Naar de inhoud
Avanet
Sophos Advisory Services beveiligingstests

Sophos Advisory Services: Security Testing door experts

Met Sophos Advisory Services breidt Sophos zijn security services portfolio uit met proactieve beveiligingsbeoordelingen. Het uitgangspunt is eenvoudig: een organisatie zou niet pas tijdens een aanval moeten ontdekken of de eigen omgeving echt weerbaar is. Beter is een gecontroleerde test, waarbij ervaren security testers de omgeving bekijken vanuit het perspectief van een aanvaller, zwakke plekken aantonen en concrete aanbevelingen geven.

In eerste instantie klinkt dit als klassieke penetration testing, en daar begint Sophos ook. Advisory Services is echter breder dan één “scan”. Het gaat om technische tests, duidelijke doelbepaling, betrouwbare findings, prioritering, rapportage voor technische en niet-technische ontvangers en, bij kritieke of hoge findings, validatie van de remediation binnen 90 dagen.

De positionering is belangrijk: Sophos Advisory Services is geen vervanging voor Sophos MDR, geen vervanging voor Sophos Managed Risk en geen noodhulp bij een actieve aanval. Het is de proactieve advies- en testinglaag ertussen: toetsen, begrijpen, prioriteren, verbeteren.

Wat zijn Sophos Advisory Services?

Sophos Advisory Services zijn door experts uitgevoerde beveiligingsbeoordelingen. Sophos beschrijft ze als onafhankelijke, proactieve Security Testing-services waarbij netwerken, systemen, applicaties en, afhankelijk van de opdracht, ook organisatorische beveiligingsaspecten worden getoetst aan realistische aanvalsmethoden.

De service wordt geleverd door het Sophos Red Team en andere security experts. In de methodiek vloeien inzichten samen uit Sophos X-Ops, Incident Response-trajecten, Threat Hunting en veel testingprojecten. Daardoor moet de test niet alleen bekende checklists afwerken, maar ook actuele aanvalstactieken meenemen.

De praktische waarde zit in vier vragen:

  • Waar zitten de zwakke plekken die aanvallers echt zouden kunnen misbruiken?
  • Hoe ver zou een aanvaller komen van buitenaf, intern, via Wi-Fi of via een webapplicatie?
  • Welke technische en organisatorische maatregelen verlagen het risico het meest?
  • Welke resultaten zijn begrijpelijk te tonen aan management, partners, auditors of cyberverzekeraars?

Het resultaat is niet alleen “geslaagd” of “niet geslaagd”. Een goede test laat zien wat is onderzocht, wat is gevonden, hoe kritiek een finding is, wat de realistische impact is en wat concreet moet worden aangepast.

De vier momenteel beschikbare services

Sophos heeft bij de introductie vier Security Testing-aanbiedingen aangekondigd. Later kunnen meer Advisory Services volgen, maar deze vier vormen nu de kern.

External Penetration Testing

Bij External Penetration Testing wordt de omgeving bekeken vanuit het perspectief van een externe aanvaller. De focus ligt op publiek bereikbare systemen zoals websites, VPN-portalen, remote access, e-mailinfrastructuur, API’s, webservers, cloudservices of andere internet-exposed services.

De test beantwoordt vooral deze vragen:

  • Welke systemen zijn van buitenaf zichtbaar?
  • Zijn services verkeerd geconfigureerd of verouderd?
  • Zijn er bekende kwetsbaarheden die misbruikt kunnen worden?
  • Kan een eerste toegang tot de omgeving worden bereikt?
  • Welke maatregelen verkleinen het externe aanvalsoppervlak?

External pentesting is vooral zinvol wanneer nieuwe services worden gepubliceerd, na grotere infrastructuurwijzigingen, vóór audits of wanneer onduidelijk is hoe groot het externe aanvalsoppervlak werkelijk is. Het vult ook continue exposure-aanpakken zoals Sophos Managed Risk aan, maar vervangt die niet. Managed Risk monitort en prioriteert continu. Een pentest gaat op een bepaald moment dieper en probeert gecontroleerd aan te tonen wat een aanvaller zou kunnen bereiken.

