Vanuit de Tenable Guardian Summit: Waarom Exposure Management de kern is van moderne cybersecurity

Afgelopen week had ik de unieke kans om namens Access42 deel te nemen aan de Tenable Guardian Summit in de Verenigde Staten. Als Tenable Guardian (de hoogste technische certificering binnen het Tenable Assure-programma) ben ik uitgenodigd omdat ik heb laten zien over het hoogste niveau van expertise en toewijding te beschikken om cyberrisico’s effectief te beperken. De summit bood een diepgaande blik op Tenable’s visie, strategie en nieuwste innovaties, kennis die ik direct gebruik om onze (managed) diensten verder te professionaliseren en te versterken.

In deze blog wil ik niet alleen mijn ervaring delen, maar ook uitleggen waarom Exposure Management zo cruciaal is voor organisaties vandaag de dag, en hoe Tenable dit concept concreet invult om cyberweerbaarheid te verhogen.

Van kwetsbaarheidsbeheer naar Exposure Management

Traditioneel denken organisaties vaak in termen van kwetsbaarheidsbeheer: CVE’s patchen, periodieke scans uitvoeren, firewalls configureren. Hoewel dit nog steeds belangrijk is, is het tegenwoordig onvoldoende. Het digitale landschap is enorm complex geworden: cloudomgevingen, mobiele apparaten, IoT, third-party services, AI-systemen, ze creëren voortdurend nieuwe paden waarlangs aanvallers binnen kunnen dringen.

Tenable introduceert daarom een bredere visie: Exposure Management. Dit gaat verder dan het simpelweg patchen van systemen. Het richt zich op zicht, grip en actie op het volledige digitale aanvalsoppervlak, inclusief identiteiten en toegangspaden naar kritische assets.

“Wie alleen CVE’s fixet, blijft reactief. Wie zijn blootstelling continu beheert, kan proactief risico’s reduceren en zijn aanvalsoppervlak verkleinen.” – Tenable Guardian Summit 2026

Exposure Management is een continu proces dat organisaties helpt om prioriteiten te stellen, risico’s te reduceren en sneller te reageren op nieuwe bedreigingen.

De kernstappen van Exposure Management

Exposure Management bestaat uit vijf belangrijke fasen, elk met een concreet doel en praktische toepassing:

1. Scoping

De eerste stap is bepalen wat er binnen scope valt. Dit gaat verder dan alleen servers en werkstations. Kritische assets, cloud-omgevingen, applicaties, databronnen en vooral identiteiten moeten in kaart worden gebracht.

Voorbeeld: een financiële dienstverlener kan tientallen applicaties hebben, waarvan slechts een paar directe toegang geven tot klantgegevens. Door deze applicaties expliciet in scope te nemen, wordt het duidelijk waar mitigatie prioriteit moet krijgen.

2. Discovery

Discovery richt zich op het in kaart brengen van alle assets en het externe aanvalsoppervlak. Dit omvat het detecteren van kwetsbaarheden, misconfiguraties en andere risico’s die een aanvaller kan exploiteren.

Praktijkvoorbeeld: een organisatie had honderden cloud-services, waarvan sommige verkeerd geconfigureerd waren. Discovery bracht dit aan het licht, waardoor preventieve maatregelen konden worden genomen voordat een echte aanval plaatsvond.

3. Prioritization

Niet elk risico is gelijk. Prioritization zorgt dat de organisatie zich richt op de risico’s die de grootste impact hebben en het meest waarschijnlijk zijn.

Bijvoorbeeld: een CVE op een intern systeem dat niet toegankelijk is van buitenaf kan laag op de prioriteitenlijst staan. Een misconfiguratie die toegang tot een kritische database geeft, staat bovenaan. Door prioriteiten helder te stellen, wordt tijd en budget efficiënt besteed.

4. Validation

Validation gaat over het verifiëren van geprioriteerde risico’s. Zijn de exposures echt, en vormen ze daadwerkelijk een risico zoals ingeschat?

Voorbeelden van validatie:

• Koppelen van kwetsbaarheden aan firewall rules om te controleren of het risico effectief wordt gemitigeerd.

• (Continuous) pentesten om te zien of kwetsbaarheden daadwerkelijk kunnen worden misbruikt.

