Vijfde – en langverwachte – editie van het jaarlijkse Pentest-rapport van Approach Cyber
Nu cyberbedreigingen zich blijven ontwikkelen en de regelgeving strenger wordt, is het belangrijker dan ooit om te begrijpen waar organisaties staan. Dit is het doel van het jaarlijkse Pentest rapport 2025.
Een ongefilterde blik op de kwetsbaarheden die het huidige beveiligingslandschap vormgeven en mogelijke oplossingen. Het jaarlijkse Pentest-rapport van Approach Cyber is nu toe aan zijn vijfde editie. De eerste bevinding: een aanzienlijke en zorgwekkende toename van kritieke kwetsbaarheden in webapplicaties, API’s en infrastructuursystemen. Ze zijn verdubbeld sinds 2023.
Het rapport is gebaseerd op meer dan 100 real-world penetratietests in 13 sectoren in 2024 en biedt een nauwkeurige, gegevensgestuurde beoordeling van het huidige digitale bedreigingslandschap.
Grote infrastructurele tekortkomingen
“De zwakke plekken in onze infrastructuren zijn duidelijk en dit zijn de wegen die openstaan voor digitale compromittering”, zegt Laurent Deheyer, hoofd SOC bij Approach Cyber. Concreet zijn het verouderde software en slecht patchbeheer die blijven bestaan; zwakke authenticatie en ontoereikende netwerksegmentatie vergemakkelijken de toegang. Bijna 60% van de kwetsbaarheden in de infrastructuur worden als hoog of kritiek beschouwd.
Het rapport bevestigt zorgwekkend genoeg dat geautomatiseerde scanners alleen niet genoeg zijn. Veel van de gevaarlijkste ontdekte kwetsbaarheden ontsnapten aan de tools en werden alleen geïdentificeerd door handmatige tests die werden uitgevoerd door experts.
Uit de resultaten blijkt ook dat bijna 2 op de 5 geïdentificeerde kwetsbaarheden hoge of zelfs kritieke risico’s met zich meebrengen. Veel van de kwetsbaarheden zijn het gevolg van gebrekkige toegangscontroles, verkeerd geconfigureerde verificatie en slecht patchbeheer.
NIS2, DORA… onvoorbereid!
“Aanvallers hoeven geen gebruik te maken van zero-day kwetsbaarheden als ze zich eenvoudig kunnen voordoen als beheerders door problemen met toegangscontrole”, vervolgt Laurent Deheyer.
Het rapport bevat praktijkvoorbeelden waarbij de ethische hackers van Approach Cyber externe activa en interne netwerken hebben gecompromitteerd, en demonstreert de technieken die worden gebruikt bij grote wereldwijde cyberaanvallen. “Slechts één klant slaagde erin te voorkomen dat wij toegang kregen tot hun gevoelige gegevens!” De tests illustreren dezelfde tactieken die worden gebruikt bij ransomware-campagnes en grote inbreuken over de hele wereld.
In het rapport wordt ook gewezen op de toenemende regeldruk, met name in het kader van de NIS2- en DORA-richtlijnen: “De onvoorbereidheid van veel organisaties is reëel; ze zijn nog niet voorbereid op de operationele en reputatierisico’s die tekortkomingen in de naleving in 2025 zouden kunnen betekenen”.
Persoonlijke aanbevelingen
Het is echter bemoedigend te zien dat organisaties die investeren in regelmatig testen en herstellen, een aanzienlijke vermindering van het aantal ontdekkingen met een hoog risico zien – tot 70% minder dan nieuwe klanten testen.
Ter ondersteuning van besluitvormers, CISO’s en beveiligingsmanagers biedt Approach Cyber aanbevelingen op maat voor een veilig ontwerp, kwetsbaarheidsbeheer en het afdwingen van privileges – maatregelen die de blootstelling in een snel veranderende bedreigingsomgeving aanzienlijk kunnen verminderen.
Volgens het rapport zal er dit jaar een toename zijn van AI-gerelateerde kwetsbaarheden, hardnekkige gebreken in toegangscontrole en bedrijfslogica, en meer risico’s met betrekking tot de toeleveringsketen en componenten van derden. Aan de positieve kant ziet Approach Cyber een groeiende adoptie van ethische red-teaming op basis van Threat Intelligence (TIBER).
