What does a security assessment deliver beyond a report?

Ons rapport bevat een executive summary voor management, technische bevindingen per kwetsbaarheid met CVSS-score en exploitbaarheidscontext, een geprioriteerde remediatielijst die uw team direct kan oppakken, en begeleiding bij het verifiëren van fixes. Op verzoek verzorgen we ook een presentatie voor uw directie of IT-team.

Do you also perform social engineering and phishing tests?

Ja, op aanvraag voeren wij phishing-simulaties en social engineering assessments uit als aanvulling op technische pentests. Dit test de menselijke factor in uw beveiliging — vaak de zwakste schakel. We combineren dit met een bewustwordingsprogramma voor medewerkers.

Pentest & Security Assessments | OWASP Top 10

Onze diensten

Kies de dienst die bij u past

Web App Pentest

OWASP-gebaseerde penetratietesten van uw webapplicaties door OSCP/CEH-gecertificeerde testers. Volledig rapport met risico-classificatie.

OWASPOSCPWebapp

Plan Web Pentest →

API Security Assessment

Diepgaande analyse van REST- en GraphQL-APIs op authenticatie, autorisatie, injection en data exposure (OWASP API Top 10).

APIRESTGraphQL

Plan API Assessment →

Infrastructuur Pentest

Externe en interne netwerkscans, configuration review en exploit-validatie van servers, firewalls en cloud-omgevingen.

NetwerkCloudConfig

Plan Infra Pentest →

AI & LLM Security

Security-assessments voor LLM-applicaties: prompt injection, data leakage, model misuse (OWASP LLM Top 10).

LLMOWASPAI Sec

Plan AI Assessment →

Weet u echt hoe kwetsbaar u bent?

Plan een vrijblijvend gesprek over een security assessment op maat voor uw organisatie. Gratis Adviesgesprek →

Kosten en security die meer is dan een checklist

Security audits en penetratietests worden soms gezien als een verplicht nummer: een leverancier levert een rapport met een gekleurd dashboard, de bevindingen worden afgevinkt, en het rapport verdwijnt in een map. Wij geloven niet in die aanpak. Een pentest heeft pas waarde als de bevindingen concreet zijn, in de context van uw organisatie staan, en leiden tot structurele verbeteringen in ontwikkeling, configuratie en monitoring. Onze security specialisten combineren geautomatiseerde scans met handmatige exploitatietechnieken om kwetsbaarheden te vinden die tools missen: business logic flaws, chained vulnerabilities en edge cases in autorisatie.

Voor elke opdracht definiëren we vooraf een scope die aansluit op uw risico. Voor een SaaS-platform betekent dat een authenticated web application pentest inclusief API's, role-based access control en tenant isolation. Voor een cloudomgeving brengen we IAM-configuratie, netwerksegmentatie, data-at-rest en logging in kaart. Voor een intern netwerk kijken we naar Active Directory, laterale beweging en escalatiemogelijkheden. We werken volgens OWASP, PTES en NIST-methodieken en leveren bevindingen aan volgens een gestandaardiseerd CVSS-scoremodel.

Een pentest eindigt bij ons niet met het rapport. We organiseren een debrief met uw ontwikkelteam en ops-team, bespreken de bevindingen technisch in plaats van alleen op directieniveau, en bieden remediation guidance. Voor kritische bevindingen plannen we een retest zodat u aantoonbaar kunt laten zien dat de kwetsbaarheid verholpen is — belangrijk voor zowel klanten als auditors. Wilt u continuïteit, dan zetten we een pentest-as-a-service model op met terugkerende kwartaaltests op wisselende scopes, zodat security een doorlopend proces wordt in plaats van een jaarlijkse piek.

Veelgestelde vragen over security testing

Wat is het verschil tussen een pentest en een vulnerability scan?

Een vulnerability scan is geautomatiseerd: een tool controleert bekende CVE's tegen uw systemen en levert een lijst op. Een pentest is handmatig en doelgericht: een ervaren tester probeert actief kwetsbaarheden te exploiteren, combineert zwakheden om hogere privileges te krijgen, en test business logic waar tools niets van snappen. Beide hebben hun plaats — scans voor continue monitoring, pentests voor diepgang.

Voeren jullie ook red team assessments uit?

Ja. Een red team engagement gaat verder dan een pentest: we simuleren een realistische aanvaller met social engineering, phishing, fysieke toegang waar relevant en laterale beweging door uw netwerk. Het doel is niet alleen kwetsbaarheden vinden, maar ook testen hoe uw detectie- en response-keten presteert tegen een gemotiveerde tegenstander. Deze opdrachten vragen een volwassen security baseline — we adviseren eerst een reguliere pentest als u nog geen assurance heeft over de basis.

Hoe gaan jullie om met gevoelige bevindingen?

Alle bevindingen worden strikt vertrouwelijk behandeld. Rapporten worden end-to-end versleuteld uitgewisseld, opgeslagen op Europese infrastructuur en niet hergebruikt in andere opdrachten. Bij ernstige kwetsbaarheden die actieve uitbuiting riskeren informeren we u direct in plaats van te wachten op het eindrapport. Een getekende NDA is standaard, en voor organisaties met bijzondere eisen (bijvoorbeeld overheid of zorg) kunnen we aanvullende clearance-afspraken maken.

Security Assessments & Pentesting