AI speelt een steeds grotere rol binnen pentesten. Van rapportages tot het analyseren van kwetsbaarheden: slimme modellen kunnen pentesters ondersteunen bij tijdrovende en terugkerende taken. Tegelijkertijd brengt die ontwikkeling ook nieuwe risico’s met zich mee. Veel AI-oplossingen draaien volledig in de cloud, waardoor gevoelige klantinformatie terechtkomt bij externe aanbieders. Voor Remco van der Meer, ethical hacker bij Warpnet, was dat reden om het anders aan te pakken. In plaats van publieke AI-platformen ontwikkelt hij een volledig lokale AI-omgeving, waarin alle data binnen de eigen infrastructuur blijft. In dit artikel legt hij uit wat het juiste gebruik van AI kan betekenen voor de toekomst van pentesten.
Een lokale server is een must
Volgens Remco is het een absolute must om gebruik te maken van een lokale oplossing. “Veel AI-oplossingen binnen security draaien volledig in de Cloud. Die kunnen wij voor ons werkdomein niet inzetten. Tijdens een pentest werk je juist met gevoelige interne informatie van klanten. Dan wil je niet dat die data naar een externe (buitenlandse) AI-provider gestuurd wordt. Daarom heb ik gekozen voor een lokale oplossing bij een datacentrum binnen Nederland.”
De huidige omgeving draait momenteel binnen een datacenter in Amsterdam. Op termijn gaat Warpnet volledig overstappen naar eigen hardware. In plaats van gebruik te maken van externe AI-diensten, draaien de AI-modellen dan lokaal op eigen servers. Ook is de omgeving zo ingericht dat verschillende onderdelen van het systeem van elkaar zijn afgeschermd en dat gegevens versleuteld worden opgeslagen en verstuurd.
AI als ondersteuning van de pentester
Naast het belang van een lokale server, blijft menselijke controle een belangrijk onderdeel van het proces. AI ondersteunt de Pentester, maar neemt het werk niet volledig over. Volgens Remco zit de grootste meerwaarde op dit moment in rapportage, analyse en interne controles. “We gebruiken AI nu vooral als ondersteuning van de Pentester, niet als vervanging. Je kunt het een beetje zien als een extra junior collega naast de ervaren pentester. Het helpt bijvoorbeeld bij rapportages, risicoanalyses of het structureren van informatie, maar uiteindelijk blijft menselijke validatie nog wel nodig.”
Tijdens pentests werken consultants met vaste templates en uitgebreide notities. Die informatie kan vervolgens worden ingeladen in het AI-systeem, waarna automatisch conceptteksten en risicoanalyses worden gegenereerd. Volgens Remco is de kwaliteit van de input daarbij cruciaal. “Het valt of staat eigenlijk met de kwaliteit van je notities tijdens een pentest. Wij werken al met vaste templates en gestructureerde documentatie. Daardoor kun je die informatie goed gebruiken binnen AI. Op basis daarvan kan het systeem bijvoorbeeld conceptteksten of risico-inschattingen genereren waar de Pentester vervolgens verder op werkt.”
Naast rapportage onderzoekt Warpnet ook hoe AI kan worden gecombineerd met geautomatiseerde scanners die systemen controleren op kwetsbaarheden. Zulke scanners leveren vaak grote hoeveelheden technische informatie op die handmatig beoordeeld moeten worden. AI kan helpen om sneller te bepalen welke bevindingen echt relevant zijn. “Een interessant onderdeel vinden we de combinatie van geautomatiseerde scanners met AI. Traditionele scanners geven vaak veel output zonder context. AI kan helpen om beter te begrijpen wat relevant is binnen de scope van een specifieke omgeving. Daardoor kun je sneller prioriteiten stellen en efficiënter reviewen.”
Nog volop in ontwikkeling
Warpnet voert de AI pentest inmiddels al in de praktijk uit, ondertussen loopt het optimaliseren van de test, om nóg betere resultaten te behalen, volop door. “Delen van de oplossing die uit de eerste praktijktest zijn voortgekomen, worden inmiddels ingezet in recente pentests. Tegelijkertijd ontwikkelt het project zich nog steeds snel. Het begon vorig jaar eigenlijk als een experiment en is daarna steeds verder uitgebreid
Volgens Remco ligt de toekomst van AI binnen pentesten voorlopig vooral in ondersteuning en efficiëntie. Repetitieve werkzaamheden, rapportages en interne controles lenen zich goed voor automatisering, terwijl interpretatie en besluitvorming bij de Pentester blijven liggen. Juist binnen securityomgevingen draait AI daarom niet alleen om snelheid, maar vooral om controle. Daarom staat bij de ontwikkeling van het platform één principe centraal: security first.
Benieuwd wat een AI pentest uw organisatie op kan leveren? Neem contact op!