Deze stap voorkomt dat tijd wordt verspild aan risico’s die theoretisch bestaan, maar in de praktijk niet exploiteerbaar zijn.

5. Action / Mobilization

De laatste stap is mobilization: zorgen dat risico’s worden opgelost. Dit kan worden gedaan door direct tickets aan te maken in workflowtools zoals Jira of ServiceNow, en door te monitoren dat mitigaties effectief zijn uitgevoerd.

Tenable maakt het mogelijk om alle risico’s op één plek te beheren, inclusief data van derden en pentestbevindingen. Zo ontstaat een geïntegreerd overzicht van exposures en hun status, van detectie tot mitigatie.

Waarom Exposure Management nu essentieel is

De noodzaak van Exposure Management wordt steeds duidelijker door de veranderende dreigingsomgeving:

1. Exponentieel groeiende attack surfaces – Cloud, mobiele apparaten, IoT en AI-systemen creëren continu nieuwe kwetsbaarheden.

2. Complexe en snel veranderende bedreigingen – Aanvallers richten zich op de zwakste punten en zoeken routes naar kritische assets.

3. Identiteiten als nieuwe kwetsbaarheden – Toegangspaden naar belangrijke systemen zijn vaak de grootste risico’s.

Volgens Gartner hebben organisaties die hun beveiligingsinvesteringen baseren op een continu Exposure Management-programma drie keer minder kans om slachtoffer te worden van een datalek.

Het is dus duidelijk: traditionele kwetsbaarheidsbeheerprogramma’s volstaan niet meer. Een dynamische, continue aanpak is nodig om cyberweerbaarheid te versterken.

AI en het Open Platform van Tenable

Tenable loopt voorop in het gebruik van AI en open data-integratie. Het Open Platform maakt het (nu en op termijn) mogelijk om data uit verschillende bronnen te combineren, bijvoorbeeld:

• CrowdStrike en Microsoft voor real-time detectie en endpointinformatie.

• Pentestbevindingen om ook niet-technische kwetsbaarheden inzichtelijk te maken.

• Workflowtools zoals Jira en ServiceNow voor directe mitigatie en opvolging.

AI helpt om patronen te herkennen, risico’s automatisch te prioriteren en trends te voorspellen. Zo wordt Exposure Management niet alleen efficiënter, maar ook proactiever.

Identiteiten zijn de nieuwe kwetsbaarheden

Een van de meest belangrijke inzichten van de summit: identiteiten vormen tegenwoordig de kern van risico’s. Organisaties fixen vaak CVE’s waar niemand bij kan, terwijl de echte risico’s lopen via toegangspaden tot kritische systemen.

Praktijkvoorbeeld: een organisatie had alle systemen gepatcht, maar een enkele account met hoge rechten werd misbruikt door een aanvaller. Dit leidde bijna tot een ernstige datalek. Exposure Management focust op het beveiligen van de echte paden naar de kroonjuwelen, oftewel identity-first security.

Exposure Management in de praktijk bij Access42

Bij Access42 passen we deze principes actief toe in onze CyberTIM SOC en managed diensten:

• Continu zicht op kwetsbaarheden in klantomgevingen, inclusief cloud-assets en identiteiten.

• Proactieve prioritering en mitigatie via integratie van diverse datastromen.

• Validation door combinatie van automatisering, threat intelligence en pentestdata.

• Directe mobilisatie via workflowtools zodat actie geen vertraging oploopt.

Deze aanpak maakt dat onze klanten niet alleen reactief beveiligd zijn, maar weerbaar tegen de dynamische dreigingen van vandaag en morgen.

Conclusie

De Tenable Guardian Summit heeft nogmaals bevestigd dat cybersecurity niet statisch is. Traditioneel kwetsbaarheidsbeheer volstaat niet meer. Wat nodig is, is continu, proactief en geïntegreerd Exposure Management.

Voor ons bij Access42 betekent dit dat we blijven investeren in kennis, tooling en processen, zodat onze klanten optimaal beschermd zijn. Het gaat niet langer alleen om het fixen van CVE’s, maar om het inzichtelijk maken en mitigeren van echte risico’s. Van assets tot identiteiten.

Exposure Management is daarmee niet alleen een tool of proces, maar een strategische visie voor moderne cybersecurity: zicht, grip en actie op alles wat ertoe doet.

–Ronald Kingma