Internal Penetration Testing

Bij Internal Penetration Testing wordt aangenomen dat een aanvaller al in het netwerk zit of dat een gebruikersaccount is gecompromitteerd. In de praktijk is dat een realistisch scenario: phishing, gestolen inloggegevens, onveilige VPN-toegang of een geïnfecteerde client zijn vaak genoeg voor een eerste voet aan de grond.

De interne test controleert bijvoorbeeld:

  • of segmentatie echt werkt,
  • of privileged access te ruim is toegekend,
  • of servers, clients en beheersystemen gescheiden zijn,
  • of lokale administratorrechten misbruikt kunnen worden,
  • of lateral movement mogelijk is,
  • of gevoelige gegevens vanuit interne systemen bereikbaar zijn.

Juist hier blijkt vaak het verschil tussen papieren architectuur en werkelijkheid. Een netwerk kan in diagrammen netjes gesegmenteerd lijken, maar in de dagelijkse praktijk veel doorlaatbaarder zijn door uitzonderingen, legacy systemen, open managementpoorten of zwakke rechten. Interne tests zijn daarom een goede reality check voor Zero Trust-, segmentatie- en hardeningprojecten.

Wireless Network Penetration Testing

Bij Wireless Network Penetration Testing wordt de Wi-Fi-beveiliging gecontroleerd. Sophos maakt onderscheid tussen passieve en actieve controles.

Een passieve controle observeert radioverkeer en zoekt naar problemen zoals rogue access points, onverwachte SSID’s, zwakke encryptie, foutieve configuraties of apparaten die niet in het beveiligingsmodel passen. Een actieve controle gaat verder en simuleert aanvalspogingen, bijvoorbeeld tegen authenticatie, encryptie of toegangscontroles.

Typische vragen zijn:

  • Zijn bedrijfs-Wi-Fi, gast-Wi-Fi en interne netwerken netjes gescheiden?
  • Worden sterke authenticatiemethoden gebruikt?
  • Zijn er ongewenste access points of verkeerd geconfigureerde apparaten?
  • Kan een aanvaller beveiligingsmechanismen omzeilen?
  • Voldoet de Wi-Fi-configuratie aan de interne security policies?

Wi-Fi wordt in veel omgevingen onderschat omdat het “alleen” als toegangslaag wordt gezien. In werkelijkheid is het vaak een directe brug naar interne netwerken. Een wireless test is vooral nuttig voor kantoren met gevoelige zones, productielocaties, onderwijsinstellingen, zorg, retailomgevingen of locaties met veel gasten en mobiele apparaten.

Web Application Security Assessment

Bij de Web Application Security Assessment worden webapplicaties gecontroleerd op beveiligingsproblemen. Denk aan klassieke kwetsbaarheden zoals SQL Injection, Cross-Site Scripting, foutieve authenticatie, Broken Access Control, Security Misconfiguration, onveilige sessiebeheer of ontwerpfouten in de applicatie.

Sophos beschrijft twee mogelijke perspectieven:

  • Black-box Testing: de tester heeft geen interne informatie en test zoals een externe aanvaller.
  • White-box Testing: de tester krijgt toegang tot broncode, architectuurinformatie of technische documentatie en kan daardoor dieper testen.

Welke variant zinvol is, hangt af van het doel. Als men wil weten wat een externe aanvaller zonder voorkennis kan bereiken, past Black-box Testing. Als een nieuwe applicatie vóór go-live echt diep getest moet worden, is White-box Testing vaak waardevoller, omdat ook structurele problemen in code of ontwerp zichtbaar worden.

Web Application Assessments zijn vooral relevant voor klantportalen, shops, interne webtools, API’s, partnerportalen, loginomgevingen en applicaties met persoonsgegevens of bedrijfskritische data.

Hoe een Advisory-engagement meestal verloopt

Een goede beveiligingstest begint niet met tools, maar met scope en doel. Precies dat benadrukt Sophos bij Advisory Services: de tests moeten doelgericht zijn en systemen beoordelen in de context van de omgeving.

1. Doel en scope vastleggen

Vóór de test moet duidelijk zijn wat wordt getest en wat niet. Daarbij horen:

  • doelsystemen, domeinen, IP-bereiken, applicaties of locaties,
  • toegestane testsoorten en uitgesloten acties,
  • tijdvensters en onderhoudsvensters,
  • contactpersonen voor technische en zakelijke vragen,
  • escalatiepaden bij kritieke findings of operationele verstoringen,
  • testaccounts en benodigde toegang,
  • omgang met productiedata.

