Hackers volgen geen regels, dus waarom testen we alsof ze dat wel doen? – Jan Willem Veldhuis, Hacker

DoorAna Miličević

Volgens Jan Willem Veldhuis, ethisch hacker, is het blind vertrouwen op certificeringen en geautomatiseerde tools een groot risico: “Security draait niet alleen om vinkjes zetten en dure certificaten. Een echte hacker kijkt niet naar je ISO-certificaat, maar zoekt net zolang tot hij binnen is.” 

Met jarenlange ervaring in het penetreren van vitale infrastructuur weet Jan Willem, mede-eigenaar van AKASEC en voormalig specialist bij de Nederlandse inlichtingendiensten, precies waar de zwakke plekken zitten. In de praktijk constateert hij dat veel organisaties zich verschuilen achter standaardprocedures en certificeringen, terwijl hackers zonder enige beperking of regels opereren.

In ons gesprek met Jan Willem duiken we dieper in de tekortkomingen van de huidige cybersecurity-aanpak, van traditionele pentests tot geautomatiseerde tools. Hij deelt zijn visie op innovatie in het veiligheidstesten en legt uit waarom hij purple teaming – waarbij aanvallers en verdedigers in realtime samenwerken – verkiest boven conventionele security-methoden.

De aanbestedingsparadox: hoe certificeringseisen innovatie in de weg staan

Grote (semi-)overheidsorganisaties en vitale infrastructuur selecteren hun cybersecurity-leveranciers doorgaans via aanbestedingsprocedures. Deze procedures stellen vaak harde eisen, zoals het bezit van specifieke pentest certificeringen – zelfs wanneer de opdracht een red teaming-assessment betreft. Deze certificeringen zijn verworden tot een kostbare ‘license to operate’, die vooral grote organisaties kunnen bemachtigen en onderhouden.

“We zien dat junior pentesters met basiscertificering tests uitvoeren bij ministeries, terwijl ervaren, creatieve securitybedrijven worden buitengesloten omdat ze niet de juiste certificaten hebben,” vertelt Jan Willem. “Dat is de omgekeerde wereld. Security gaat om expertise en analytisch denkvermogen, niet om certificaten.” Wat hij vaak opmerkt is dat grote organisaties aanbestedingen winnen door één of twee senior experts naar voren te schuiven, maar zodra het contract binnen is, worden de daadwerkelijke tests uitgevoerd door een batterij aan goedkopere, minder ervaren juniors.

Deze praktijk zorgt ervoor dat grote bedrijven met gecertificeerde juniors de testen uitvoeren, terwijl ervaren hackers uit kleinere bedrijven buitenspel staan. Jan Willem illustreert de gevolgen: “Voor een bedrijf in de kritieke infrastructuur waren we in een test binnen twee dagen op de allergevoeligste server. Zij dachten dat hun beveiliging op orde was, maar in de praktijk waren ze kwetsbaar.” 

Hij gaat verder: “Bedrijven denken dat ze veilig zijn omdat in het rapport weinig kritische dingen staan. Maar dat komt doordat junior pentesters alleen maar tools gebruiken zonder creatief na te denken. Als jij een junior pentester op de organisatie loslaat, zal die niet hetzelfde vinden als iemand die al tien jaar aan red-teaming doet. Die schijnveiligheid bereikt niks.”

“Cybercriminelen geven niets om je certificeringen,” benadrukt hij. “Ze zoeken zwakke plekken, hoe klein ook, en benutten die. Als jouw security alleen bestaat uit jaarlijkse tests en checklist-tactieken, dan loop je achter de feiten aan.”

