Als je al een tijdje met vulnerability scanners werkt, ken je het patroon: je draait een scan, krijgt een enorme lijst, sorteert op ernst en begint de rode meldingen achterna te jagen.
Het werkt totdat het dat niet meer doet.
Want de realiteit in 2026 is deze: vulnerability data explodeert, het gedrag van aanvallers verandert razendsnel en de schaarste bij de meeste IT teams zit niet in tooling, maar in tijd.
Daarom voert Guardian360 twee grote wijzigingen door in Lighthouse:
- We vervangen ons scannerarsenaal, onze scanning engine room.
- We introduceren een risicogebaseerde aanpak die technische bevindingen verbindt met bedrijfsrisico, in lijn met ISO 27001, NIS2 en andere frameworks.
En ja, voor veel partners en klanten roept dit een terechte vraag op:
“Gaan we minder kwetsbaarheden zien en is dat eigenlijk wel veilig?”
Laten we het waarom achter deze keuzes uitpakken en uitleggen waarom minder, maar relevantere bevindingen meestal leiden tot betere resultaten, betere inzichten en een veel effectievere inzet van kostbare uren.
1. Waarom we ons scannerarsenaal vervangen
We bouwen de basis opnieuw op om scanning:
- Betrouwbaarder te maken, met consistente resultaten en minder verrassingen in randgevallen
- Sneller te maken, met minder wachttijd en meer continue zichtbaarheid
- Lichter te maken, met een lagere footprint en minder operationele overhead
Er is ook een strategische reden:
Verder gaan dan virtual machines richting een agent
Veel scanoplossingen leunen vandaag nog zwaar op virtual machines en zware deployments. Onze richting is duidelijk: agent gebaseerde mogelijkheden mogelijk maken, zodat partners en klanten dekking krijgen zonder standaard afhankelijk te zijn van virtuele appliances.
Dit is geen verandering om de verandering. Het gaat om het bouwen van een scanningplatform dat klaar is voor de volgende fase van Lighthouse: continue inzichten, minder operationele frictie en beter bruikbare resultaten.
2. Waarom we een risicogebaseerde aanpak introduceren en waarom die beter past bij ISO 27001 en NIS2
De meeste scanners zijn gebouwd om één technische vraag te beantwoorden:
“Hoe ernstig is deze kwetsbaarheid?”
Maar ISO 27001, NIS2 en moderne security governance vragen om een andere vraag:
“Wat betekent dit voor onze organisatie en wat doen we eerst?”
Die verschuiving is belangrijk, want technische ernst alleen beschrijft geen bedrijfsrisico. Bedrijfsrisico hangt af van context: waar de kwetsbaarheid zich bevindt, wat het raakt en wat er gebeurt als deze wordt misbruikt.
CIA: het ontbrekende ingrediënt in severity only vulnerability management
Een praktische manier om die context expliciet te maken is de klassieke CIA triade:
- Confidentiality: zou misbruik gevoelige informatie blootleggen, zoals klantgegevens, IP, inloggegevens of medische dossiers?
- Integrity: zou misbruik manipulatie mogelijk maken, zoals het wijzigen van data, transacties, configuraties of logbestanden?
- Availability: zou misbruik downtime of verstoring veroorzaken, zoals ransomware impact, service uitval of productiestops?
Met andere woorden: dezelfde CVE kan iets totaal anders betekenen afhankelijk van het CIA profiel van het asset.
Voorbeeld: dezelfde kwetsbaarheid, verschillend bedrijfsrisico
Een kwetsbaarheid met hoge ernst op een laagwaardige testserver is misschien vervelend, maar geen directe bedreiging voor het bedrijf.
Diezelfde kwetsbaarheid op:
- een systeem dat salarisverwerking doet, integrity
- een klantportaal met persoonsgegevens, confidentiality
- of een ziekenhuiskritische applicatie, availability
is plotseling een materieel bedrijfsrisico.
In plaats van elke bevinding gelijk te behandelen en puur op CVSS te sorteren, stelt een risicogebaseerde aanpak de volgende vragen:
- Welk asset is getroffen?
- Hoe kritisch is dit asset voor confidentiality, integrity en availability?
- Is het bereikbaar of exploiteerbaar in deze omgeving?
- Wat is de echte impact in de praktijk als het wordt misbruikt?
- Wat is de meest effectieve vervolgstap?
Waarom dit beter past bij ISO 27001 en NIS2
ISO 27001 is geen verzamel alles aan kwetsbaarheden standaard. Het gaat om het draaien van een ISMS dat risico’s identificeert, beoordeelt en behandelt op een gecontroleerde en herhaalbare manier. Een risicogebaseerde aanpak sluit hier direct op aan: je kunt laten zien waarom je iets prioriteerde, wat je hebt gedaan en hoe dit het risico heeft verlaagd.
NIS2 stuurt organisaties richting meetbare weerbaarheid en verantwoord risicomanagement, niet alleen technische output. Een risicogebaseerde aanpak helpt partners en klanten om in zakelijke termen te communiceren, want bestuurders en auditors willen geen “we hadden 8000 bevindingen”, maar “we hebben het risico op kritieke diensten verlaagd”.
