EASM & Vulnerability scanning

Gemeentehuis_Gouda

EASM & Vulnerability Scanning

Doorlopend inzicht in wat vanaf het internet zichtbaar is van uw gemeente, en welke kwetsbaarheden daarop aanwezig zijn. External Attack Surface Management gecombineerd met vulnerability scanning, in één dienst.

Hoe ziet dit eruit?

Wij hebben een fictieve gemeente opgezet — Schildwaard — met de configuraties en blinde vlekken die wij in de praktijk tegenkomen.
Vervolgens hebben we de omgeving gescand zoals een aanvaller dat doet.

Bekijk de demo: gemeente-schildwaard.nl
drie uitgelichte bevindingen, met technische details


Download het volledige voorbeeldrapport (PDF, 56 pagina's)
zoals een gemeente het van ons ontvangt

presentatie_pdcs

Wat wij in kaart brengen

  • Kwetsbare softwareversies en bekende CVE’s
  • Open poorten en onbedoeld gepubliceerde diensten
  • Verlopen of verkeerd geconfigureerde certificaten
  • SQL injection en Cross-site scripting (XSS)
  • Wijzigingen in het aanvalsoppervlak door nieuwe projecten of migraties

Frequentie naar wens

Op basis van uw situatie en risicoprofiel:

  • Dagelijks — voor omgevingen met hoog risicoprofiel of frequente wijzigingen
  • Wekelijks — standaardkeuze voor doorlopende monitoring
  • Maandelijks — voor een lichter regime of beperktere scope

Bij nieuwe critical bevindingen ontvangt u een directe melding, niet pas in de volgende rapportage.

Werkwijze

Onze aanpak: intake en scoping, schriftelijke toestemming van de systeemeigenaar, scan en analyse,
rapportage met optioneel gesprek met u en uw leveranciers. De volledige werkwijze is uitgewerkt op de
demo-site.

Scans gebeuren vanaf het publieke internet, zonder voorkennis en zonder inloggegevens — precies zoals een aanvaller te werk gaat.
Authenticated scanning is mogelijk in overleg, voor scenario’s waar dat zinvol is.

Wat u ontvangt

  • Persoonlijke rapportage met prioritering op werkelijk risico in uw situatie
  • Directe melding bij nieuwe critical bevindingen
  • Een uitleg en overleg met leverancier over de gevonden bevindingen

Verschil met internet.nl en basisbeveiliging.nl

Internet.nl en basisbeveiliging.nl toetsen of publieke basisnormen op orde zijn — moderne internetstandaarden,
e-mailbeveiliging, RPKI, basisinrichting van de website.

Wij gaan verder: ontdekking van vergeten of onbekende assets, kwetsbare software, configuratiefouten,
blootgestelde diensten, leveranciersrisico’s en de praktische impact daarvan. De twee zijn complementair,
niet vervangend.

Verschil met andere commerciële aanbieders

Wij zijn geen pure tooling-leverancier. Bevindingen worden door specialisten gevalideerd, geprioriteerd op uw context
en besproken — niet alleen automatisch geleverd via een dashboard. Wij kennen de gemeentelijke praktijk,
de leveranciersdynamiek en de bestuurlijke werkelijkheid waarin bevindingen moeten landen.

Wat wij niet doen

  • Geen geautomatiseerde exploitatie van bevindingen
  • Geen vervanging van een pentest — voor diepgaand onderzoek op specifieke applicaties bestaat de pentestdienst

Werkwijze en juridisch kader

  • Schriftelijke opdrachtbevestiging en scope-akkoord vóór aanvang
  • Toestemming van de systeemeigenaar bij elke nieuwe scope-uitbreiding
  • Wij werken onder onze algemene voorwaarden en de standaard verwerkersovereenkomst van de VNG
  • Bevindingen die persoonsgegevens kunnen raken worden direct en separaat gemeld

Voor wie

Gemeenten en gemeentelijke samenwerkingsverbanden die:

  • Structureel grip willen houden op het externe digitale aanvalsoppervlak
  • Risico’s bij leveranciers beter willen kunnen bespreken
  • Wijzigingen in publieke diensten sneller willen signaleren
  • Periodiek of continu kwetsbaarheden willen laten signaleren
  • Technische bevindingen willen vertalen naar bestuurlijke keuzes

Combinatie met pentest

Continue monitoring voor breed zicht, gerichte pentests voor diepgang op systemen waar de impact het grootst is.
De combinatie levert in de praktijk de meeste grip op.