Adaptive Threat Detection

Intelligence uit de frontlinie,
niet uit een feed.

DEFION is de bron, niet de doorgeefluik. Onze intelligence is geworteld in eigen SOC-telemetrie, honderden DFIR-cases en 40+ gespecialiseerde dreigingsbronnen.

Geen generieke bulletinlijst. Wel: context voor jouw sector, acteerbare IoCs voor je SOC en strategische briefings voor de boardroom.

Vraag een dreigingsanalyse aan Naar Research Labs

Dreigingsdekking in cijfers

40+
Dreigingsbronnen
Intern en extern, 24/7 gemonitord
30+
Ransomware-groepen
Actief gevolgd, inclusief TTPs
34
Publicaties
Eigen onderzoek en analyses
24/7
Intelligence coverage
Geen blind spots, geen gaps
Monitorbereik

Wat wij voor je monitoren

Je hebt geen capaciteit om elke dreigingsbron zelf bij te houden. Wij doen dat voor je en leveren alleen wat relevant is voor jouw omgeving en sector.

CVEs en kwetsbaarheden

Je weet welke nieuwe CVEs actief worden misbruikt en of jouw software of hardware kwetsbaar is. Niet elke CVE is kritiek; wij filteren op exploitabiliteit in het wild.

Ransomware-groepen

Je hebt inzicht in de 30+ actieve ransomware-groepen die wij volgen: TTPs, slachtofferprofielen, losgeldstrategie en infrastructuur. Weet of jouw sector in het vizier zit.

APT-actoren

Je kent de staatsgesponsorde actoren die actief zijn in Nederland, België en Spanje. Van NOBELIUM tot APT28: wij volgen campagnes en koppelen ze aan MITRE ATT&CK-technieken.

OT en ICS-dreigingen

Je OT-omgeving is niet blind. Wij monitoren dreigingen specifiek voor industriële protocollen en ICS/SCADA-omgevingen, inclusief nieuwe malware die productieprocessen verstoort.

Darkweb en datalekken

Je weet het als jouw organisatienaam, credentials of interne data op darkweb-forums verschijnt. Wij monitoren actief op initial access brokers en dataveilingsplatforms.

Sector intelligence

Je krijgt intelligence gefilterd op jouw sector: financials, overheid, zorg, industrie of technologie. Generieke feeds leveren ruis; sector-specifieke context levert actie.

Actueel

Recente intelligence

Week 15, 2026: drie actieve dreigingen die wij momenteel monitoren en waarvoor wij detectieregels en IoCs hebben gepubliceerd.

CVE KRITIEK 28 mei 2026

CVE-2026-20182 Cisco SD-WAN: CVSS 10.0, staatsgesponsorde exploitatie bevestigd, geen credentials vereist, volledige overname mogelijk

CVE-2026-20182 in Cisco SD-WAN heeft een CVSS-score van 10.0 en wordt actief geexploiteerd door staatsgesponsorde actoren. De kwetsbaarheid vereist geen authenticatie en maakt volledige overname van het aangevallen systeem mogelijk. Cisco SD-WAN is wijd verspreid in enterprise- en overheidsomgevingen voor WAN-verbindingen tussen locaties. Een volledige overname geeft aanvallers toegang tot het volledige WAN-verkeer en alle verbonden segmenten. De combinatie van maximale CVSS-score, actieve staatsgesponsorde exploitatie en brede inzet maakt dit tot de meest urgente kwetsbaarheid van deze week. Actie: patch onmiddellijk, beperk beheerinterface tot vertrouwde IP-ranges en controleer logs op indicatoren van compromis.

CVECiscoSD-WANCVSS 10.0StaatsgesponsordNLEUKritieke Infrastructuur
Ransomware KRITIEK 28 mei 2026

Qilin ransomware omzeilt EDR via BYOVD kernel-driver aanval: 1.800+ slachtoffers, gedragsdetectie vereist

De Qilin ransomwaregroep gebruikt de BYOVD-techniek (Bring Your Own Vulnerable Driver) om EDR-kernel callbacks te deactiveren. Door een kwetsbare legitieme driver in te laden, verwijderen aanvallers de zichtbaarheid van endpoint-detectieoplossingen op kernel-niveau. Met meer dan 1.800 bevestigde slachtoffers wereldwijd is dit geen experimentele aanpak meer, maar een bewezen aanvalsketen. Traditionele EDR-oplossingen die uitsluitend op signatures of kernel-hooks steunen, zijn kwetsbaar voor deze techniek. Organisaties die denken dat EDR afdoende bescherming biedt, moeten deze aanname herzien. Actie: implementeer gedragsgebaseerde detectie naast EDR, activeer driver-allowlisting, overweeg DEFION MXDR met aanvullende detectielagen, en controleer of uw huidige EDR-leverancier BYOVD-detectie ondersteunt.

RansomwareQilinBYOVDEDR BypassKernel DriverNLEUDetectie
CVE HOOG 28 mei 2026

NCSC-2026-0168: Meerdere GitLab CE/EE kwetsbaarheden gepubliceerd, identiteitsvervalsing in Duo AI en CI/CD data-lekkage

Het Nationaal Cyber Security Centrum heeft vandaag advisory NCSC-2026-0168 gepubliceerd voor meerdere kwetsbaarheden in GitLab Community Edition en Enterprise Edition. De kwetsbaarheden omvatten identiteitsvervalsing in de Duo AI-integratie en lekkage van CI/CD pipeline-data. GitLab is wijd verspreid in de Nederlandse software-industrie, overheid en bij technologiebedrijven. CI/CD-lekkage kan gevoelige omgevingsvariabelen, API-sleutels en deployment-credentials blootstellen. De NCSC-advisory maakt directe actie noodzakelijk. Actie: patch GitLab naar de meest recente stabiele versie, revoke en roteer alle CI/CD secrets en omgevingsvariabelen als voorzorgsmaatregel, en controleer de Duo AI-configuratie op ongeautoriseerde toegangen.