Het resultaat: betere beslissingen, beter bewijs en minder verspilde inspanning
Door bevindingen te koppelen aan CIA en bedrijfscontext kan Lighthouse verschuiven van:
- “Hier is een enge lijst”
naar:
- “Dit zijn de issues die bedreigen wat je echt belangrijk vindt en dit is de slimste volgorde om ze op te lossen.”
Dat is de kern van een risicogebaseerde aanpak: niet minder controles, maar betere prioritering en sterkere governance.
3. De ongemakkelijke waarheid: niet elke CVE is relevant voor jouw omgeving
Dit is het deel dat vaak verloren gaat in vulnerability management: het CVE universum is enorm en het grootste deel zal nooit relevant zijn voor jouw specifieke klantomgeving.
- De National Vulnerability Database vermeldt honderdduizenden CVE’s, meer dan 326k op het moment van schrijven ( https://nvd.nist.gov/general/nvd-dashboard ).
- Ondertussen bevat de CISA Known Exploited Vulnerabilities catalogus, een praktische dit wordt actief misbruikt referentie, ongeveer 1484 entries eind 2025 ( https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries ).
Dat contrast betekent niet negeer de rest. Het betekent:
Ernst is niet hetzelfde als risico
Een CVSS score vertelt hoe slecht iets zou kunnen zijn onder bepaalde aannames. Het vertelt niet hoe waarschijnlijk het is dat het in de komende dagen of weken wordt misbruikt.
Daarom bestaan modellen zoals EPSS, om de kans op misbruik te schatten op basis van waargenomen signalen en patronen. De EPSS documentatie van FIRST laat zien dat exploitatieactiviteit zich concentreert in een klein deel van de gepubliceerde CVE’s, met in hun voorbeeld ongeveer 2,7 procent binnen een venster van 30 dagen ( https://www.first.org/epss/model ).
Threat reporting blijft bovendien aantonen dat exploitatie een belangrijke initiële toegangsvector is, maar opnieuw geconcentreerd waar aanvallers de beste ROI behalen. Verizon’s 2025 DBIR benadrukt exploitatie van kwetsbaarheden als een van de belangrijkste oorzaken van datalekken, goed voor 20 procent, met een duidelijke stijging jaar op jaar ( https://www.verizon.com/about/news/2025-data-breach-investigations-report ).
Dus ja, kwetsbaarheden doen ertoe. Maar niet allemaal evenveel en niet allemaal tegelijk.
4. Waarom minder kwetsbaarheden kunnen leiden tot betere security resultaten
Een enorme lijst met bevindingen veroorzaakt drie voorspelbare problemen:
1) Ruis verbergt het signaal
Als alles urgent lijkt, is niets urgent. Teams verspillen tijd aan triage van technisch geldige maar praktisch irrelevante items.
2) Tijd gaat naar wat makkelijk is, niet naar wat risicovol is
Zonder bedrijfscontext wordt remediation een populariteitswedstrijd van patches, hoogste CVSS eerst, zelfs als het systeem niet kritisch of niet bereikbaar is.
3) Rapportage wordt performatief
Je bewijst dat je hard hebt gewerkt, in plaats van dat je bewijst dat je risico hebt verlaagd.
Een risicogebaseerde aanpak draait dit om:
- Focus op wat exploiteerbaar, bereikbaar en materieel is
- Koppel bevindingen aan bedrijfsimpact
- Maak remediation meetbaar, uitlegbaar en auditbaar
Zo maak je vulnerability management duurzaam, niet heroïsch.
5. Wat partners kunnen verwachten in Lighthouse
Met de nieuwe scanningbasis en risicogebaseerde aanpak krijgen partners:
- Beter inzicht in bedrijfsrisico, naast technische ernstniveaus
- Relevantere scanresultaten, met minder verspilde inspanning
- Effectievere remediation, omdat acties worden geprioriteerd op basis van reëel risico en bedrijfscontext
- Sterker compliance bewijs, omdat beslissingen en acties uitlegbaar zijn en te koppelen aan governance vereisten
Zo geven we praktische betekenis aan onze missie:
“Digitale governance en weerbaarheid binnen handbereik.”
En onze visie:
“Beslissers in staat stellen met inzichten om hun organisatie te beveiligen, compliant te blijven en te optimaliseren.”
6. De kern van het verhaal
We streven er niet naar om meer bevindingen te tonen.
We willen de juiste bevindingen laten zien, op het juiste moment, in de juiste context, zodat partners en klanten hun beperkte tijd besteden waar het risico het meest wordt verlaagd.
Als je gewend bent aan scanners die trots melden “10.000 issues gevonden”, kan deze verschuiving in het begin tegenintuïtief aanvoelen.
Maar in de praktijk geldt: minder ruis plus meer relevantie betekent beter inzicht en snellere risicoreductie.
En dat is precies waar Lighthouse naartoe gaat.
