Je hebt uitstekende firewalls. Antivirus op elke endpoint. E-mailfiltering die phishing tegenhoudt. Patch management dat netjes draait. Op papier ziet je security er goed uit. Maar kun je deze vraag beantwoorden: weet je of er op dit moment iemand in jouw omgeving rondloopt die daar niet hoort? Voor veel organisaties is het eerlijke antwoord nee.
En dat is geen uitzondering. Volgens het IBM Cost of a Data Breach Report duurt het gemiddeld 194 dagen voordat een organisatie ontdekt dat er een inbraak heeft plaatsgevonden. Bijna een half jaar. In die periode kan een aanvaller zich ongemerkt door je omgeving bewegen, data exfiltreren en persistente toegang opbouwen.
Dat is de realiteit van vandaag. En precies daar zit de blinde vlek.
De meeste organisaties investeren het grootste deel van hun security-budget in preventie. Dat is logisch: het is zichtbaar, tastbaar en geeft een gevoel van controle. Je bouwt lagen van bescherming en gaat ervan uit dat die hun werk doen.
Alleen heeft preventie een fundamentele beperking: het beschermt vooral tegen dreigingen die je al kent.
Moderne aanvallers opereren anders. Ze maken gebruik van gestolen inloggegevens, werken met legitieme tools zoals PowerShell of Remote Desktop en bewegen zich langzaam en doelgericht door een omgeving. Voor veel beveiligingsmaatregelen ziet dat eruit als normaal gedrag van een geautoriseerde gebruiker.
| Hier ontstaat de preventie-paradox. Hoe beter je preventie op orde is, hoe groter de kans dat je denkt dat je veilig bent. Terwijl je in werkelijkheid geen zicht hebt op wat er gebeurt zodra iemand eenmaal binnen is. |
Wat deze situatie extra complex maakt, is dat de signalen vaak al aanwezig zijn. Systemen genereren continu logs. Microsoft 365, Azure, je firewall, endpoints, ze leggen allemaal activiteiten vast.
Het probleem is niet dat de data ontbreekt, maar dat deze verspreid en gefragmenteerd is.
Een verdachte login in Entra ID. Een ongebruikelijke bestandsdownload in SharePoint. Een nieuwe mailregel in Exchange. Op zichzelf lijken dit losse, onschuldige gebeurtenissen. Maar in samenhang kunnen ze wijzen op een aanval die zich ontwikkelt.
Zonder correlatie en analyse blijven dit losse signalen. Er ontstaat geen compleet beeld en afwijkend gedrag wordt niet als zodanig herkend. In de praktijk betekent dit dat organisaties wel data verzamelen, maar geen inzicht hebben.
In security draait alles om tijd. Hoe langer een aanvaller onopgemerkt aanwezig is, hoe groter de impact. Niet alleen omdat er meer schade kan worden aangericht, maar vooral omdat er tijd is om systemen te verkennen, rechten uit te breiden en toegang te verankeren.
Daarom is Mean Time to Detect (MTTD) een van de belangrijkste metrics binnen een securitystrategie. Het geeft aan hoe lang het duurt voordat je doorhebt dat er iets mis is.
Bij veel organisaties ligt die tijd nog steeds op dagen, weken of zelfs maanden. In dat geval is er feitelijk geen sprake van actieve incident response, maar van analyse achteraf.
Het verlagen van MTTD maakt direct verschil. Hoe sneller een incident wordt herkend, hoe groter de kans dat je het kunt beperken voordat het escaleert.
Veel organisaties hebben geïnvesteerd in incident response. Er zijn procedures, rollen en soms zelfs draaiboeken ingericht om snel te kunnen handelen wanneer dat nodig is.
Maar elke vorm van respons begint bij hetzelfde punt: het moment waarop je een incident detecteert.
Als dat moment te laat komt of helemaal uitblijft, komt de rest van het proces niet op gang. Zonder detectie is er geen incident, geen analyse en geen actie. In dat opzicht is detectie geen onderdeel van je securitystrategie, maar een voorwaarde om überhaupt te kunnen reageren.
Wanneer organisaties constateren dat detectie achterblijft, wordt vaak gekeken naar technologie als oplossing. Het implementeren van een SIEM lijkt dan een logische volgende stap.
Maar een SIEM zonder de juiste inrichting en opvolging voegt vooral complexiteit toe. Het genereert alerts, maar zonder context en prioritering blijft het lastig om te bepalen wat echt relevant is.
Het bekende beeld is een systeem dat signalen produceert, terwijl er niemand is die ze actief beoordeelt en erop handelt. In die situatie verandert er weinig aan de daadwerkelijke detectiecapaciteit.
Detectie is daarom geen puur technisch vraagstuk. Het gaat om het vermogen om signalen te combineren, te interpreteren en daar consequent actie op te ondernemen.
De realiteit is dat preventie alleen niet voldoende is. Het bepaalt hoe vaak je wordt geraakt, maar niet hoe snel je het merkt wanneer dat gebeurt.
Detectie en respons vullen dat gat. Ze zorgen ervoor dat je zicht hebt op wat er binnen je omgeving gebeurt en dat je kunt ingrijpen voordat een incident zich volledig ontwikkelt.
Zonder die laag werk je met een onvolledig beeld. Je vertrouwt op je verdedigingslinie, zonder te weten wat erachter gebeurt.
Het verbeteren van detectie begint met inzicht. Niet met nieuwe tooling, maar met het begrijpen van je huidige situatie.
Door dit in kaart te brengen, wordt duidelijk waar de grootste risico’s zitten en waar je kunt verbeteren.
In veel organisaties zit de grootste winst niet in nieuwe tooling, maar in beter inzicht in wat je al hebt. Juist daar helpt het om een keer met een frisse blik naar je detectiecapaciteit te kijken.
Waar zitten de gaten? Welke signalen mis je nu? En hoe snel zou je een incident daadwerkelijk herkennen?
Bij Interstellar kijken we hier dagelijks naar. We denken graag met je mee, spiegelen je huidige aanpak en helpen je scherp krijgen waar de risico’s zitten, zonder meteen te vervallen in complexe trajecten of nieuwe tools.
Deel artikel
