale beveiliging. Dit geeft ons het vertrouwen om de toekomst tegemoet te treden.”
“Als je kijkt waar we tien jaar geleden stonden, hebben we enorme vooruitgang geboekt. Het gevoel van controle is groter. Met Security Assurance en MDR hebben we processen en controlemechanismen opgezet die ons in staat stellen de impact van een mogelijke aanval te beperken. De samenwerking dient ook als een constante herinnering om de focus op beveiliging te behouden en de juiste prioriteiten op dat gebied te stellen. Het houdt ons alert en scherp. Bovendien zijn de specialisten van Defion zeer technisch onderlegd en gepassioneerd over hun vakgebied. Dat blijkt duidelijk uit hun diensten.”
Voor welke organisaties voeren wij pentesten uit?
Onze pentesten worden uitgevoerd voor allerlei organisaties in uiteenlopende sectoren:
- Met bedrijfskritische IT-omgevingen
- In sterk gereguleerde sectoren, zoals kritieke infrastructuur, finance en overheid
- Met eigen development teams
- Die zekerheid willen in plaats van aannames
Veelgestelde vragen
Wat is het verschil tussen een pentest en een vulnerability assessment?
Een vulnerability assessment brengt kwetsbaarheden breed in kaart. Een pentest gaat verder: onze ethical hackers proberen kwetsbaarheden daadwerkelijk te misbruiken om te bepalen wat een aanvaller kan bereiken. Beide hebben hun waarde - tijdens de intake adviseren wij welke aanpak het beste past.
Wat is het verschil tussen grey-box, black-box en white-box?
Bij black-box start de tester zonder voorkennis — zoals een externe aanvaller. Bij white-box heeft de tester volledige toegang tot documentatie en broncode. Grey-box zit daar tussenin en geeft doorgaans het meest realistische en efficiënte beeld. DEFION kiest standaard voor grey-box, tenzij uw situatie anders vraagt.
Hoe lang duurt een pentest?
Een gerichte webapplicatie pentest duurt typisch 3–5 dagen. Een uitgebreide interne pentest of red team engagement kan meerdere weken beslaan. We stemmen de doorlooptijd af op uw planning en doelstellingen.
Kan een pentest worden ingezet voor NIS2 of ISO 27001?
Ja. Een pentest levert aantoonbaar technisch bewijs van uw beveiligingsniveau - relevant voor zowel NIS2-compliance als ISO 27001-certificering en DORA-vereisten.
Voert DEFION ook OT-pentesten uit?
Ja, met een aangepaste methodologie die specifiek rekening houdt met de beschikbaarheid en kwetsbaarheid van industriële systemen. Wij bespreken altijd vooraf de risico's met uw team.
Wat kost een pentest?
De kosten hangen af van scope, type test en complexiteit. Neem contact op voor een indicatie op maat — doorgaans kunnen wij binnen een werkdag een eerste schatting geven.
