Pentesten op het tempo van software
Regelmatig halen door cybercriminelen gehackte bedrijven of organisaties het nieuws. Een ziekenhuis dat gedurende 3 dagen terug moet vallen op papieren procedures omdat het hele computersysteem lam ligt? Iets wat we liever niet zien gebeuren. “Penetration testing” (afgekort tot ’pentesten’) is voor cybersecurity wat een stevige oefenmatch betekent voor elke sportploeg: het toont je waar de zwakke plekken zitten door - gecontroleerd en met toestemming - aanvallen na te bootsen.
Te vaak zien bedrijven dat soort pentesten als een jaarlijks verplicht nummertje. Je plant de pentest in, wacht weken of maanden, krijgt een rapport, vinkt het af voor audit of compliance. Ondertussen verandert je IT-omgeving voortdurend: nieuwe cloud-resources, updates, nieuwe koppelingen, nieuwe accounts. Alsof een sportteam voldoende heeft aan één oefenmatch per jaar? Met innovatieve starterssteun van VLAIO ontwikkelde Allseek pentesten die sneller, maar vooral ook continu resultaten en inzichten oplevert. Het succes ervan werd snel opgepikt door grotere spelers in de markt en nu mag Allseek onder de vleugels van Aikido zijn cybermagic verder ontwikkelen.
Een sterk idee waar niemand voor wil betalen
Wout Debaenst, co-founder Allseek: "Als zelfstandig ethisch hacker botste ik op een terugkerend patroon: zelfs bij de meest beveiligde bedrijven zaten belangrijke “secrets” zoals paswoorden, overal verspreid. Voor hackers is dat het startpunt van elke aanval. Zodra ze toegang krijgen, gaan ze op zoek naar welk wachtwoord verdere toegang biedt. En zo werken hackers stap voor stap door tot ze de hoogste rechten hadden binnen het computersysteem van een bedrijf.
“Samen met Miel Verkerken en Arne Feys, broedden we met Allseek op een oplossing voor dat probleem. Maar tot onze grote verbazing erkenden bedrijven waar we mee praatten weliswaar het probleem, maar vonden het niet de moeite om er hun portefeuille voor open te trekken. Zolang het niet gelinkt werd aan bredere risico’s of compliance-eisen bleek het voor veel bedrijven geen strategische prioriteit, hoe reëel het probleem ook was.Die verrassende feedback dwong ons tot herbezinning. Het probleem bestond, maar had onvoldoende urgentie.’
Uitzoomen en pivoteren
“Back to the drawing board”, lacht Wout, de markt dwong ons om anders, breder en beter te kijken naar veiligheidsrisico’s. In plaats van enkel te focussen op secrets zijn we meteen gaan uitzoomen: wat staat er nog allemaal aan open systemen online, welke kwetsbaarheden zijn er, en hoe kunnen we een platform bouwen dat vanuit externe detectie werkt?"
Met innovatieve starterssteun kon Allseek die pivot realiseren en een platform voor externe detectie van systeemkwetsbaarheden ontwikkelen. Wout: “Onze product-markt fit kreeg stilaan vorm, we haalden zowaar onze eerste betalende klanten binnen. Maar de communicatie bleef een uitdaging. Onze message fit zat nog niet helemaal juist. Klanten bleven zich afvragen wat we nu exact deden en waar onze meerwaarde precies lag. Die verwarring maakte tegelijk iets anders duidelijk: wat we bouwden, was geen extra feature, maar een eerste bouwsteen van een breder securityplatform.”
USP: continu
De echte doorbraak kwam er toen Allseek de focus verscherpte. “We zijn beginnen kijken naar continuous pentesting”, vertelt Wout. “Toen merkten we bij klanten: ja, dat is wat ze willen.” In plaats van external threats als hoofdboodschap, verschoof Allseek de positionering naar continuous pentesting — met external threats als één component binnen een groter geheel.
“Niet geheel onlogisch achteraf bekeken,” gaat Wout verder, “als je weet dat het opzetten van pentesten voor bedrijven tot zes maanden in beslag kon nemen. Dan is één test per jaar, één rapport per jaar het maximaal haalbare voor grotere ondernemingen.” Wat Allseek daar tegenover zette, was niet alleen een snellere opzet, maar vooral een continu proces: permanent blijven testen en bijsturen, omdat “systeembeheerders beseffen dat hun set-ups ook continu aan verandering onderworpen zijn.” Met andere woorden: van een jaarlijkse controle naar een doorlopende manier om risico’s te beheren.
De timing speelde ook een cruciale rol, geeft Wout toe: “Agentic AI stak zijn neus aan het raam en dat bleek een enabler voor de industrie. Iedereen waarmee we spraken was direct mee: ja oké, dat willen we zien, dat willen we uitproberen.”
vandaag is continuous pentesting geen apart product meer, maar een geïntegreerde bouwsteen binnen het bredere Aikido-securityplatform.
Op de raket springen?
“Onze allereerste LinkedIn-post over die nieuwe aanpak trok meteen de aandacht van Aikido, het snelgroeiend cybersecurity-bedrijf dat zich richt op webapplicaties", vertelt Wout. “Ze waren met hetzelfde idee aan het spelen, zij iets meer op webapplicaties.”
Een moeilijke keuze drong zich op: gaan we als startup verder of springen we mee op de raket? Wout: “Want dat was Aikido wel, zoals die pijlsnel groeien.”
Finaal bleek Aikido de logische partner. Niet alleen omdat ze snel gingen, maar omdat ze al hadden waar je als startup jaren over doet om op te bouwen: een bestaand securityplatform, een internationale klantenbasis en een sterk engineeringteam.”
De culturele fit gaf daarbij de doorslag. “Die fit was er volledig en meteen,” benadrukt Wout. “Als ik het in drie woorden moet vatten: autonomy, no bullshit, go fast. Dat was exact de cultuur die wij ook willen.”De samenwerking leverde snel concrete resultaten op. " Door onze technologie te integreren in het bredere Aikido-ecosysteem konden we sneller bouwen én sneller uitrollen bij bestaande klanten."
De merger met het pentesting team van Aikido versnelde de ontwikkeling drastisch. "We hebben in een half jaar dingen neergezet waar we anders jaren mee bezig waren geweest", zegt Wout. "Productgewijs hebben we onze grootste concurrenten volledig ingehaald.”
Twee problemen tegelijkertijd oplossen
Dat product lost twee problemen tegelijk op. Wout: "We reduceren het – verplichte – pentestingproces voor bedrijven tot één dag, waar het voorheen maanden bedroeg: de juiste partner zoeken, inplannen, testen en rapporteren. Maar veel belangrijker, krijgen securityteams nu geen jaarlijkse PDF meer, maar continue feedback waarmee ze meteen kunnen bijsturen."
"Zo’n rapport is anders enkel een snapshot in time, een PDF waarmee je aan je verplichting hebt voldaan, terwijl er de rest van het jaar nieuwe kwetsbaarheden je systeem insluipen. Wij kijken continu: welke veranderingen gebeuren er in de applicatie? Onze autonome agents vallen die veranderingen automatisch aan en geven instant feedback. En die controleren we op hun beurt met speciale ‘validation agents’ om vals-positieve resultaten eruit te halen. Het resultaat is een lage foutmarge.”
Wout: “Dat is wat ons boeiende traject opleverde: vandaag is continuous pentesting geen apart product meer, maar een geïntegreerde bouwsteen binnen het bredere Aikido-securityplatform.”
