Beveiliging vanuit de
root aangepakt.

RoodRoot is een zelfstandige praktijk voor offensieve beveiliging, penetratietesten en kwetsbaarheidsonderzoek. Kwetsbaarheden worden blootgelegd waar ze pijn doen in techniek, mens, data en bedrijfscontinuïteit.

Diensten

Geen afvinklijstjes of zware consultancytaal. Elke opdracht sluit aan op techniek, risicoprofiel en bedrijfscontext. Het doel is harde bevindingen waar direct iets mee gedaan kan worden. Herstelwerk kan, maar is meerwerk: dat zit niet in de pentestprijs en staat los van een onafhankelijke pentest.

Voor alle diensten geldt: jij houdt als klant regie over externe API's en AI-hulpmiddelen. Standaard gebeurt verwerking lokaal, bijvoorbeeld met een lokale LLM, of met API-sleutels die jij aanlevert. Gebruik van API-sleutels van RoodRoot gebeurt alleen na duidelijke afspraak.

Penetratietesten

Webapplicaties, API's, mobiele apps, cloudomgevingen en interne en externe infrastructuur. Bij voorkeur met broncode, zodat impact sneller te onderbouwen is. Bevindingen worden handmatig gevalideerd en waar nuttig voorzien van HTTP-verzoeken, PoC-code of configuratievoorbeelden.

OWASP-kennis

Hertesten

Verificatie van eerder gerapporteerde bevindingen, ook wanneer de oorspronkelijke pentest door een andere partij is uitgevoerd. Gericht op herstel binnen de afgesproken bevindingen, niet op een nieuwe volledige pentest.

Herstelverificatie

Red teaming

Realistische, doelgerichte aanvallen op techniek, processen en medewerkers. Geen voorgekookte scenario's, maar gecontroleerde aanvalsemulatie.

MITRE ATT&CK

Social engineering

Phishingcampagnes, pretexting en fysieke tests. De menselijke factor is vaak de zwakste schakel en tegelijk de beste plek om te versterken.

Bewustwording

Codebeoordeling

Handmatige broncodeanalyse en kwetsbaarheidsonderzoek, gericht op exploiteerbaarheid, designfouten en echte impact. Waar nodig inclusief PoC en herstelrichting.

OSCE3-gecertificeerd

Infrastructuur en cloud

Beoordelingen van cloudaccounts, servers, IAM, netwerk- en containerconfiguraties. Gericht op concrete misconfiguraties, onnodige toegang en routes naar gevoelige systemen.

Configuratie en toegang

OT- en IoT-beveiliging

Beveiligingsonderzoek rond IoT-apparaten en industriële omgevingen, met praktische OT-programmeerervaring als basis om systemen, logica en risico's sneller te begrijpen.

OT-programmering

Advies en begeleiding

Dreigingsmodellering, prioriteren van bevindingen en begeleiding bij herstel. Direct herstelwerk kan apart worden afgesproken als meerwerk. Voor dezelfde app volgt daarna geen onafhankelijke pentest, behalve na twaalf maanden of op basis van een changelog van niet door RoodRoot geschreven functionaliteit. Dan wordt die changelog getest, eventueel met OWASP Top 10- of vergelijkbare punten buiten het eigen herstelwerk.

Strategie

Aanpak

Een pentest is geen afvinkpunt. Het is technisch onderzoek rond onderzoeksvragen: de hoofddoelen van de test. OWASP Top 10 en vergelijkbare lijsten kunnen helpen, maar vervangen geen onderzoek. Een pentest is een tijdsopname, geen vinkje dat iets goed of fout is.

01

Verkenning en context

De start ligt bij scope, architectuur, onderzoeksvragen, doelen en risicotolerantie. Geen aannames; eerst moet scherp zijn wat er op het spel staat en welke vragen de test moet beantwoorden.

02

Gerichte aanval

Geautomatiseerde scanners leveren signalen. Handmatig onderzoek bepaalt wat echt exploiteerbaar is en waar de impact zit. Nieuwe sporen worden alleen gevolgd zolang ze binnen scope passen.

03

Exploitatie en validatie

Een kwetsbaarheid telt pas wanneer de impact aantoonbaar is. Exploitatie gebeurt gecontroleerd; bij twijfel over scope of risico volgt eerst afstemming.

04

Rapportage en herstel

Geen PDF die in een la verdwijnt. Bevindingen worden geprioriteerd, onderbouwd en voorzien van herstelrichting of hints. De rapportage beschrijft wat op dat moment is vastgesteld; stap-voor-stap implementatie is meerwerk en valt buiten een onafhankelijke pentest.

Contact

Een eenmalige pentest, een red-teamingtraject of periodieke begeleiding. Eerst wordt scherp wat er speelt. Daarna volgt pas wat nodig is.

RoodRoot

RoodRoot is gevestigd in Nederland en werkt voor organisaties die directe technische hulp nodig hebben zonder groot bureau eromheen. Heldere communicatie, technische diepgang en no-nonsenseadvies, zonder theater.

Locatie Nederland (op afstand en op locatie)
Telefoon

Met verzenden ga je akkoord dat RoodRoot je gegevens gebruikt om op je bericht te reageren. Zie de privacyverklaring.