Deze fase is belangrijk, omdat Security Testing altijd effect kan hebben. Een actieve test tegen Wi-Fi, een webapplicatie of een intern netwerk mag niet ongecontroleerd de operatie raken. Hoe beter scope en regels zijn gedefinieerd, hoe nuttiger en veiliger het resultaat wordt.

2. Test uitvoeren

Tijdens de testfase werken security experts met een mix van handmatige analyse, tooling, ervaring en actuele Threat Intelligence-inzichten. Het verschil met een pure kwetsbaarheidsscan is dat findings niet alleen worden gemeld, maar ook worden beoordeeld en waar mogelijk gevalideerd.

Een scanner kan zeggen: “Hier zou een kwetsbaarheid kunnen bestaan.” Een goede pentest beantwoordt daarnaast: “Is ze exploiteerbaar? Onder welke voorwaarden? Hoe ver komt men ermee? Wat is de echte impact? Welke maatregel helpt werkelijk?”

3. Resultaten documenteren

Na afloop levert Sophos een rapport. Volgens Sophos is dit bedoeld voor technische en niet-technische ontvangers. Dat is belangrijk, omdat een puur technisch rapport het management vaak niet helpt, terwijl een puur managementrapport voor admins te weinig concreet is.

Een bruikbaar rapport zou daarom minimaal bevatten:

  • samenvatting voor management en risicobeslissers,
  • technische findings met bewijs,
  • ernst en realistische impact,
  • getroffen systemen en geteste scope,
  • geprioriteerde aanbevelingen,
  • concrete remediation-stappen,
  • aanwijzingen voor snelle correcties en structurele verbeteringen.

Prioritering is cruciaal. Veel organisaties hebben meer findings dan tijd. Een goed rapport helpt om eerst de kwetsbaarheden te verhelpen die echt exploiteerbaar, exposed of bedrijfskritisch zijn.

4. Kritieke en hoge findings valideren

Een waardevol punt op de Sophos-pagina is Remediation Validation: voor verholpen findings met kritieke of hoge ernst is validatie binnen 90 dagen inbegrepen. Dat is praktisch, omdat zo niet alleen een PDF ontstaat, maar een echte controlelus.

Voor de operatie betekent dit: kritieke en hoge findings moeten snel in tickets worden omgezet, aan een owner worden toegewezen en na remediation opnieuw worden gecontroleerd. Anders blijft de test een momentopname zonder duurzaam effect.

Afbakening ten opzichte van MDR, Managed Risk en Incident Response

Sophos heeft inmiddels meerdere security services waarvan de namen makkelijk door elkaar lopen. De verschillen zijn belangrijk.

Advisory Services vs. Sophos MDR

Sophos MDR is een doorlopende Managed Detection and Response-service. Analisten monitoren signalen, detecteren bedreigingen en reageren afhankelijk van het afgesproken model op actieve aanvallen of verdacht gedrag.

Advisory Services zijn daarentegen projectmatige tests en assessments. Er wordt gecontroleerd of controles, applicaties, netwerken of Wi-Fi aan te vallen zijn. MDR kijkt continu naar actieve bedreigingen. Advisory Services beoordeelt hoe goed de verdediging voorbereid is.

Advisory Services vs. Sophos Managed Risk

Sophos Managed Risk is een continue service voor kwetsbaarheids- en attack surface management. De service identificeert externe assets, beoordeelt risico’s, prioriteert kwetsbaarheden en helpt open aanvalsvlakken doorlopend te verkleinen.

Advisory Services werkt anders: het zijn tijdgebonden, handmatige of sterk expertgestuurde beoordelingen. Een external pentest kan bijvoorbeeld valideren hoe ver een aanvaller werkelijk zou komen. Managed Risk levert het continue zicht op het aanvalsoppervlak. Beide vullen elkaar goed aan.

Advisory Services vs. Compromise Assessment

Een Sophos Compromise Assessment beantwoordt een andere vraag: is de omgeving al gecompromitteerd of zijn er aanwijzingen voor een lopende of eerdere aanval?

