Kwetsbaarhedenscan of penetratietest: wat is het verschil?

Men spreekt vaak zonder onderscheid van een “beveiligingstest”. Toch beantwoorden een kwetsbaarhedenscan en een penetratietest twee verschillende vragen, en zijn ze geen vervanging voor elkaar.

De kwetsbaarhedenscan

Dit is een grotendeels geautomatiseerd onderzoek dat de gekende zwakke punten van een systeem opsomt — verouderde versies, zwakke configuraties, ontbrekende patches. Het is snel, breed en herhaalbaar, waardoor het regelmatig kan worden uitgevoerd. Het nadeel: het signaleert potentiële kwetsbaarheden zonder vast te stellen wat een aanvaller er werkelijk mee zou kunnen doen, en levert soms valse positieven op.

De penetratietest

Dit is een gerichte oefening, die tools en menselijke expertise combineert om zwakke punten uit te buiten en een concrete impact aan te tonen. Ze verloopt binnen een geformaliseerd kader — scope, afspraken (rules of engagement), toestemmingen — en gaat dieper, ten koste van een grotere inspanning en een lagere frequentie.

Welke kiezen

Beide zijn complementair. De scan biedt een continue en goedkope bewaking van het blootgestelde oppervlak; de penetratietest valideert periodiek de werkelijke weerstand tegen een aanvaller. De eerste meet de omvang, de tweede de diepte.

De juiste keuze hangt af van het doel: een continue hygiëne handhaven, of een verdediging beproeven vóór een deadline.