Wat is offensive security?
Offensive security (ook wel offensieve of aanvallende security) is het vakgebied waarin securityprofessionals de rol van de aanvaller aannemen om de verdediging van een organisatie te toetsen. Het uitgangspunt is even eenvoudig als krachtig: je leert een systeem pas echt kennen door het te proberen te breken. Door met dezelfde technieken te werken als criminele hackers — maar met toestemming, binnen een afgesproken kader en met een rapport als eindproduct — brengen zij kwetsbaarheden aan het licht die een papieren risicoanalyse nooit had gevonden.
Het is het spiegelbeeld van defensieve security. Waar een security architect de verdediging ontwerpt, de CISO en het CISO Office het beleid bepalen en het SOC de aanvallen probeert te zien en te stoppen, is het offensive team er om die hele keten onder realistische druk te zetten. De securitywereld vat dat samen in kleuren:
- Blue team. De verdedigers: het SOC, incident response, detection engineering. Zij bewaken, detecteren en reageren.
- Red team. De aanvallers: pentesters en red teamers die de verdediging actief op de proef stellen.
- Purple team. Rood en blauw die gestructureerd samenwerken: het red team valt aan terwijl het blue team live meekijkt, zodat detectie en respons meteen worden verbeterd.
Belangrijk: offensive security is geen vrijbrief om te hacken. Het onderscheidende kenmerk van een ethical hacker is dat hij of zij uitsluitend werkt binnen een expliciete opdracht en scope. Zonder die toestemming is precies hetzelfde handelen strafbaar — iets waar we verderop in dit artikel uitgebreid op terugkomen.
Pentesten, red teaming en bug bounty: het cruciale onderscheid
Buitenstaanders gooien “pentesten”, “red teaming” en “hacken” graag op één hoop, maar in de vacatures zijn het verschillende disciplines met verschillende doelen. Het verschil begrijpen is de eerste stap om te weten welke rol bij je past.
| Aanpak | Doel | Typisch kenmerk |
|---|---|---|
| Penetration test | Zoveel mogelijk kwetsbaarheden vinden binnen een afgebakende scope | Breedte en volledigheid; blue team weet meestal dat de test loopt |
| Red teaming | Eén concreet doel bereiken zoals een echte aanvaller zou doen | Diepte en realisme; verdedigers weten van niets (stealth) |
| Purple teaming | Detectie en respons verbeteren door samen te werken | Rood en blauw live naast elkaar; kennisoverdracht |
| Bug bounty | Kwetsbaarheden melden tegen beloning | Doorlopend, door een brede community van onderzoekers |
Kort samengevat: een pentest is als een grondige APK-keuring van een afgebakend onderdeel — een webapplicatie, een netwerk, een cloudomgeving of een mobiele app. Een red team-oefening lijkt op een geënsceneerde overval: een klein team probeert met minimale voorkennis, en zonder dat de verdedigers het weten, een vooraf bepaald “kroonjuweel” te bemachtigen. Daarmee test red teaming niet alleen de techniek, maar vooral of de mensen en processen — de detectie en respons van het blue team — in de praktijk werken. Precies om die reden staat red teaming centraal in de zwaardere compliance-testen die we hieronder bespreken.
De rollen binnen offensive security
Offensive security is geen enkele functie, maar een specialisme met een eigen ladder en zijpaden. Hieronder lopen we de rollen langs die je in de vacatures tegenkomt, van instap tot eindverantwoordelijke. Titels verschillen per werkgever, maar dit is het palet.
1. Junior Penetration Tester — de instap
De Junior Penetration Tester is voor velen de toegangspoort tot het vak. Je draait mee in opdrachten onder begeleiding van een senior, leert de standaardtools kennen, voert afgebakende tests uit (vaak op webapplicaties of interne netwerken) en leert vooral hoe je bevindingen helder en reproduceerbaar vastlegt in een rapport. In vacatures zie je dit terug als Junior Pentester, Junior Ethical Hacker en Security Analyst (Offensive). Een sterke basis in netwerken, Linux en scripting is hier belangrijker dan jarenlange ervaring.
2. Penetration Tester / Ethical Hacker — de kern van het vak
De Penetration Tester (of Ethical Hacker) voert zelfstandig complete opdrachten uit: van scoping en uitvoering tot rapportage en de nabespreking met de klant. Deze professional schakelt tussen netwerk-, web-, cloud- en soms fysieke tests, kent aanvalstechnieken diepgaand en kan een kwetsbaarheid niet alleen aantonen maar ook het bedrijfsrisico ervan uitleggen. In vacatures: Penetration Tester, Ethical Hacker, Security Consultant (Offensive) en Pentester Infrastructure.