Advisory Services vraagt daarentegen: waar zou een aanval kunnen slagen als iemand het probeert? Het gaat dus om preventie en weerbaarheid, niet primair om forensisch zoeken naar al actieve aanvallers.

Advisory Services vs. Emergency Incident Response

Wanneer een organisatie op dit moment wordt aangevallen, is een penetration test niet het juiste startpunt. Dan zijn Incident Response, containment, analyse en herstel nodig. Advisory Services is bedoeld voor de fase ervoor of erna: vóór een aanval om risico te verlagen, na stabilisatie om structureel te verbeteren.

Wanneer Sophos Advisory Services zinvol is

Advisory Services is vooral zinvol wanneer een organisatie niet alleen “meer security” wil, maar concrete vragen moet beantwoorden.

Vóór go-live of na grote wijzigingen

Nieuwe webapplicaties, een nieuwe VPN-architectuur, nieuwe cloudservices, een nieuw Wi-Fi-concept of grotere netwerksegmentatie zouden hun zwakke plekken niet pas in productie mogen tonen. Een gericht assessment vóór go-live kan veel dure herstelwerkzaamheden voorkomen.

Vóór audits, certificeringen of cyberverzekeringen

Veel eisen uit NIS2, ISO 27001, PCI DSS, SOC 2 of cyberverzekeringen draaien niet alleen om aanwezige tools, maar om aantoonbare processen, tests en risicoreductie. Een Advisory-engagement vervangt geen certificering, maar kan belangrijke bewijzen en concrete verbeteringen leveren. Voor de relatie tussen regulering en beveiligingsmaatregelen past ook het artikel over de NIS 2-richtlijn.

Wanneer interne security wordt vermoed, maar niet bewezen is

Veel omgevingen lijken stabiel totdat men ze bewust test. Interne tests tonen vaak oude adminrechten, vlakke netwerken, open managementpoorten, onbeschermde serviceaccounts of ontbrekende segmentatie. Zeker na jaren organische groei is deze externe blik op de eigen binnenwereld waardevol.

Als aanvulling op MDR, XDR, NDR en firewallbescherming

Detection-and-Response-technologieën zijn sterk, maar beantwoorden niet elke preventievraag. Een organisatie kan Sophos Firewall NDR Active Threat Intelligence, XDR of MDR gebruiken en toch zwaktes hebben in Wi-Fi, webapplicaties of interne segmentatie. Advisory Services helpt om die gaten gericht te vinden.

Wat men vóór een test moet voorbereiden

Security Testing is niet “even doen”. Goede voorbereiding bepaalt of de test bruikbare resultaten oplevert of alleen stress veroorzaakt.

Direct verduidelijken

  • Welke systemen en applicaties vallen binnen de scope?
  • Welke systemen mogen uitdrukkelijk niet worden getest?
  • Zijn er productiesystemen met bijzonder risico?
  • Welke onderhoudsvensters zijn mogelijk?
  • Wie is de technische contactpersoon?
  • Wie mag risicobeslissingen nemen?
  • Welke logbronnen worden tijdens de test gemonitord?

Voor de test voorbereiden

  • Testgoedkeuring en juridische toestemming documenteren.
  • Contactlijst met noodnummers opstellen.
  • Back-ups en herstelbaarheid controleren.
  • Monitoring, SIEM, MDR of SOC over de test informeren.
  • Testaccounts met gedefinieerde rechten beschikbaar stellen.
  • Doelsystemen en versies documenteren.
  • Business owners van de geteste applicaties betrekken.
  • Change freeze voor kritieke systemen beoordelen.

Na de test operationaliseren

  • Findings omzetten in tickets.
  • Kritieke en hoge findings prioriteren.
  • Owner en deadline per finding definiëren.
  • Quick wins scheiden van architectuuronderwerpen.
  • Remediation documenteren.
  • Validatie binnen de 90-dagen-termijn plannen.
  • Terugkerende tests opnemen in de security roadmap.

Grenzen en realistische verwachtingen

Sophos Advisory Services kan veel waarde bieden, maar is geen magisch veiligheidsbewijs.

