Rogier Fischer: “Een pentest die vrijdag start, was donderdag al te laat”

​“Een manuele pentest is gewoon te laat.” Dreigingen wachten niet tot het volgende testmoment. Ze ontstaan door dagelijkse veranderingen in code en configuratie, precies daar waar klassieke pentests geen continu zicht op hebben.

We spraken Rogier Fischer, Co-founder en CEO van Hadrian, die vanuit zijn achtergrond als ethisch hacker en ondernemer kijkt naar pentesten, waarom hij gelooft in automatisering, en wat dat betekent voor hoe organisaties hun aanvalsoppervlak meten, begrijpen en bijhouden.

Van nieuwsgierigheid naar schaal

Rogier begon al jong met hacken, lang voordat daar een bedrijfsidee achter zat. “We hackten banken en techbedrijven en meldden alles netjes,” vertelt hij. Het ging om puzzels oplossen, om snappen hoe systemen in elkaar zitten en waar ze breken.

​Die nieuwsgierigheid kreeg een nieuwe richting toen hij rond 2012 bij responsible disclosures werd uitbetaald in bitcoin. De technologie daarachter trok zijn aandacht: markten, prijsvorming en inefficiënties die je technisch en wiskundig kon doorgronden. Omdat bestaande tools hem te weinig grip gaven, begon hij zelf cryptobots te bouwen om handelsstrategieën te testen en die markt beter te begrijpen.

​Wat startte als experiment naast zijn studie in Delft, groeide stap voor stap uit tot een crypto-onderneming. Het bedrijf beheerde geld en infrastructuur en was daarmee een groot security target. Eigen aanvalssimulaties en interne pentests waren nodig om overeind te blijven. Hacking bleef zo een vast onderdeel van zijn werk, en legde de basis voor zijn latere overtuiging dat security continu en schaalbaar moet worden ingericht.

“Niet alles in pentesten vraagt om menselijke creativiteit”

Pentesten worden vaak gezien als vakmanschap dat je niet zomaar kunt automatiseren. Rogier herkent dat beeld, maar nuanceert het. “Een heel groot deel van pentesten is eigenlijk laaghangend fruit,” zegt hij. Met name technische kwetsbaarheden, standaardchecks en terugkerende aanvalspaden lenen zich goed voor automatisering.

Volgens hem zit de waarde van menselijke pentesters juist in complexe logica en context. Het probleem is niet dat mensen dit werk doen, maar dat hun tijd vaak opgaat aan herhaalbare taken die elke test opnieuw terugkomen. Dat zijn precies de onderdelen waar automatisering sterk in is en waar schaal en snelheid het verschil maken.

Automatisering ziet Rogier daarom niet als vervanging van ethische hackers, maar als gereedschap. Door het repetitieve werk weg te nemen, ontstaat ruimte voor het echte denkwerk: het analyseren van context, het leggen van verbanden en het onderzoeken van aanvalsscenario’s die niet in een vaste checklist passen.

Real-time testen in plaats van momentopnames

Een klassieke pentest gebeurt vaak één of twee keer per jaar. Dat wringt met de realiteit waarin nieuwe kwetsbaarheden zich binnen dagen verspreiden. “Als er op donderdag een kwetsbaarheid uitkomt en vrijdag het internet in paniek is, dan ben je met een handmatige pentest gewoon te laat,” zegt Rogier.

Daarom kijkt hij liever continu naar het aanvalsoppervlak. Niet testen als afgerond project, maar als doorlopend proces. Security zou altijd moeten laten zien hoe een organisatie er nú voor staat, niet hoe het er maanden geleden uitzag. Dat vraagt om een andere benadering van testen en meten.

​“We gaan op de stoel van de threat actor zitten”

Met Hadrian vertaalt Rogier die visie naar technologie. Het platform voert continu aanvalsscenario’s uit vanuit het perspectief van een aanvaller. “We gaan op de stoel van de threat actor zitten,” zegt hij. Dat betekent niet alleen zoeken naar losse kwetsbaarheden, maar simuleren hoe fouten, configuraties en toegang samen een aanval mogelijk maken.

De inzet van AI maakt het mogelijk om dit continu en op schaal te doen. Aanvalssimulaties worden sneller, consistenter en realistischer. Zo krijgen securityteams geen periodiek rapport, maar doorlopend inzicht in waar een aanvaller vandaag binnen zou komen en welke risico’s nu het zwaarst wegen.

Van testen achteraf naar inzicht vooraf

Volgens Rogier staat security testing aan de vooravond van een kantelpunt. Net zoals computers op een gegeven moment beter werden dan mensen in schaken, zal automatisering ook hier een steeds grotere rol spelen. Het zal daarmee de kern worden van hoe offensieve security wordt ingericht.

Dat betekent niet dat mensen verdwijnen. Hun rol verschuift naar interpretatie, inrichting en besluitvorming. De essentie blijft hetzelfde: begrijpen hoe aanvallen ontstaan en waar risico’s samenkomen. Het verschil is dat dat inzicht niet langer gebaseerd is op momentopnames, maar op continu zicht. En juist daarin ziet Rogier de toekomst van pentesten.