3. Application / Web Security Tester (AppSec) — de code in
De Application Security Tester specialiseert zich in software: webapplicaties, API's en mobiele apps. Deze rol grenst aan secure development en DevSecOps en vraagt begrip van code, niet alleen van infrastructuur. De OWASP Top 10 en de OWASP-testgidsen zijn hier het dagelijkse referentiekader. In vacatures: Application Security Engineer, Web Application Pentester, AppSec Specialist en Secure Code Reviewer. Deze specialisatie sluit direct aan op de bredere rol van de security engineer.
4. Red Team Operator — de simulatie van een echte aanval
De Red Team Operator opereert op het scherpst van het vak. In plaats van een brede scan voert deze specialist een doelgerichte, gesimuleerde aanval uit die soms weken duurt: initiële toegang verkrijgen (vaak via phishing of social engineering), onopgemerkt blijven, rechten verhogen en zich lateraal door het netwerk bewegen richting het doel — terwijl het blue team niet weet dat het een oefening is. Kennis van EDR-evasion, Active Directory-aanvallen en command-and-control-frameworks is hier essentieel. In vacatures: Red Team Operator, Red Team Specialist en Adversary Simulation Consultant.
5. Security Researcher / Exploit Developer — de diepte in
De Security Researcher zoekt naar onbekende kwetsbaarheden (zero-days) in software, hardware of protocollen en ontwikkelt soms de exploits die aantonen dat een fout écht misbruikt kan worden. Dit is het meest technische, onderzoeksgerichte deel van offensive security, met raakvlakken met reverse engineering en bijdragen aan Coordinated Vulnerability Disclosure. In vacatures: Security Researcher, Vulnerability Researcher en Exploit Developer.
6. Red Team Lead / Principal — de leiding
Aan het hoofd van een offensive team staat de Red Team Lead, Principal Security Consultant of Head of Offensive Security. Deze stuurt het team aan, bewaakt de kwaliteit en de veiligheid van de opdrachten, onderhoudt de klantrelatie en vertaalt technische bevindingen naar bestuurlijke aanbevelingen — vaak in afstemming met de CISO. Het is het logische eindstation voor wie inhoudelijk is doorgegroeid en affiniteit heeft met leidinggeven. In vacatures: Red Team Lead, Principal Penetration Tester en Manager Offensive Security.
Op zoek naar een rol in offensive security?
Of je nu Penetration Tester, Ethical Hacker, Red Team Operator, Application Security Specialist of Security Researcher wilt worden — op IT Compliance Jobs vind je de nieuwste IT-securityvacatures bij banken, verzekeraars, overheden, energiebedrijven en gespecialiseerde security-dienstverleners.
Bekijk alle IT-securityvacaturesDe compliance-motor: waarom de vraag naar offensive talent groeit
Offensive security is de afgelopen jaren van “nice to have” naar “wettelijke verplichting” opgeschoven. Drie ontwikkelingen jagen de vraag naar pentesters en red teamers structureel aan — en ze vormen precies het snijvlak van security en compliance waar dit platform om draait.
DORA en Threat-Led Penetration Testing (TLPT)
Voor de financiële sector is de belangrijkste aanjager de DORA-verordening (Digital Operational Resilience Act). DORA verplicht significante financiële entiteiten om periodiek een Threat-Led Penetration Test (TLPT) uit te voeren: een geavanceerde, op dreigingsinformatie gebaseerde red team-test op de live productieomgeving. De hoofdregel is dat zo'n TLPT ten minste eens per drie jaar plaatsvindt. Welke entiteiten hieronder vallen, bepaalt de toezichthouder aan de hand van vastgestelde criteria. TLPT test niet of een systeem “kwetsbaarheden” heeft, maar of de organisatie een realistische aanval daadwerkelijk detecteert en afslaat.
