EASM staat voor External Attack Surface Management: het doorlopend in kaart brengen en beheren van alles wat van buitenaf, vanaf het internet, van je organisatie zichtbaar is. Denk aan domeinen, subdomeinen, open poorten, certificaten en blootgestelde diensten.

EASM voor het MKB en de keten: ken en beheers je externe aanvalsoppervlak

Q: Hoe vaak verandert mijn aanvalsoppervlak?

Continu. Nieuwe subdomeinen, cloudomgevingen, testopstellingen en leverancierskoppelingen ontstaan vaak sneller dan een assetregister wordt bijgewerkt. Daarom is een eenmalige scan al verouderd op het moment dat je hem leest.

Gepubliceerd op 16 juni 2026

De meeste organisaties weten verrassend weinig over wat er van buitenaf van hen te zien is. Niet uit nalatigheid, maar omdat het externe aanvalsoppervlak voortdurend groeit en verschuift: een nieuw subdomein voor een campagne, een testomgeving die online bleef staan, een koppeling met een leverancier, een certificaat dat verloopt. Een aanvaller hoeft maar één vergeten deur te vinden. Jij moet ze allemaal kennen.

External Attack Surface Management, kortweg EASM, draait om precies dat: doorlopend zicht houden op alles wat vanaf het internet zichtbaar is, zodat je het kunt beheren voordat een ander het misbruikt. Dit artikel legt uit wat EASM is, waarom het juist voor het MKB en de leveranciersketen telt, en hoe je het aantoonbaar aanpakt.

In het kort

Je externe aanvalsoppervlak is alles wat van buitenaf zichtbaar is: domeinen, subdomeinen, open poorten, certificaten, softwareversies en blootgestelde beheerpanelen.
EASM is doorlopend, geen eenmalige scan. Het oppervlak verandert continu, dus een momentopname veroudert meteen.
Het MKB heeft vaak meer naar buiten staan dan het denkt, zonder een team dat het bijhoudt. Dat maakt onbekende assets het grootste risico.
De keten telt mee. Lever je aan een organisatie die onder NIS2 valt, dan wordt aantoonbaar zicht op je aanvalsoppervlak een eis die in contracten terugkomt.

Wat is je externe aanvalsoppervlak?

Je aanvalsoppervlak is de som van alle punten waar een buitenstaander contact mee kan maken. Concreet gaat het om je domeinen en subdomeinen, de poorten en diensten die open staan, je TLS-certificaten, de softwareversies die je naar buiten toe prijsgeeft, en beheerinterfaces die per ongeluk bereikbaar zijn. Dat is precies de buitenkant die een aanvaller verkent voordat hij iets probeert. Wil je dat van dichtbij zien, lees dan wat een aanvaller van je domein ziet.

Het lastige is niet de bekende systemen. Het zijn de vergeten en onbedoelde dingen: schaduw-IT, oude testopstellingen, subdomeinen van een project dat allang is afgerond. Hoe je daar grip op krijgt, beschrijven we in schaduw-IT en je externe aanvalsoppervlak.

Wat EASM is, en wat het niet is

EASM is een werkwijze plus de techniek eronder om je externe oppervlak doorlopend te ontdekken, te beoordelen en te volgen. Het ontdekt assets die je zelf niet meer op het netvlies had, kijkt welke daarvan kwetsbaar of verkeerd geconfigureerd zijn, en houdt bij hoe dat beeld zich ontwikkelt.

Wat EASM níét is: een compliancekeurmerk en geen vervanger van je bredere beveiliging. Het levert technisch inzicht en bewijs, geen juridisch stempel. Scannen alleen maakt je niet compliant; waarom dat zo is, lees je in scannen is geen NIS2-compliance. EASM is een bouwsteen: een sterke, maar één van meerdere.

