BEVEILIGINGSASSESSMENT // CHIMERASCOPE
We beoordelen het externe aanvalsvlak van uw organisatie en leveren een versleuteld, compliance‑gemapt rapport — de enige beoordeling op dit niveau die elke bevinding koppelt aan specifieke CRA, NIS2, ISO 27001, GDPR, DORA en MiCA regelgevingsartikelen.
We evalueren de publiek zichtbare infrastructuur van uw organisatie — domeinen, subdomeinen, certificaten, e‑mailbeveiliging, blootgestelde services, cloudconfiguraties en afhankelijkheden van derden — met behulp van een eigen beoordelingsmethodologie die is ontwikkeld na jaren van beveiligingsonderzoek.
Elke bevinding wordt automatisch gekoppeld aan de artikelen van het regelgevingskader die van toepassing zijn op uw organisatie. Het resultaat is een gestructureerd, versleuteld inlichtingsrapport dat zowel uw technische team als uw compliance‑functionarissen aanspreekt.
Dit is geen penetratietest. Wij interageren niet met uw systemen buiten wat een externe waarnemer kan zien. Voor de standaard beoordelingsscope is geen autorisatie vereist — hoewel wij voor alle betaalde beoordelingen een formele overeenkomst aanbevelen.
Uitgebreide beoordeling geleverd als een AES-128 versleutelde PDF met volledige inhoudsopgave, executieve scoring (A–F), en forensische keten van bewaring. Meestal 30–50 pagina’s, afhankelijk van de complexiteit van de infrastructuur.
Elke bevinding gekoppeld aan specifieke artikelen: CRA Art. 10, 11, 14 — NIS2 Art. 21 maatregelen — ISO 27001 Annex A controles — GDPR Art. 32 technische vereisten — DORA Art. 5–12, 17, 24, 28 voor financiële entiteiten — MiCA Art. 62, 67, 68, 75, 79, 83 voor crypto‑asset dienstverleners — met een toegewijde MiCA/DORA Compliance Scorecard (per‑artikel PASS/FAIL beoordeling). Sectorspecifieke annotaties waar van toepassing.
Kamerklare samenvatting met algemene beveiligingsscore, CRA readiness scorecard met verkeerslicht‑indicatoren, en een prioriteitsmatrix voor remediatie, gestructureerd op impact en inspanning.
SHA-256 gehashte forensische bewijsketen met verificatie‑QR‑code. Machine‑leesbare JSON‑export compatibel met SIEM‑platformen, Jira en ServiceNow voor directe integratie in uw remediatie‑workflow.
Meldingsplicht voor kwetsbaarheden wordt verplicht vanaf 11 september 2026. Volledige naleving is vereist vóór december 2027. Wij koppelen bevindingen aan Artikelen 10 (cybersecurity‑vereisten), 11 (kwetsbaarheidsbeheer) en 14 (meldingsverplichtingen). Sancties: tot €15 miljoen of 2,5 % van de wereldwijde jaaromzet.
Artikel 21: beoordeling van beveiligingsmaatregelen over alle toepasselijke domeinen. Sectorspecifieke mapping beschikbaar voor zorg, energie, transport, water en digitale infrastructuur‑entiteiten. Van kracht in Denemarken, Finland en Zweden sinds januari 2026.
Annex‑A‑controlmapping met identificatie van hiaten ten opzichte van de eisen voor informatiebeveiligingsmanagement. Vooral relevant voor organisaties die certificering nastreven of behouden — onze bevindingen worden direct geïntegreerd in uw Statement of Applicability.
Artikel 32: beoordeling van technische en organisatorische maatregelen. Evaluatie van datablootstelling, scoring van inbreukrisico’s en identificatie van verwerkingsactiviteiten die zichtbaar zijn vanaf het externe aanvalsvlak.
Verplicht voor EU‑financiële entiteiten. Wij koppelen bevindingen aan Art. 5‑6 (ICT‑risicobeheer), Art. 7 (patch‑beheer), Art. 9 (toegangscontrole, encryptie), Art. 10‑11 (detectie en respons), Art. 17 (incidentrapportage), Art. 24 (resiliëntietesten) en Art. 28 (derdenrisico). DORA‑compliancemapping is inbegrepen in alle betaalde assessments.
EU‑breed regelgevend kader voor crypto‑asset serviceproviders (CASP’s), van kracht sinds juni 2024 met volledige toepassing vanaf december 2024. Wij koppelen bevindingen aan Art. 62 (ICT‑risicobeheer), Art. 67 (operationele veerkracht), Art. 68 (beveiligingsvereisten), Art. 75 (bewaring en administratie), Art. 79 (exchange‑diensten) en Art. 83 (klachtenafhandeling). Crypto‑asset doelwitten ontvangen een speciale MiCA/DORA‑Compliance Scorecard met per‑artikel PASS/FAIL/WARN‑beoordeling in het geleverde rapport. Essentieel voor beurzen, custodial‑wallet‑providers en elke entiteit die crypto‑asset‑diensten aanbiedt binnen de EU.