Definities van security testing methoden

  • Penetration testing (pentesting): Een gestructureerde, gescoopte test waarbij een ethisch hacker binnen vooraf bepaalde grenzen kwetsbaarheden in systemen, applicaties of netwerken probeert te vinden en te exploiteren. Het eindresultaat is een rapport met bevindingen.
  • Geautomatiseerde pentesten: Testen die gebruikmaken van gespecialiseerde software en AI-tools om op grote schaal en met hoge frequentie bekende kwetsbaarheden te identificeren. Deze methode is efficiënt voor het vinden van veelvoorkomende beveiligingslekken, maar mist vaak de creatieve aanpak van menselijke hackers.

Red teaming is een uitgebreidere, minder begrensde simulatie van een aanval, waarbij een team van ethische hackers alle mogelijke wegen probeert te vinden om binnen te dringen. Deze aanpak benadert de werkelijkheid beter doordat ze creatieve methoden gebruiken en zonder strakke scope werken.

Blue teaming: Het defensieve team binnen een organisatie, verantwoordelijk voor de detectie en respons op cyberdreigingen. Zij monitoren systemen, analyseren aanvalspatronen en reageren op incidenten.

Purple teaming: Een gecombineerde aanpak waarbij red teams (aanvallers) en blue teams (verdedigers) in realtime samenwerken. De aanvallers delen hun technieken terwijl ze worden uitgevoerd, zodat verdedigers direct kunnen leren hoe ze deze kunnen detecteren en tegengaan.

Waarom vitale infrastructuur meer vraagt dan geautomatiseerde en gescoopte pentests

Voor kritieke infrastructuur en overheidsorganisaties schieten traditionele pentesten vaak tekort. “Een pentest heeft een vooraf bepaalde scope. Een echte aanvaller houdt zich nergens aan en is te vergelijken met een straatgevecht zonder regels,” benadrukt Jan Willem. “Waarom zou je je verdediging beperken tot een test met kunstmatige grenzen, terwijl hackers die in de echte wereld niet respecteren?”

De opkomst van geautomatiseerde pentests en AI-tools is volgens Jan Willem wel degelijk een positieve ontwikkeling voor het bredere bedrijfsleven. “Deze geautomatiseerde tests maken cybersecurity toegankelijk voor MKB-bedrijven die anders misschien helemaal niets zouden doen,” legt hij uit. “Het draagt bij aan het versterken van de basis cyberweerbaarheid, en dat is uitstekend voor BV Nederland.”

Maar voor vitale infrastructuur volstaat deze aanpak niet. Daar zijn de risico’s fundamenteel anders: aanvallen zijn vaak complexer, gericht op strategische schade of het inwinnen van inlichtingen in plaats van snel financieel gewin, en worden dikwijls uitgevoerd door staatsactoren met geavanceerde middelen.

“Tooling moet ook onderhouden worden, want elke dag komen er nieuwe kwetsbaarheden bij,” waarschuwt Jan Willem. “Veel bedrijven draaien pentests met verouderde tools en lopen daardoor belangrijke zwakke plekken mis. Maar zelfs als je tools up-to-date zijn, zullen ze nooit het creatieve denkvermogen van een ervaren hacker evenaren.”

Dit betekent dat organisaties die alleen vertrouwen op gestandaardiseerde of geautomatiseerde tests, een vals gevoel van veiligheid kunnen krijgen – terwijl er in werkelijkheid nog tal van onontdekte kwetsbaarheden kunnen bestaan.

Purple teaming: de security-benadering waar Jan Willem in gelooft

Jan Willem kwam voor het eerst in aanraking met purple teaming tijdens zijn trainingen bij Black Hat en Defcon in Las Vegas. “Amerika loopt voorop qua cybersecurity. Daar was het al een paar jaar normaal om purple teaming assignments te doen bij bedrijven, wat we hier in Nederland nog helemaal niet kenden,” vertelt hij. In 2020 bracht hij deze aanpak naar Nederland met zijn toenmalige bedrijf Chapter8. Ze waren daarmee voorloper, maar misschien ook iets té vroeg. 