Waarom dit juist het MKB raakt

Grote organisaties hebben securityteams die het aanvalsoppervlak bewaken. Het MKB meestal niet, terwijl de digitale voetafdruk net zo hard groeit. Een marketingbureau zet een landingspagina online, een ontwikkelaar test even iets op een subdomein, een dienst wordt in de cloud uitgerold. Stuk voor stuk legitiem, maar samen vormen ze een oppervlak dat niemand volledig overziet.

Je kunt niet beschermen wat je niet in beeld hebt. Het verschil tussen je officiële assetlijst en wat er werkelijk online staat, is vaak je eerste en belangrijkste bevinding.

Waarom de keten het verschil maakt

Het externe oppervlak van je leveranciers is van buitenaf net zo zichtbaar als dat van jou. Voor een aanvaller is de zwakste schakel in de keten een aantrekkelijke ingang. Voor een organisatie die onder NIS2 valt, is dat precies waarom de ketenzorgplicht bestaat: je moet de risico's die via derden binnenkomen meewegen en beheersen.

In de praktijk betekent dit dat je niet alleen je eigen oppervlak monitort, maar ook de basisveiligheid van de partijen waar je verantwoordelijkheid voor draagt. Zo werkt leveranciersmonitoring: hetzelfde verkenningswerk, maar dan over je keten heen, met herleidbaar bewijs per bevinding.

Van momentopname naar doorlopend beeld

De grootste denkfout is EASM behandelen als een jaarlijkse scan. Je oppervlak verandert elke week, dus een rapport van vorige maand beschrijft een organisatie die niet meer bestaat. Doorlopende monitoring laat in plaats daarvan een tijdlijn zien: wat is erbij gekomen, wat is veranderd, en wat is opgevolgd.

Dat tijdsaspect is ook wat een toezichthouder, klant of verzekeraar wil zien. Niet één keer "het was in orde", maar een aantoonbaar proces dat blijft draaien.

Hoe begin je?

Ontdek van buiten naar binnen. Breng eerst in kaart wat er werkelijk zichtbaar is, los van je interne register. Het verschil tussen die twee is je startpunt.
Beoordeel en prioriteer. Weeg elke bevinding op blootstelling en impact. Een kwetsbaarheid op een publiek bereikbare dienst weegt zwaarder dan dezelfde achter een VPN.
Wijs eigenaarschap toe. Elke asset en bevinding krijgt een eigenaar en een besluit: oplossen, accepteren of opruimen.
Monitor doorlopend en leg vast. Volg het oppervlak continu en bewaar wat is aangetroffen en wanneer, zodat je het later kunt navertellen.
Neem je keten mee. Breid het beeld uit naar de leveranciers waar je verantwoordelijkheid voor draagt.

Exposentry is hiervoor gebouwd: NL-soevereine, forensisch onderbouwde monitoring van je externe aanvalsoppervlak, voor je eigen domeinen en je keten. Bekijk de tarieven of start een scan van je organisatie en leg het verschil tussen je register en de werkelijkheid bloot.

Veelgestelde vragen

Wat betekent EASM? EASM staat voor External Attack Surface Management: het doorlopend in kaart brengen en beheren van alles wat vanaf het internet van je organisatie zichtbaar is.

Wat is het verschil tussen EASM en een pentest? Een pentest is een diepe momentopname op een afgebakende scope. EASM is breed en doorlopend en signaleert verandering. Ze vullen elkaar aan.

Is EASM alleen iets voor grote organisaties? Nee. Juist het MKB heeft vaak meer naar buiten staan dan het denkt, en wie levert aan een NIS2-plichtige klant krijgt er hoe dan ook mee te maken.

Hoe vaak verandert mijn aanvalsoppervlak? Continu. Daarom is een eenmalige scan al verouderd op het moment dat je hem leest.

Beheert EASM ook de risico's van mijn leveranciers? Met ketenmonitoring breng je de basisveiligheid van je leveranciers in beeld, wat aansluit op de NIS2-ketenzorgplicht.

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.