Continu pentesten dwingt IT-channel tot nieuw verdienmodel

Iedereen in de channel kent het knelpunt: de vraag naar security-assessments groeit harder dan het aantal beschikbare pentesters. Een handmatige pentest is duur, schaars en — fundamenteel — een foto van één moment. De dag na de test verandert er een endpoint, komt er een plug-in-update, en is de foto verouderd.

Wat tot voor kort handwerk was, kan nu deels autonoom. Bij Cruxa laten we AI-agents zich gedragen als een ethische hacker: ze verkennen een live omgeving, redeneren over de aanvalsketens en bevestigen kwetsbaarheden met een werkende proof-of-concept — continu, niet één keer per jaar.

Een illustratie uit de praktijk (geanonimiseerd, met toestemming): op een doorsnee MKB-site vond het systeem binnen tien minuten  ser-enumeratie op het CMS, een IDOR die klantdata teruggaf zónder autorisatiecheck, en een plug-in met bekende CVE's. Geen Hollywood-hacking — alledaagse slordigheden, op grote schaal aanwezig. Het punt is niet dat een AI dit vindt, maar dat het dit elke dag opnieuw kan doen, voor honderden sites tegelijk.

Recurring revenue

Daar zit de channel-kans. Continue, autonome security-validatie is geen project maar een abonnement — \ recurring revenue, white-label aan te bieden onder je eigen merk, schaalbaar over een heel klantportfolio. De distributeur die dit nu in zijn portfolio zet, verkoopt straks niet één pentest per jaar maar een doorlopende dienst per klant per maand.

De vraag voor de channel is niet óf autonome security-validatie de norm wordt, maar wie de marge pakt: de partij die er nu een dienst van maakt, of die wacht tot de klant er zelf om vraagt.

Floris van Trier is oprichter van Cruxa (cruxa.io), een Nederlands platform voor autonome, continue AI-websitebeveiliging.