"We worden gepentest dus we zijn veilig"
Waarom de jaarlijkse pentest een momentopname is zonder voorspellende waarde, hoe de industrie junior testers op template-rapporten zet, en wat een goede pentest wel is.
essay
20 paginas
Zero-day als marketingterm (en waarom bijna alles een one-day is)
Hoe de term "zero-day" werd gekaapt door marketing, waarom de meeste "zero-day attacks" in werkelijkheid n-day attacks zijn, en wie er verdient aan de verwarring.
Security theater en de luchthaven
Waarom TSA-beveiliging en security awareness training hetzelfde probleem zijn, hoe beide decennia van ritueel hebben opgeleverd zonder de kernaanval te stoppen, en wat we daaruit leren.
MOVEit en de deur die al open stond
Hoe Cl0p in 2023 in één weekend duizenden organisaties leeghaalde via een file-transfer tool die niemand ooit had geïnspecteerd — en waarom supply chain-aanvallen niet gaan weg.
De patch die je niet kunt toepassen
Over legacy systemen, industriële controllers die nooit rebooten, vendors die vijf jaar geleden failliet zijn gegaan, en wat je doet als 'gewoon patchen' geen optie is.
"We gebruiken AWS dus we zijn veilig"
Hoe 100 miljoen Capital One klanten werden leeggehaald door een ex-AWS medewerker met een SSRF-exploit, waarom de cloud geen security is, en wat je mensen niet willen horen.
Security awareness theater: waarom je mensen trainen in phishing niet werkt
Over de jaarlijkse verplichte training die iedereen wegklikt, de gotcha-simulaties die collega's intimideren, en waarom het onderzoek zegt dat je mensen niet traint om beveiligers te worden.
De insider die niemand zag aankomen (en meestal ook niet bestaat)
Waarom Hollywood je een verkeerd beeld geeft van insider threats, waarom de echte dreiging bijna altijd saai en slordig is, en wat offboarding met security te maken heeft.
De logs die niemand leest, en waarom je ze toch nodig hebt
Over de absurditeit van terabytes aan logs die nooit worden bekeken, de schok van ontdekken dat ze er niet zijn, en hoe je een logging-strategie bouwt die mensen wel zullen gebruiken.
MFA-vermoeidheid en de tiener uit Argentinië
Hoe een 18-jarige in september 2022 binnen 24 uur het hele Uber-imperium platlegde door een werknemer net zo lang te bellen tot die op 'goedkeuren' drukte.
Het cyber-verzekering sprookje
Wat een cyber-verzekering doet en niet doet, waarom hij steeds duurder wordt en moeilijker te krijgen, en de pijnlijke vraag of je hem überhaupt moet willen.
Snowflake en de deur die je zelf open liet
Hoe in het voorjaar van 2024 honderd grote bedrijven werden leeggehaald via een dienst die ze elke dag gebruikten — en waarom de leverancier technisch correct kon zeggen dat het niet zijn schuld was.
De vragenlijst die niets bewijst, maar drie weken duurt
Hoe een industrie van 200-vragenlijsten een illusie van controle heeft gecreëerd, en wat je in plaats daarvan moet doen als je echt wilt weten of je leverancier deugt.
Het CrowdStrike-weekend en wat het je leerde over vertrouwen
Op vrijdag 19 juli 2024 stortten 8,5 miljoen Windows-machines tegelijk in. Het was geen aanval. Het was een update. En het is precies waar de hele moderne IT op rust.
NIS2: de realiteitscheck waar je consultant niet voor heeft betaald
Wat NIS2 echt vereist, wat consultants je verkopen, en het verschil tussen die twee dingen — uitgelegd zonder PowerPoint.
LastPass en de leugen van de kluis
Hoe een wachtwoordmanager met 33 miljoen klanten in zes maanden alles is kwijtgeraakt waar zijn naam letterlijk over gaat — en wat dat over jouw vertrouwen in vendors zegt.
De middelmatige hacker en jouw onopvallende bedrijf
Waarom je je geen zorgen moet maken over Russische APT-groepen, en wel over de 14-jarige met een phishing-kit die hij op Discord heeft gekocht.
Je back-up is een leugen die je leverancier verkocht
Negen op de tien organisaties weten niet of hun back-ups werken — en de meesten ontdekken het pas op de dag dat het ertoe doet.
Compliance-theater: vijftig documenten, nul verdediging
Hoe een organisatie ISO27001 kan halen, NIS2 kan tekenen en intussen volledig wordt platgelegd door een 14-jarige met een phishing-kit.
Je wachtwoord is dood. Niemand heeft het lef je dat te vertellen
Waarom wachtwoordrotatie, hoofdletters en speciale tekens nutteloze rituelen zijn — en wat je er vanmiddag aan kunt doen.