TIBER-NL en TIBER-EU als raamwerk
Een TLPT wordt uitgevoerd volgens het TIBER-EU-raamwerk (Threat Intelligence-Based Ethical Red teaming). Dat raamwerk heeft Nederlandse wortels: De Nederlandsche Bank (DNB) ontwikkelde in 2016 TIBER-NL om financiële instellingen gecontroleerd aan geavanceerde, gesimuleerde aanvallen bloot te stellen. Vanwege de bewezen effectiviteit nam de Europese Centrale Bank TIBER-NL in 2018 over als basis voor het Europese TIBER-EU-raamwerk. Een instelling kan zo'n test niet “halen” of “zakken”: het doel is inzicht krijgen in de sterke en zwakke plekken. Voor red teamers en threat-intelligence-specialisten heeft dit een hele nichemarkt aan gespecialiseerde opdrachten gecreëerd.
NIS2 en de Cyberbeveiligingswet
Buiten de financiële sector zorgt de NIS2-richtlijn en de Cyberbeveiligingswet voor een bredere impuls. Essentiële en belangrijke organisaties moeten hun beveiligingsmaatregelen aantoonbaar toetsen, waaronder via kwetsbaarheidsanalyses en security testing. Voor veel organisaties — van energiebedrijven tot zorginstellingen — betekent dit dat een periodieke pentest onderdeel wordt van hun jaarlijkse securitycyclus. Datzelfde geldt voor normkaders als ISO 27001 en de PCI DSS, die expliciet om regelmatige penetration tests vragen.
De methodiek: hoe een offensive opdracht verloopt
Professioneel pentesten en red teamen is geen ongeorganiseerd “proberen tot iets lukt”, maar volgt herkenbare fasen en erkende raamwerken. De gemeenschappelijke gereedschapskist bestaat onder meer uit:
- PTES (Penetration Testing Execution Standard). Beschrijft de fasen van een pentest, van pre-engagement en informatievergaring tot exploitatie en rapportage.
- OWASP. Voor de webkant onmisbaar: de OWASP Top 10 (de meest voorkomende kwetsbaarheden), de Web Security Testing Guide en de ASVS-verificatiestandaard.
- MITRE ATT&CK. Het wereldwijde naslagwerk van aanvalstactieken en -technieken — dezelfde taal die het SOC gebruikt, waardoor rood en blauw elkaar begrijpen.
- TIBER-EU en OSSTMM. Voor respectievelijk intelligence-gedreven red teaming en gestructureerde, meetbare securitytests.
Een opdracht doorloopt grofweg deze stappen: scoping en toestemming (wat mag wel en niet, vastgelegd in de rules of engagement), reconnaissance (informatie verzamelen), scanning en enumeration, exploitatie (de kwetsbaarheid daadwerkelijk misbruiken om toegang te tonen), post-exploitatie (wat kan een aanvaller nu bereiken?) en ten slotte de rapportage. Dat laatste is geen bijzaak: het rapport — met heldere bevindingen, risico-inschatting en concrete aanbevelingen — is het echte eindproduct waarvoor de klant betaalt. Kunnen schrijven en presenteren is daarom een kernvaardigheid, geen extraatje.
Legaal en ethisch: mag je zomaar hacken?
Dit is het punt waarop offensive security fundamenteel verschilt van elke andere IT-rol: de kern van het werk is zonder de juiste afspraken gewoon strafbaar. In Nederland stelt artikel 138ab van het Wetboek van Strafrecht (computervredebreuk) het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk strafbaar. De wet maakt op zichzelf géén onderscheid tussen goede en kwade bedoelingen: ook een hacker met de beste intenties dringt in beginsel wederrechtelijk binnen.
Wat het verschil maakt, is toestemming en kader. Ethisch hacken is verantwoord op twee manieren:
- In opdracht (pentest/red team). Er is een schriftelijke opdracht met een duidelijke scope en rules of engagement: welke systemen, welke technieken, welke tijden, en wat te doen bij een echte crisis. Binnen die grenzen vervalt de wederrechtelijkheid.
- Via Coordinated Vulnerability Disclosure (CVD). Steeds meer organisaties hebben een CVD-beleid (voorheen “responsible disclosure”) waarin ze onderzoekers uitnodigen kwetsbaarheden te melden onder afgesproken voorwaarden. Het NCSC heeft hiervoor een Leidraad Coordinated Vulnerability Disclosure opgesteld. Wie zich aan zo'n beleid houdt — niet meer doet dan nodig, geen data steelt en netjes meldt — ontneemt in de praktijk de wederrechtelijkheid aan zijn handelen, en organisaties spreken daarin vaak af geen aangifte te doen.
Voor wie het vak in wil, is de les eenvoudig maar hard: scope is heilig. Buiten de afgesproken lijnen kleuren betekent niet alleen een boze klant, maar een potentieel strafbaar feit. Professionaliteit, discretie en integriteit zijn in dit vak geen soft skills maar bestaansvoorwaarden.