CVEGitLabNCSCCI/CDDevSecOpsNLEUDuo AI
Kennisproductie

Research en rapporten

DEFION publiceert op twee niveaus. Technische diepte voor securityteams. Strategische context voor het management.

Technisch

  • Diepgaande CVE-analyses en exploitability scores
  • Malware-reversals en gedragsanalyses
  • KQL-detectieregels voor Microsoft Sentinel
  • Pwn2Own en conferentie-technische verslagen
  • MITRE ATT&CK-mapping per campagne
Naar Research Labs ›

Strategisch

  • Maandelijkse dreigingsrapporten voor de CISO
  • Sectoranalyses per branche en regio
  • MITRE ATT&CK-heatmaps op organisatieniveau
  • Klantbriefings bij actuele campagnes
  • Kwartaalrapport Dreigingslandschap NL/EU
Naar Research Labs ›
Doelgroepen

Voor wie is dit relevant?

Threat Intelligence is niet alleen voor SOC-analisten. Elke securityrol heeft baat bij de juiste informatie op het juiste moment.

CISO

  • Maandelijkse dreigingsbriefing voor de boardroom
  • Risico-inschatting per sector en regelgeving
  • Onderbouwing voor securityinvesteringen

SOC-analist

  • IoC-feeds direct inzetbaar in je SIEM
  • KQL-detectieregels per campagne
  • Technische diepte per dreiging en TTP

IT-directeur

  • Inzicht in kwetsbaarheden in je omgeving
  • Patchprioritering op basis van exploitabiliteit
  • Overzicht van actieve dreigingen in jouw sector

Incident Responder

  • Contextrijke IoCs en YARA-regels
  • TTP-mapping voor attributie en containment
  • Snelle sector-briefings bij actieve campagnes
Productaanbod

Intelligence-producten

Van gratis toegankelijke publicaties tot klantspecifieke dreigingsanalyses. Kies het niveau dat past bij jouw organisatie.

Voor iedereen

Vrij toegankelijk

  • Blog: technische analyses en dreigingsberichten
  • Kwartaalrapport Dreigingslandschap NL/EU
  • CVE-updates en patchadviezen
  • Research Labs publicaties
Naar Research Labs ›
Meest gekozen
Inbegrepen bij MDR

MDR-klanten

  • Wekelijkse dreigingsbriefings op maat
  • IoC-feeds direct in je SIEM of EDR
  • KQL-detectieregels per campagne
  • Directe notificatie bij kritieke dreigingen
  • MITRE ATT&CK-heatmap per kwartaal
Meer over MDR ›
Aanvraag vereist

Op maat

  • Klantspecifieke dreigingsanalyse
  • Sector-briefing voor jouw branche
  • Darkweb-scan op organisatienaam en credentials
  • Imminent Threat Exposure assessment
Neem contact op ›
Veelgestelde vragen

FAQ Threat Intelligence

Wat is Threat Intelligence en waarom heb ik het nodig?
Threat Intelligence is het systematisch verzamelen, analyseren en contextualiseren van informatie over dreigingen die relevant zijn voor jouw organisatie. Zonder TI reageer je op incidenten nadat ze al zijn. Met TI weet je welke aanvallers actief zijn in jouw sector, welke kwetsbaarheden worden misbruikt en hoe jij je hierop kunt voorbereiden. DEFION vertaalt ruwe dreigingsdata naar concrete actiepunten voor je securityteam.
Wat is het verschil tussen strategische en operationele threat intelligence?
Strategische TI is voor de CISO en het bestuur: trendanalyses, sectorrapportages en het dreigingslandschap op managementniveau. Operationele TI is voor het SOC en securityteam: IoC-feeds, KQL-detectieregels, YARA-signatures en technische analyses van specifieke malware of campagnes. DEFION levert beide lagen, afgestemd op de ontvanger.
Hoe verschilt DEFION Threat Intelligence van een commerciële feed?
Commerciele feeds aggregeren openbare bronnen en voegen weinig context toe. DEFION combineert 40+ interne en externe bronnen met eigen SOC-telemetrie, DFIR-casusdata en sectorspecifieke analyse. Onze analisten schrijven context bij elke melding: wat betekent dit voor jouw sector, welke acties zijn vereist en welke detectieregels zijn van toepassing.
Hoe snel publiceer je bij een actieve campagne of zero-day?
Bij een kritieke zero-day of actieve campagne publiceren wij doorgaans binnen 24 tot 48 uur een eerste analyse. MDR-klanten ontvangen een directe notificatie met IoCs en detectieregels. Voor complexe incidenten als supply-chain-aanvallen volgt binnen 72 uur een diepgaandere briefing. Wij prioriteren snelheid zonder accuratesse op te offeren.
Kan ik Threat Intelligence afnemen zonder MDR?
Ja. Onze gratis publicaties zijn beschikbaar voor iedereen via onze blog en kwartaalrapport. Voor organisaties die diepere intelligence willen zonder volledig MDR-abonnement bieden wij maatwerk: klantspecifieke dreigingsanalyses, sector-briefings en IoC-feeds op aanvraag. Neem contact op voor de mogelijkheden.

Vraag een dreigingsanalyse aan

Wil je weten welke dreigingen actief zijn in jouw sector en of jouw omgeving kwetsbaar is? Onze analisten maken een gerichte analyse op basis van jouw profiel.

Neem contact op Research Labs bekijken

Geen verplichtingen. Eerste analyse kosteloos voor gekwalificeerde organisaties.