Bescherming van klinische proefgegevens, blootstelling van productiesystemen, verificatie van GxP-naleving. Beoordeling omvat verbonden laboratoriumapparatuur, onderzoeksportalen en API‑interfaces naar partnerorganisaties.
Beoordeling van multi‑client gegevensomgeving, evaluatie van FDA/EMA audit‑gereedheid. Specifieke focus op blootstelling van de toeleveringsketen, gedeelde infrastructuurrisico’s en verificatie van gegevensisolatie tussen cliënten.
Beoordeling van het ecosysteem van verbonden apparaten, CRA‑productnalevings‑evaluatie. Omvat firmware‑blootstellingsanalyse, beveiliging van update‑mechanismen, API‑authenticatie en de posture van cloud‑beheersplatformen.
Risicobeoordeling van OT/IT‑convergentie voor CRA‑toepasselijke verbonden producten. Blootstelling van sensornetwerken, detectie van SCADA‑interfaces, cloud‑beheersplatformen en evaluatie van edge‑computing‑beveiliging.
Blootstelling van elektronische patiëntendossiersystemen, risico‑beoordeling van patiëntgegevens. NIS2‑vereisten voor de gezondheidssector in kaart brengen, beveiliging van telehealth‑platformen en evaluatie van integratie‑eindpunten.
Beoordeling van DORA‑nalevings‑gereedheid, evaluatie van API‑beveiligings‑posture. Analyse van betalingsinfrastructuur, blootstelling van mobiel bankieren en risico‑in kaart brengen van derden‑serviceproviders.
MiCA‑nalevings‑gereedheid voor crypto‑asset serviceproviders, beurzen en custodial wallet‑operators. Blockchain‑adresintelligentie met OFAC‑sanctiescreening, wallet‑blootstellingsanalyse, token‑risicobeoordeling en verificatie van Proof of Reserves. Inclusief de ecosystemen van BTC, ETH, XRP, SOL en ERC‑20‑tokens, en geverifieerde smart‑contract‑kwetsbaarheidsanalyse voor organisaties met on‑chain blootstelling.
De standaardbeoordeling dekt het kernexterne aanvalsvlak zoals hierboven beschreven. Voor organisaties met specifieke regelgevende, operationele of sectorspecifieke eisen kan de scope van de opdracht worden uitgebreid met extra verkennings‑ en verificatieactiviteiten — geselecteerd om overeen te komen met de risicopostuur van de organisatie en de nalevingsverplichtingen.
Ontdekking van zelfgehoste redeneerplatformen, agent‑frameworks, Model Context Protocol‑servers en openbare inference‑interfaces die steeds meer deel uitmaken van het externe aanvalsvlak van moderne organisaties. Behandelt blootstellingsdetectie, authenticatiepostuur van beheerinterfaces, en kruisvalidering tegen bekende kwetsbaarheidsklassen voor inference‑engines en orchestratieplatformen.
JavaScript‑afhankelijkheidsrisico‑analyse met CVE‑verrijking, Subresource Integrity‑validatie over derden‑resources, toewijzing van verlopen CDN‑domeinen (een gedocumenteerd overnamepad voor langdurige merkeigendommen), en evaluatie van de beveiligingspostuur van derden‑SaaS‑platformen voor het leveranciers‑ecosysteem dat zichtbaar is vanaf uw externe oppervlak.
Analyse van infrastructuur‑tijdlijnen via DNS‑ en BGP‑veranderingspatronen, evolutie van gearchiveerde content, drift van service‑fingerprints in de loop der tijd, en correlatie tussen huidige en historische TLS‑certificaten. Onthult operationele patronen en infrastructuur‑beslissingen die scans van de huidige staat niet kunnen waarnemen.
Identificatie van niet‑geautoriseerde SaaS‑tenants die opereren binnen de identiteitsperimeter van de organisatie, zelfgehoste engines die buiten de bedrijfsvoering vallen, en verweesde infrastructuur die behouden blijft voorbij de operationele levensduur — de klassen van assets die incidenten veroorzaken omdat niemand er momenteel eigenaar van is.
Geverifieerde tests voor injectie‑kwetsbaarheden (SQL, server‑side request forgery, template, command) tegen eindpunten binnen de scope, uitsluitend uitgevoerd onder formele schriftelijke autorisatie. Deze activiteit verplaatst de opdracht van passieve verkenning naar actief beoordelingswerk en vereist vooraf een ondertekende Scope of Work.
