Bij security SaaS-bedrijven is scannertechnologie het hart van hun platform: zonder betrouwbare, efficiënte scanners is asset discovery en vulnerability management simpelweg niet toekomstbestendig. Maar zoals veel security engineers weten, schuiven legacy architecturen en scanners langzaam naar het einde van hun bruikbare cyclus. In deze blog nemen we je mee in onze technische keuzes én de redenen achter het vervangen van onze scanner stack.
Waarom de huidige scanners niet meer werken
Scanners leveren vaak een moordend lange lijst van gevonden kwetsbaarheden op. Dat klinkt mooi, maar de praktijk leert dat ruis en irrelevante issues het zicht op échte risico’s vertroebelen. Moderne software en OS’en zitten vol ingebouwde mitigaties; niet exploitbare kwetsbaarheden komen veel vaker voor dan vroeger. Asset owners zijn steeds meer bezig met het wegwerken van false positives en randzaken, terwijl juist snelheid en relevantie doorslaggevend zijn geworden.
Daar komt nog bij: scans kosten resources. Grote netwerken scannen kost steeds meer CPU, RAM en storage—de traditionele probes groeien uit hun jas. Betrouwbaarheid van tools (denk openVAS) staat onder druk, en maintenance wordt een dagtaak op zich.
Wat ook niet helpt is dat veel organisaties te kampen hebben met een tekort aan specialisten. Scanners moeten snel inzichtelijk maken waar de beperkte resources op ingezet moeten worden, in plaats van dat men veel tijd kwijt is aan het bepalen wat nu echt belangrijk is.
Kortom, het is tijd voor een radicale stap!
Nieuw, nu nog autonomer! Naar volledig open source en community driven
Wij vervangen de laatste closed source scannertechnologie in ons Lighthouse platform door een open source stack rondom Nuclei: een extreem flexibele engine waar je razendsnel eigen templates en checks aan toevoegt. Nieuwe vulnerabilities in het wild? De community bouwt templates en die worden automatisch binnengehaald. Niet afhankelijk van een gesloten vendor, maar van een internationale community die updates razendsnel deelt. Dit betekent: sneller kunnen reageren op exploits en trends die door AI steeds sneller de wereld rondgaan.
SIDEBAR: Waarom hebben we voor Nuclei gekozen?
Waarom kiezen we voor Nuclei als basis van onze nieuwe scannerstack?
- Nuclei is een open source-engine, gebouwd door en voor de security community. Dankzij een wereldwijd netwerk van onderzoekers en professionals komen nieuwe templates en exploit-checks razendsnel beschikbaar. Hierdoor kunnen wij (en onze klanten) supersnel reageren op zero-days en trending exploits – sneller dan menig commerciële vendor kan bijbenen.
- Nuclei templates zijn flexibel (YAML-based) en uitermate eenvoudig uit te breiden met klantspecifieke checks of custom business logic, zonder dat je diep hoeft te programmeren. Je kan bijvoorbeeld voor je eigen API’s unieke detecties toevoegen die voor niemand anders relevant zijn.
- Door het gebruik van feeds worden nieuwe checks automatisch opgehaald. Voorbeeld: als er wereldwijd een nieuwe kwetsbaarheid rond een SonicWall wordt ontdekt, kun je vaak binnen uren een nieuwe scan uitvoeren op basis van de recent gedeelde template.
- Guardian360 kan op deze manier ook wat terug gevel aan de community: wij voegen zelf ook nieuwe checks aan de repository toe.
Maar flexibiliteit betekent meer: templates kunnen ook uniek per klant of organisatie zijn. Specifieke endpoints scannen, eigen API’s monitoren, hardening checks draaien? Voor elke organisatie zijn op termijn relevante scans op maat in te richten, zonder dat je alles zelf hoeft te coderen.
Van probe naar agent: de volgende stap in deployment
De klassieke scannerprobe, draaiend als virtual machine, blijft relevant voor bepaalde use cases. Maar met onze nieuwe agent-aanpak kunnen we het nog compacter en flexibeler maken. Agents draaien native op Windows, Linux, Mac of zelfs als Container in een CI/CD pipeline. Hiermee zijn lokale checks mogelijk: denk aan registry checks, operating system hardening, MITRE ATT&CK detection en nog veel meer. Ook asset discovery kan hiermee een boost krijgen: van ARP scans tot third party API koppelingen, allemaal centraal zichtbaar in Lighthouse.
Naast security en hardening inzichten zullen we ook meer aandacht hebben voor privacy op de end points. We hebben daarvoor samengewerkt met de Universiteit Utrecht en zullen de door hen opgeleverde InfoSec Agent gaan integreren in de agent.
En niet onbelangrijk: minder resource consumption, meer snelheid, minder bloatware. Belangrijk in een tijd waarin ‘simplicity by design’ een must is voor security tooling. We streven expliciet naar lichtgewicht agents die geen risico vormen qua CPU- of memory-hogging—met lessen van bekende platformen waar dat gigantisch misging in ons achterhoofd.
AI inzetten bij scanner development en rapportage
AI in security, dat betekent doorgaans veel marketingbingo, weinig concreets. Maar wij zetten AI doelgericht in op twee nieuwe plekken in onze stack. Ten eerste helpt AI bij het genereren en verrijken van scanner-templates, waardoor development significant versnelt. Ten tweede verrijkt AI de scanresultaten: meer context, extra tips, en concrete verificaties waarmee gebruikers direct kunnen bevestigen of issues aanwezig zijn—relevant voor wie niet meer wil zoeken in generieke CVE-lijsten.
AI is niet een gaaf buzzword op het dashboard, maar een versneller voor developers én een hulpbron voor de eindgebruiker.
De scanner replacement is meer dan een technische upgrade: het is een visie op meer relevante inzichten, minder overhead en een open, flexibele aanpak. Als security engineer, architect of asset owner merk je direct verschil in snelheid, relevantie en betrouwbaarheid. In onze volgende blog duiken we dieper in de uitrol van de agents en hoe je als organisatie deze stap kunt zetten zonder je systemen te belasten.
Hoe ziet onze tijdlijn eruit?
Op dit moment testen we de nieuwe scannertechnologie al op probes in onze staging omgeving. De eerste resultaten zijn veelbelovend, maar er moet nog heel veel gebeuren. Denk aan het klaar maken van onze centrale scanner omgeving, opleveren van nieuwe API’s en het klaarmaken van onze backend infrastructuur om scan resultaten te verwerken. Momenteel denken we dat we deze nieuwe scanners medio Q1 2026 gaan opleveren, maar omdat er nog veel onzekerheden zijn, kan deze oplevertermijn gaan schuiven.
Zodra de nieuwe scanners zijn opgeleverd en in productie zijn genomen, gaan we verder met de ontwikkeling van de Agents. Omdat er al veel fundamenteel werk is verzet, verwachten we dat de eerste agents snel na oplevering van de scanners opgeleverd kunnen worden. Maar ook hier geldt: we weten nog niet wat we niet weten, dus we kunnen nog geen harde toezeggingen doen.
evolutie){kind=link}