Purple teaming combineert de kracht van red teaming (aanvallen simuleren) en blue teaming (verdediging). “Security doe je samen,” benadrukt Jan Willem. “In plaats van systeembeheerders om de oren te slaan met een gigantisch rapport vol tekortkomingen, betrekken we het blue team vanaf het begin. Tijdens het testen kunnen we ze precies vertellen wat we doen en hoe ze soortgelijke aanvallen kunnen detecteren.”

Bij een overheidsorganisatie liet Jan Willem deze aanpak in de praktijk zien. “Elke week hadden we een meeting van: oké, hebben jullie JW nu gezien of niet? Aan het begin totaal niet, dus dat was wel leuk. Dan zeiden ze: Waar zit je dan? Maak eens herrie daar.” Door wekelijks te overleggen en real-time samen te werken, konden de blue teamers leren hoe ze bedreigingen konden herkennen. “Het blue team kon me niet vinden, maar door samen die testen na te lopen en opnieuw die aanval uit te voeren, leerden ze daar ook van. Later zag je dat ze inderdaad in de toekomst wél die aanval konden detecteren.”

Purple teaming is echter niet voor elke organisatie weggelegd. “Omdat het zo veel vraagt van een organisatie, ook vooral een bepaald maturity level, is het eigenlijk maar een handjevol klanten in Nederland dat dit echt aankan,” legt Jan Willem uit. “Je moet echt al wel je cybersecurity op orde hebben. Pas vanaf SOC-maturity niveau 3 of 4 ben je eigenlijk klaar om purple teaming te gaan doen.”

De resultaten spreken echter voor zich. Bij organisaties waar Jan Willem al drie tot vier jaar over de vloer komt, is duidelijk zichtbaar hoe ze zijn gegroeid in security-niveau. “Dat geeft wel een kick,” zegt hij.

“Kijk verder dan certificaten” – Jan Willems oproep aan beleidsmakers

Jan Willem sluit af met een dringende boodschap aan beleidsmakers over de huidige aanbestedingspraktijken in cybersecurity. Bij aanbestedingen wordt nog te vaak gekozen voor de optie die aan alle formele eisen voldoet, terwijl dat lang niet altijd de beste keuze is.

Volgens Jan Willem zijn huidige aanbestedingsprocessen niet geschikt voor cybersecurity. Ze leiden ertoe dat vooral grote partijen met veel gecertificeerde juniors worden geselecteerd, terwijl kleinere, gespecialiseerde bedrijven met diepgaande expertise buiten de boot vallen.

“De overheid kan wel zeggen dat ze heel graag innovatieve bedrijven willen ondersteunen, maar dan moet je ook echt openstaan voor innovatieve startups,” benadrukt hij. “Niet alleen de overheid, maar zeker ook semi-overheid en eigenlijk alle bedrijven in Nederland mogen best wel eens, als ze bewust veiliger willen worden, security communities zoals de HSD Campus (The Hague Security Delta) opzoeken en daarmee zaken doen – in plaats van altijd maar weer dezelfde vier, vijf grote namen van Nederland in te zetten.”

Tegelijkertijd heeft Jan Willem ook een tip voor innovatieve cybersecurity startups: sluit je aan bij communities zoals de HSD, waar bedrijven zoals het zijne deel van uitmaken. Volgens hem is dit een plek waar innovatie werkelijk plaatsvindt en waar kleinere spelers samen sterker staan in hun gesprekken met (semi-)overheidsorganisaties.

Vergelijkbare berichten

Richard Franken: “Als je blijft rommelen in de marge, dan kom je nooit tot grote innovaties”

Richard Franken: “Als je blijft rommelen in de marge, dan kom je nooit tot grote innovaties”

DoorMichelle Wols

Richard Franken bespreekt de uitdagingen en noodzaak van innovatie in de Nederlandse securitysector, de afhankelijkheid van buitenlandse producten, en de rol van de overheid. Hij benadrukt het belang van toekomstbestendige risicoanalyses en samenwerking voor duurzame groei en security-innovatie.