Multi‑chain wallet‑ontdekking (BTC, ETH, XRP, SOL, ERC‑20), geautomatiseerde OFAC SDN‑sanctiescreening tegen de lijsten van het Amerikaanse ministerie van Financiën, diepgaande wallet‑tijdlijnanalyse, exchange‑toewijzing, token‑risicobeoordeling, en DeFi‑eindpunt‑ontdekking (blootgestelde RPC‑nodes, gelekte provider‑API‑sleutels, admin‑wallet‑detectie). Voor organisaties in de crypto‑asset‑sector of die de blockchain‑exposure van tegenpartijen moeten verifiëren als onderdeel van due diligence of nalevingsverplichtingen.
Statische en symbolische kwetsbaarheidsanalyse van geverifieerde Solidity‑smart‑contracts die zijn ingezet op Ethereum en EVM‑compatibele ketens. Behandelt re‑entrancy‑patronen, zwaktes in toegangscontrole, onbehandelde externe aanroep‑returns, integer‑overflow‑condities, delegatecall‑injectie‑vectoren, lacunes in self‑destruct‑autorisatie, en front‑running‑gevoeligheid — over het volledige scala aan gedocumenteerde smart‑contract‑zwakheidsclassificaties. Analyse wordt uitsluitend uitgevoerd op publiek geverifieerde contract‑broncode — er is geen toegang tot private repositories of interne codebases vereist of gevraagd. Beschikbaar als onderdeel van de uitgebreide scope‑opdracht voor organisaties die blootstelling aan on‑chain financiële infrastructuur exploiteren of evalueren.
Uitgebreide beoordeling van de veerkracht van cryptografische infrastructuur tegen kwantumcomputing‑dreigingen. Evalueert TLS‑sleuteluitwisselingsconfiguraties over gestandaardiseerde post‑quantum hybride en pure algoritmen, gereedheid voor certificaat‑algoritmemigratie, SSH‑sleuteluitwisselingsmoderniseringsstatus, kwantum‑veiligheid van e‑mailtransport‑encryptie, en blootstelling aan protocol‑downgrade‑kwetsbaarheden. Inclusief CDN‑bewuste analyse die onderscheid maakt tussen edge‑geleverde en origin‑native post‑quantum bescherming — een kritische differentiatie voor organisaties die afhankelijk zijn van content‑delivery‑infrastructuur. De beoordeling koppelt bevindingen aan CRA Art. 10 cryptografische eisen, NIS2 Art. 21 state‑of‑the‑art verplichtingen, en BSI TR‑02102‑1 aanbevolen algoritme‑richtlijnen. Afgeleverd met een gekwantificeerde gereedheidsscore die de feitelijke implementatiestatus weergeeft over alle extern waarneembare cryptografische eindpunten.
Elke geïdentificeerde bevinding wordt gekoppeld aan een specifieke MITRE ATT&CK‑techniek en sub‑techniek, met identificatie van dekkingsgaten en prioriteitsaanbevelingen voor detectie‑engineering. Integreert direct in de detectie‑engineering roadmap van organisaties die een Security Operations Centre of gelijkwaardige capaciteit exploiteren.
Sectorspecifieke identificatie van advanced persistent threat‑groepen met gedocumenteerde target‑activiteit tegen de industriële verticaal van de organisatie. Kruistabelt overheids‑toegewezen threat‑actor‑databases met de tracking‑lijsten van nationale cyberbeveiligingsautoriteiten om de staats‑gesponsorde groepen te onthullen die het meest relevant zijn voor de sector, geografie en operationele profiel van de organisatie. Elke geïdentificeerde groep wordt gepresenteerd met land‑toewijzing, bekende aliassen, gedocumenteerde doel‑sectoren, incident‑type classificatie, en directe verwijzingen naar de corresponderende MITRE ATT&CK‑groepsprofielen. Afgeleverd met BSI‑gevolgde status‑badges voor groepen die actief worden gemonitord door nationale cyberbeveiligingsautoriteiten. Beschikbaar voor alle industriesectoren die onder de beoordelingsscope vallen.
Organisaties die vaak een uitgebreide scope aanvragen: defensie‑ en dual‑use‑technologiecontractanten, Contract Development & Manufacturing Organizations (CDMOs), exploitanten van kritieke nationale infrastructuur, financiële marktinfrastructuur, Operational Technology‑ en Industrial IT‑convergentie‑omgevingen, onderzoeksinstellingen die gereguleerde data verwerken.
Dien het domein van uw organisatie in voor een gratis External Exposure Summary — geleverd binnen 48 uur.
Selecteer uw beoordelingstype en geef de primaire domeinnaam van uw organisatie op. Alle inzendingen worden vertrouwelijk behandeld.