10 min

"We worden gepentest dus we zijn veilig"

Waarom de jaarlijkse pentest een momentopname is zonder voorspellende waarde, hoe de industrie junior testers op template-rapporten zet, en wat een goede pentest wel is.

pentestsecurityessay

9 min

Zero-day als marketingterm (en waarom bijna alles een one-day is)

Hoe de term "zero-day" werd gekaapt door marketing, waarom de meeste "zero-day attacks" in werkelijkheid n-day attacks zijn, en wie er verdient aan de verwarring.

zero-daymarketingvulnerabilities

10 min

Security theater en de luchthaven

Waarom TSA-beveiliging en security awareness training hetzelfde probleem zijn, hoe beide decennia van ritueel hebben opgeleverd zonder de kernaanval te stoppen, en wat we daaruit leren.

security-theateranalogyessay

11 min

MOVEit en de deur die al open stond

Hoe Cl0p in 2023 in één weekend duizenden organisaties leeghaalde via een file-transfer tool die niemand ooit had geïnspecteerd — en waarom supply chain-aanvallen niet gaan weg.

moveitsupply-chainclop

11 min

De patch die je niet kunt toepassen

Over legacy systemen, industriële controllers die nooit rebooten, vendors die vijf jaar geleden failliet zijn gegaan, en wat je doet als 'gewoon patchen' geen optie is.

legacypatchingisolation

11 min

"We gebruiken AWS dus we zijn veilig"

Hoe 100 miljoen Capital One klanten werden leeggehaald door een ex-AWS medewerker met een SSRF-exploit, waarom de cloud geen security is, en wat je mensen niet willen horen.

cloudawscapital-one

11 min

Security awareness theater: waarom je mensen trainen in phishing niet werkt

Over de jaarlijkse verplichte training die iedereen wegklikt, de gotcha-simulaties die collega's intimideren, en waarom het onderzoek zegt dat je mensen niet traint om beveiligers te worden.

awarenesstrainingphishing

11 min

De insider die niemand zag aankomen (en meestal ook niet bestaat)

Waarom Hollywood je een verkeerd beeld geeft van insider threats, waarom de echte dreiging bijna altijd saai en slordig is, en wat offboarding met security te maken heeft.

insider-threatoffboardingessay

9 min

De logs die niemand leest, en waarom je ze toch nodig hebt

Over de absurditeit van terabytes aan logs die nooit worden bekeken, de schok van ontdekken dat ze er niet zijn, en hoe je een logging-strategie bouwt die mensen wel zullen gebruiken.

loggingmonitoringessay

8 min

MFA-vermoeidheid en de tiener uit Argentinië

Hoe een 18-jarige in september 2022 binnen 24 uur het hele Uber-imperium platlegde door een werknemer net zo lang te bellen tot die op 'goedkeuren' drukte.

ubermfasocial-engineering

9 min

Het cyber-verzekering sprookje

Wat een cyber-verzekering doet en niet doet, waarom hij steeds duurder wordt en moeilijker te krijgen, en de pijnlijke vraag of je hem überhaupt moet willen.

cyber-insuranceriskessay

9 min

Snowflake en de deur die je zelf open liet

Hoe in het voorjaar van 2024 honderd grote bedrijven werden leeggehaald via een dienst die ze elke dag gebruikten — en waarom de leverancier technisch correct kon zeggen dat het niet zijn schuld was.

snowflakebreachshared-responsibility

9 min

De vragenlijst die niets bewijst, maar drie weken duurt

Hoe een industrie van 200-vragenlijsten een illusie van controle heeft gecreëerd, en wat je in plaats daarvan moet doen als je echt wilt weten of je leverancier deugt.

vendor-risksupply-chainessay

8 min

Het CrowdStrike-weekend en wat het je leerde over vertrouwen

Op vrijdag 19 juli 2024 stortten 8,5 miljoen Windows-machines tegelijk in. Het was geen aanval. Het was een update. En het is precies waar de hele moderne IT op rust.

crowdstrikesupply-chainessay

8 min

NIS2: de realiteitscheck waar je consultant niet voor heeft betaald

Wat NIS2 echt vereist, wat consultants je verkopen, en het verschil tussen die twee dingen — uitgelegd zonder PowerPoint.

nis2complianceessay

7 min

LastPass en de leugen van de kluis

Hoe een wachtwoordmanager met 33 miljoen klanten in zes maanden alles is kwijtgeraakt waar zijn naam letterlijk over gaat — en wat dat over jouw vertrouwen in vendors zegt.

lastpassbreachvendor-trust

7 min

De middelmatige hacker en jouw onopvallende bedrijf

Waarom je je geen zorgen moet maken over Russische APT-groepen, en wel over de 14-jarige met een phishing-kit die hij op Discord heeft gekocht.

threat-modelingransomwareessay

6 min

Je back-up is een leugen die je leverancier verkocht

Negen op de tien organisaties weten niet of hun back-ups werken — en de meesten ontdekken het pas op de dag dat het ertoe doet.

backupransomwareessay

7 min

Compliance-theater: vijftig documenten, nul verdediging

Hoe een organisatie ISO27001 kan halen, NIS2 kan tekenen en intussen volledig wordt platgelegd door een 14-jarige met een phishing-kit.

complianceiso27001nis2

7 min

Je wachtwoord is dood. Niemand heeft het lef je dat te vertellen

Waarom wachtwoordrotatie, hoofdletters en speciale tekens nutteloze rituelen zijn — en wat je er vanmiddag aan kunt doen.

wachtwoordpasskeyssecurity

Essays

Essays

"We worden gepentest dus we zijn veilig"

Zero-day als marketingterm (en waarom bijna alles een one-day is)

Security theater en de luchthaven

MOVEit en de deur die al open stond

De patch die je niet kunt toepassen

"We gebruiken AWS dus we zijn veilig"

Security awareness theater: waarom je mensen trainen in phishing niet werkt

De insider die niemand zag aankomen (en meestal ook niet bestaat)

De logs die niemand leest, en waarom je ze toch nodig hebt

MFA-vermoeidheid en de tiener uit Argentinië

Het cyber-verzekering sprookje

Snowflake en de deur die je zelf open liet

De vragenlijst die niets bewijst, maar drie weken duurt

Het CrowdStrike-weekend en wat het je leerde over vertrouwen

NIS2: de realiteitscheck waar je consultant niet voor heeft betaald

LastPass en de leugen van de kluis

De middelmatige hacker en jouw onopvallende bedrijf

Je back-up is een leugen die je leverancier verkocht

Compliance-theater: vijftig documenten, nul verdediging

Je wachtwoord is dood. Niemand heeft het lef je dat te vertellen

Steun dit project