Terug naar blog
    Pentesting

    Wat is een vulnerability assessment?

    Sectricity Security TeamApril 30, 2026

    Een vulnerability assessment scant je systemen op gekende zwaktes. Dit artikel legt uit wat het afdekt, hoe het verschilt van een penetratietest, en waarom geautomatiseerd scannen alleen nooit het volledige risicobeeld geeft.

    Vulnerability AssessmentVulnerability ScanningPentestPentestingMenselijke ValidatieComplianceNIS2ISO 27001RisicobeheerCybersecurity

    Wat is een vulnerability assessment? Scannen, scope en wat het je niet vertelt

    Een vulnerability assessment is een van de eerste dingen waar teams naar grijpen, en een van de makkelijkste om verkeerd te lezen. Goed uitgevoerd geeft het je een heldere, geprioriteerde kaart van waar je kwetsbaar zit. Verkeerd gelezen wordt een scanrapport een muur van items zonder gevoel voor wat echt telt.

    Hieronder lees je wat een vulnerability assessment doet, waar het stopt, en waarom scannen op zichzelf je nooit het hele verhaal vertelt.

    TL;DR

    • Een vulnerability assessment scant je systemen systematisch op gekende zwaktes zoals ontbrekende patches en misconfiguraties.
    • Het beantwoordt waar je kwetsbaar bent; een penetratietest beantwoordt wat een aanvaller echt zou kunnen doen.
    • Geautomatiseerd scannen is snel en breed, maar levert false positives op en mist fouten in de bedrijfslogica.
    • Menselijke validatie maakt van een ruwe lijst bevindingen een geprioriteerd beeld van echt risico.
    • Het ondersteunt compliancekaders zoals NIS2 en ISO 27001, maar voldoet er zelden op zichzelf aan.

    Wat een vulnerability assessment eigenlijk doet

    Een vulnerability assessment draait scantools op je netwerken, systemen en applicaties en toetst ze aan grote databanken met gekende zwaktes. Het zoekt naar ontbrekende patches, verouderde software, zwakke configuraties, blootgestelde services en dat soort dingen. Wat eruit komt is een lijst met bevindingen, meestal met een ernstscore per item.

    De kracht zit in breedte en snelheid. Een scan kan een grote omgeving snel afgaan en dingen naar boven halen die een mens handmatig veel langer zou zoeken. Het beantwoordt één vraag goed: waar zijn we, over alles wat we draaien, mogelijk kwetsbaar?

    Waar een vulnerability assessment stopt

    Scannen vertelt je waar de mogelijke zwaktes zitten. Het vertelt je niet wat een aanvaller ermee zou doen. Een scanner signaleert een verouderd component, maar rijgt geen drie kleine problemen aaneen tot een volledige inbraak. Hij redeneert niet over hoe jouw bedrijfslogica echt werkt. En hij weet niet of een theoretische fout in jouw omgeving überhaupt bereikbaar is.

    Dat is de grens tussen een vulnerability assessment en een penetratietest. Een scan geeft je een brede lijst met 'misschien'. Een pentest stuurt ethische hackers om de zwakke plekken echt uit te buiten en de werkelijke impact te tonen. We zetten de twee naast elkaar in ons stuk over

    penetratietesten versus vulnerability scanning als je de gedetailleerde uitsplitsing wilt.

    Waarom geautomatiseerd scannen op zichzelf nooit genoeg is

    Scanners verdienen hun plek, maar hun beperkingen zijn bekend. Ze werpen false positives op die de tijd van je team opeten. Ze missen alles wat afhangt van hoe je applicatielogica zich gedraagt. En de echte impact kunnen ze niet inschatten, want impact hangt af van context die een tool nu eenmaal niet heeft.

    Hier komt een mens in beeld. Een ethische hacker werkt de bevindingen door, ruimt de ruis op, bevestigt wat echt uitbuitbaar is, en legt uit wat elk reëel probleem voor jou specifiek betekent. Sla die beoordeling over en een scanrapport is een lijst met mogelijkheden, geen risicobeeld. Precies daarom behandelt Sectricity menselijke validatie als niet-onderhandelbaar.

