Bram Willems

Mensen denken dat een pentester de hele dag zit te hacken. Dat klopt maar ten dele. Het hacken zelf, de daadwerkelijke aanval op een systeem, is een deel van het werk. Maar wat er daarna komt is minstens even belangrijk: uitleggen wat je hebt gevonden, waarom het gevaarlijk is, en wat je eraan doet.

Ik ben bij Geniki beland na een omweg via systeembeheer. Ik beheerde netwerken en servers, en merkte dat ik altijd meer geïnteresseerd was in hoe dingen kapot konden gaan dan in hoe je ze draaiende hield. Niet vanuit een destructieve drang, maar vanuit nieuwsgierigheid. Hoe denkt een aanvaller? Welke aannames zitten er verborgen in een systeem?

Mijn werk varieert enorm. De ene week doe ik een webapplicatietest voor een retailklant. Ik zoek naar SQL-injecties, onveilige sessieafhandeling, misconfiguraties in de API. Ik gebruik Burp Suite als mijn primaire tool, aangevuld met eigen scripts in Python. De week erna zit ik in een netwerkomgeving, kijk ik naar laterale beweging en privilege escalation, en probeer ik te komen waar ik niet mag zijn.

Soms doen we ook social engineering als onderdeel van een opdracht. Phishing-simulaties, pretexting. Dat is een heel ander type werk. Je test niet een systeem, je test mensen. Dat vergt tact en een goed moreel kompas.

Wat me onderscheidt van veel pentesters die ik ken: ik schrijf goede rapporten. Dat klinkt als bijzaak, maar het is de kern. Een technisch rapport dat een CISO niet begrijpt, heeft geen waarde. Ik schrijf altijd twee lagen: een samenvatting voor het management met de businessimpact, en de technische details voor de engineers die het moeten oplossen.

Geniki stimuleert ook dat ik naar buiten treed. Vorig jaar heb ik een presentatie gegeven op een security-evenement over een kwetsbaarheid die ik in een webapplicatie had gevonden. Dat was spannend, maar goed. Je scherpt jezelf als je je werk publiek moet verdedigen.

Elke opdracht is anders. Dat houdt het vak levend.