Vulnerability scanning is een geautomatiseerde controle die je servers, websites en netwerken afzoekt op bekende zwakke plekken. De scanner vergelijkt wat hij vindt met een voortdurend bijgewerkte database van problemen, zoals verouderde software, ontbrekende patches, zwakke instellingen of blootliggende diensten, en meldt alles wat misbruikt kan worden. Het doel is problemen vinden en oplossen voordat een aanvaller dat doet.

Zie het als een rookmelder voor je systemen. Hij blust geen branden, maar houdt continu de wacht en slaat alarm zodra hij gevaar ziet, zodat je vroeg kunt ingrijpen. Veel van wat hij meldt valt onder de OWASP Top 10, de veelgebruikte lijst met de meestvoorkomende webzwakheden.

Een scan is de brede, geautomatiseerde eerste laag. Hij werkt het best naast penetratietesten, waar een mens dieper graaft in de problemen waar een scanner niet over kan redeneren, en naast vast patchmanagement om de gaten die hij vindt ook echt te dichten. Op zichzelf vertelt een scan je alleen wat er mis is, niet dat het is opgelost.

De valkuil die elk team tegenkomt, is ruis. Een scanner meldt vaak veel meer dan er echt toe doet, en mengt reële risico’s met loze alarmen en problemen die geen aanvaller in de praktijk kan bereiken. Iemand moet het rapport lezen, het urgente van het triviale scheiden en beslissen wat er werkelijk wordt gedicht. Sla je die stap over, dan groeit de lijst tot mensen hem niet meer lezen.

Hij kent ook alleen wat al openbaar is. Een zwakke plek die gisteren is ontdekt en nog niet in de database van de scanner staat, glipt er zo langs. Daarom is scannen één verdedigingslaag en niet de hele muur.

Bij TopDevs draaien we regelmatig vulnerability scans op de systemen die we bouwen en hosten, en we nemen de resultaten direct mee in onze patchroutine, zodat bevindingen worden gedicht en niet alleen opgesomd.