Opleiding, certificeringen en skills
Offensive security is toegankelijk voor doorstromers met een sterke technische basis — denk aan systeembeheer, netwerken, development of een SOC-achtergrond. Anders dan bij veel compliancerollen weegt aantoonbare praktijkervaring hier extra zwaar: hands-on labs, Capture the Flag-competities (CTF's), een thuislab en een portfolio van (geoorloofde) bevindingen zeggen recruiters vaak meer dan een diploma. De gevraagde certificeringen zijn wel duidelijk herkenbaar:
- CompTIA PenTest+ en PNPT (Practical Network Penetration Tester) — toegankelijke, praktijkgerichte instapcertificeringen. De PNPT staat bekend om zijn realistische examen mét klantpresentatie.
- OSCP (Offensive Security Certified Professional) — nog altijd de belangrijkste praktijkcertificering en de facto standaard voor het middenniveau.
- OSEP, OSWE en OSED — de gevorderde Offensive Security-lijn, met respectievelijk focus op evasion en Active Directory, webexploitatie en exploit-ontwikkeling.
- CRTO en CRTP — gewild voor red teaming en Active Directory-aanvalsketens, de meest gescreende vaardigheid in het huidige offensive-hiringlandschap.
- GIAC GPEN / GWAPT / GXPN — zwaarwegend in gereguleerde sectoren, net als de CREST-lijn (CPSA → CRT → CCT), die in veel formele pentestopdrachten als kwaliteitsmerk geldt.
- CEH (Certified Ethical Hacker) — breed bekend en soms als vinkje in vacatures gevraagd, al hechten praktijkmensen meer waarde aan hands-on certificeringen.
Naast techniek tellen de zachte vaardigheden zwaar: helder rapporteren, een bevinding kunnen vertalen naar bedrijfsrisico, en de integriteit om binnen de scope te blijven. Voor wie richting management groeit, komen bredere certificeringen als CISSP en CISM in beeld.
Wat verdient een offensive-security-professional?
Salarissen lopen uiteen, afhankelijk van specialisatie, certificering, sector en regio (de Randstad en de financiële sector betalen doorgaans bovengemiddeld). Onderstaande bandbreedtes geven een indicatie voor Nederland in 2026 (bruto jaarsalaris bij een werkgever):
| Rol | Niveau | Indicatie salaris |
|---|---|---|
| Junior Penetration Tester | Instap | €40.000 – €55.000 |
| Penetration Tester / Ethical Hacker | Medior | €55.000 – €80.000 |
| Senior Pentester / Red Team Operator | Senior | €80.000 – €110.000 |
| Security Researcher / Exploit Developer | Specialist | €85.000 – €120.000 |
| Red Team Lead / Principal | Leiding | €100.000 – €135.000+ |
Ervaren specialisten werken bovendien vaak als zzp'er of consultant. Dagtarieven voor gecertificeerde pentesters en red teamers liggen doorgaans tussen de €800 en €1.400, met uitschieters daarboven voor schaarse specialismen als TIBER/TLPT-red teaming. Bedragen zijn indicatief; certificeringen als OSCP, OSEP en CREST hebben een merkbaar effect op de bovenkant van de bandbreedte.
Wat dit betekent voor jouw carrière
Offensive security is een van de meest gewilde en best betaalde specialismen binnen cybersecurity — en dankzij DORA, NIS2 en aanverwante regelgeving blijft de vraag structureel groeien. Een typisch pad ziet er zo uit:
- Instappen: als Junior Penetration Tester, vaak vanuit systeembeheer, development of een SOC-rol, ondersteund door een OSCP of PNPT en een sterk thuislab.
- Specialiseren: richting web/application security, infrastructuur, red teaming of onderzoek & exploit-ontwikkeling — kies de kant die bij je past.
- Doorgroeien: naar senior, red team lead of principal, of de overstap maken naar aangrenzende vakgebieden zoals security architect, Technology Risk of uiteindelijk CISO.
De grote kracht van dit vak is dat je leert denken als een aanvaller — een perspectief dat elke verdediger, architect en bestuurder scherper maakt. Wie rood en blauw allebei begrijpt, is in vrijwel elke securityrol goud waard. Bekijk de actuele IT-securityvacatures en de bredere vacatures in IT-compliance en security om te zien welke rollen werkgevers vandaag aanbieden.