Een test is altijd scope- en tijdsafhankelijk. Wat niet in scope is, wordt niet getest. Wat na de test nieuw wordt gepubliceerd of aangepast, kan nieuwe risico’s creëren. Een schoon rapport bewijst daarom niet dat een omgeving “veilig” is. Het toont wat binnen het afgesproken kader is getest en welke risico’s daarbij zijn gevonden.

Ook belangrijk: de service verhelpt kwetsbaarheden niet automatisch. Hij levert findings, prioritering en aanbevelingen. De uitvoering blijft een taak voor IT, development, netwerkteam, securityteam, dienstverlener of applicatie-eigenaar. Precies daarom is een ownermodel na de test zo belangrijk.

Daarnaast moet men onderscheid maken tussen passieve en actieve tests. Een actieve test kan systemen belasten, alarmen activeren of onverwachte neveneffecten veroorzaken als scope en tijdvensters slecht zijn gedefinieerd. Dat is geen argument tegen testing, maar wel voor goede voorbereiding.

Mijn inschatting

Ik vind Sophos Advisory Services vooral interessant omdat Sophos zijn portfolio hiermee in een logische richting uitbreidt. Veel organisaties hebben inmiddels goede beveiligingsproducten, maar te weinig geteste werkelijkheid. Er is Endpoint, Firewall, MDR, back-ups, policies en misschien enkele compliance-documenten. De harde vraag blijft: houdt het stand wanneer iemand echt test?

Precies daar past Advisory Services. De service is niet de dagelijkse monitoring zoals MDR en niet het continue kwetsbaarheidsmanagement zoals Managed Risk. Het is de geplande reality check. De waarde wordt vooral groot wanneer resultaten niet in een lade verdwijnen, maar worden vertaald naar tickets, architectuurbeslissingen, segmentatieprojecten en terugkerende reviews.

Mijn aanbeveling: Advisory Services niet behandelen als een eenmalige auditstempel. Beter is een klein programma: eerst de externe aanvalsvlakte testen, daarna kritieke webapplicaties, vervolgens interne beweging en Wi-Fi. Parallel zouden Managed Risk, MDR, logging en firewallreviews voor doorlopende zichtbaarheid moeten zorgen. Zo ontstaat geen enkel rapport, maar een continu verbeterproces.

FAQ

Wat zijn Sophos Advisory Services?

Sophos Advisory Services zijn proactieve Security Testing- en assessmentservices. Sophos-experts testen netwerken, systemen, Wi-Fi of webapplicaties vanuit het perspectief van een aanvaller en geven concrete aanbevelingen voor risicoreductie.

Welke services zijn momenteel beschikbaar?

Bij de start noemt Sophos vier aanbiedingen: External Penetration Testing, Internal Penetration Testing, Wireless Network Penetration Testing en Web Application Security Assessment.

Is Sophos Advisory Services hetzelfde als Sophos MDR?

Nee. MDR is een doorlopende Detection and Response-service voor actieve bedreigingen. Advisory Services zijn projectmatige beveiligingsbeoordelingen die kwetsbaarheden en aanvalspaden zichtbaar maken.

Wat is het verschil met Sophos Managed Risk?

Managed Risk monitort en prioriteert kwetsbaarheden en externe aanvalsvlakken continu. Advisory Services test gerichter en dieper, bijvoorbeeld via handmatige penetration tests of Web Application Assessments.

Vervangt een penetration test een securitystrategie?

Nee. Een test toont risico’s binnen de gedefinieerde scope en op het testmoment. Daarna moeten findings worden opgelost, controles verbeterd, logs gemonitord en securityprocessen voortgezet.

Wat gebeurt er na de test?

Sophos levert een rapport met findings, bewijs, beoordeling en aanbevelingen. Volgens Sophos is voor verholpen kritieke en hoge findings Remediation Validation binnen 90 dagen inbegrepen.

Voor wie is Sophos Advisory Services vooral nuttig?

De service is nuttig voor organisaties die vóór go-live, audit, certificering, cyberverzekering, architectuurwijziging of na langere bedrijfstijd willen weten hoe aanvalsbaar hun omgeving echt is.

Kan Sophos Advisory Services helpen bij NIS2 of ISO 27001?

Ja, als ondersteunend bewijs en om de security posture te verbeteren. De service vervangt echter geen certificering en geen juridische beoordeling van wettelijke vereisten.

Meer informatie

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.