    Hoe assessments passen in compliance en een breder programma

    Kaders zoals NIS2 en ISO 27001 verwachten dat je kwetsbaarheden doorlopend identificeert en beheert. Regelmatige vulnerability assessments geven je bewijs dat dat proces loopt, en daarom duiken ze op in de meeste compliancegedreven beveiligingsprogramma's. Op zichzelf voldoen ze echter zelden aan een kader, omdat de meeste ook diepere, mensgestuurde testen verwachten.

    De meeste organisaties komen uit op iets gelaagds. Draai vulnerability assessments regelmatig om het beeld actueel te houden, en plan penetratietesten om te bewijzen wat echt telt. De scan geeft je continue breedte. De pentest geeft je gevalideerde diepte. Samen leer je zowel waar je kwetsbaar zit als wat er echt zou gebeuren als iemand komt aankloppen.

    Veelgestelde vragen

    Wat is een vulnerability assessment?

    Een vulnerability assessment is een systematische controle van je systemen, netwerken en applicaties om gekende beveiligingszwaktes te vinden. Het gebruikt geautomatiseerd scannen om dingen als ontbrekende patches, misconfiguraties en verouderde software op te sporen, en geeft je daarna een geprioriteerde lijst met bevindingen. Kort gezegd beantwoordt het één vraag: waar zijn we mogelijk kwetsbaar?

    Wat is het verschil tussen een vulnerability assessment en een penetratietest?

    Een vulnerability assessment wijst mogelijke zwaktes aan, grotendeels via geautomatiseerd scannen, en geeft je een brede lijst met bevindingen. Een penetratietest gaat verder: ethische hackers proberen die zwaktes echt uit te buiten om te tonen wat een aanvaller voor elkaar zou krijgen. Anders gezegd: een vulnerability assessment toont waar de deuren zitten; een pentest toont welke opengaan en wat erachter ligt.

    Hoe vaak moet je een vulnerability assessment uitvoeren?

    Software en dreigingen blijven verschuiven, dus vulnerability assessments werken het best regelmatig in plaats van eenmaal per jaar. Veel organisaties scannen maandelijks, of continu voor hun kritieke systemen, en opnieuw na elke belangrijke wijziging aan infrastructuur of applicaties. Regelmatig scannen houdt het beeld actueel tussen de diepere penetratietesten door.

    Is geautomatiseerd scannen op zichzelf voldoende?

    Nee. Scannen is snel en breed, maar het werpt false positives op, mist fouten in de bedrijfslogica, en kan de echte impact niet inschatten. Het signaleert mogelijke problemen; het bevestigt niet dat ze uitbuitbaar zijn. Menselijke validatie door een ethische hacker scheidt een lange lijst met 'misschien' van een helder beeld van echt risico. Daarom koppelen serieuze beveiligingsprogramma's scannen aan expertbeoordeling.

    Helpt een vulnerability assessment bij compliance?

    Ja, als één input tussen meerdere. Kaders zoals NIS2 en ISO 27001 verwachten dat je kwetsbaarheden doorlopend identificeert en beheert, en regelmatige assessments geven je bewijs dat dat gebeurt. Op zichzelf vinken ze zelden een vereiste af. De meeste kaders verwachten ook diepere testen, en daar komt een penetratietest in beeld.

    Hoe zet je bevindingen om in actie?

    Een ruwe scanoutput is geen plan. De waarde zit in het rangschikken van bevindingen op echt risico, het wegfilteren van de false positives, en uitleggen hoe je de rest oplost. Een goed assessment sorteert problemen op ernst en uitbuitbaarheid, zodat je team eerst aanpakt wat telt in plaats van te verdrinken in low-impact ruis. Menselijke beoordeling is wat die prioritering betrouwbaar maakt.

    Gerelateerde diensten en bronnen

    Een vulnerability assessment is een startpunt, geen eindpunt. Om te bewijzen wat een aanvaller echt zou kunnen doen, ga je over naar penetratietesten. Voor teams die continue dekking nodig hebben, combineert

    RedSOC on-demand pentesting regelmatige testen met expertvalidatie. En wil je eerst de volledige vergelijking, lees dan

    penetratietesten versus vulnerability scanning.