Ga naar hoofdinhoud
Adaptive Threat Detection

Intelligence uit de frontlinie,
niet uit een feed.

DEFION is de bron, niet de doorgeefluik. Onze intelligence is geworteld in eigen SOC-telemetrie, honderden DFIR-cases en 40+ gespecialiseerde dreigingsbronnen.

Geen generieke bulletinlijst. Wel: context voor jouw sector, acteerbare IoCs voor je SOC en strategische briefings voor de boardroom.

Dreigingsdekking in cijfers

40+
Dreigingsbronnen
Intern en extern, 24/7 gemonitord
30+
Ransomware-groepen
Actief gevolgd, inclusief TTPs
34
Publicaties
Eigen onderzoek en analyses
24/7
Intelligence coverage
Geen blind spots, geen gaps
Monitorbereik

Wat wij voor je monitoren

Je hebt geen capaciteit om elke dreigingsbron zelf bij te houden. Wij doen dat voor je en leveren alleen wat relevant is voor jouw omgeving en sector.

CVEs en kwetsbaarheden

Je weet welke nieuwe CVEs actief worden misbruikt en of jouw software of hardware kwetsbaar is. Niet elke CVE is kritiek; wij filteren op exploitabiliteit in het wild.

Ransomware-groepen

Je hebt inzicht in de 30+ actieve ransomware-groepen die wij volgen: TTPs, slachtofferprofielen, losgeldstrategie en infrastructuur. Weet of jouw sector in het vizier zit.

APT-actoren

Je kent de staatsgesponsorde actoren die actief zijn in Nederland, België en Spanje. Van NOBELIUM tot APT28: wij volgen campagnes en koppelen ze aan MITRE ATT&CK-technieken.

OT en ICS-dreigingen

Je OT-omgeving is niet blind. Wij monitoren dreigingen specifiek voor industriële protocollen en ICS/SCADA-omgevingen, inclusief nieuwe malware die productieprocessen verstoort.

Darkweb en datalekken

Je weet het als jouw organisatienaam, credentials of interne data op darkweb-forums verschijnt. Wij monitoren actief op initial access brokers en dataveilingsplatforms.

Sector intelligence

Je krijgt intelligence gefilterd op jouw sector: financials, overheid, zorg, industrie of technologie. Generieke feeds leveren ruis; sector-specifieke context levert actie.

Actueel

Recente intelligence

Week 15, 2026: drie actieve dreigingen die wij momenteel monitoren en waarvoor wij detectieregels en IoCs hebben gepubliceerd.

CVE KRITIEK 17 juli 2026

NCSC-2026-0239: SonicWall SMA1000 twee actief uitgebuite zero-days. CVE-2026-15409 (SSRF, CVSS 9.8) en CVE-2026-15410 (code injection AMC, CVSS 9.8). Direct patchen.

NCSC-NL advies NCSC-2026-0239 [H/H] bevestigt twee actief uitgebuite zero-days in SonicWall SMA1000 appliances, beide nu beoordeeld op CVSS 9.8. CVE-2026-15409 is een unauthenticated Server-Side Request Forgery (SSRF) in de Work Place-interface waarmee een aanvaller zonder inloggegevens interne netwerken kan verkennen en verzoeken kan doen namens het apparaat. CVE-2026-15410 is een post-authenticatie code injection in de AMC-interface (Appliance Management Console) waarmee OS-commando's uitgevoerd kunnen worden op het systeem. Beide kwetsbaarheden zijn bevestigd als actief uitgebuit in the wild. SonicWall SMA1000 is een veelgebruikt remote access platform in NL-enterprise en MKB-omgevingen; een gecompromitteerd apparaat biedt directe toegang tot het interne netwerk. NCSC-NL beveelt onmiddellijk patchen aan en controle op indicators of compromise. Actie: patch SonicWall SMA1000 direct naar de beschikbare versie; controleer access logs op ongebruikelijke SSRF-patronen; informeer alle klanten met SonicWall SMA1000-deployments en voer een IoC-check uit. MITRE ATT&CK: T1190 (Exploit Public-Facing Application), T1059 (Command and Scripting Interpreter).

CVESonicWallSMA1000ZeroDayNCSC-NLSSRFCodeInjectionActivelyExploitedNLEUVPNRemoteAccessT1190T1059
Ransomware KRITIEK 17 juli 2026

PLAY ransomware treft AG Scholtes (NL): Nederlandse producent bevestigd slachtoffer. NL-maaksector dreigingsniveau verhoogd.

AG Scholtes (agscholtes.nl), een Nederlandse productiebedrijf, is op 16 juli 2026 bevestigd als slachtoffer van de PLAY ransomwaregroep via ransomware.live. PLAY is een van de meest actieve ransomwaregroepen op dit moment en richt zich in NL en de EU specifiek op de maakindustrie. In dezelfde 24-uurscyclus trof PLAY ook Andorra Life (gezondheidszorg, AD) en Svensk Direktreklam (zakelijke dienstverlening, SE), wat de EU-brede operationele capaciteit van de groep aantoont. PLAY's bekende aanvalstactiek omvat initieel toegang via onbeveiligde RDP en VPN-kwetsbaarheden, gevolgd door laterale beweging (T1083, File Discovery), data-exfiltratie (T1041) en encryptie (T1486). Voor NL-productiebedrijven en OT-omgevingen is de PLAY-aanval op AG Scholtes een direct alarmsignaal: de groep heeft actieve toegang tot het NL-zakelijke netwerk. Actie: activeer MDR-alerting voor NL-productieklanten; controleer op indicators of compromise van PLAY (bekende C2-IP's en YARA-regels beschikbaar via CISA AA23-352A); valideer RDP- en VPN-toegangsbeveiliging; voer een laterale bewegingscheck uit op productieomgevingen. MITRE ATT&CK: T1486 (Data Encrypted for Impact), T1083 (File Discovery), T1041 (Exfiltration over C2).

RansomwarePLAYAGScholtesNLManufacturingOTEUMDRT1486T1083T1041
CVE HOOG 17 juli 2026

CVE-2026-50522 (CVSS 9.8): Microsoft SharePoint RCE zonder gebruikersinteractie. Onderdeel Patch Tuesday juli 2026 - NCSC-2026-0237.

CVE-2026-50522 is een kritieke Remote Code Execution-kwetsbaarheid in Microsoft SharePoint met een CVSS-score van 9.8, gepubliceerd als onderdeel van Patch Tuesday juli 2026 (NCSC-2026-0237). De kwetsbaarheid vereist geen gebruikersinteractie en stelt een aanvaller in staat om op afstand code uit te voeren op een SharePoint-server. SharePoint is breed ingezet in NL-enterprise en overheidsomgevingen als documentbeheer- en intranetplatform. Hoewel actieve uitbuiting op dit moment niet is bevestigd, maakt de CVSS 9.8-score en de afwezigheid van vereiste gebruikersinteractie spoedige actie noodzakelijk. Microsoft verwacht op basis van de kwetsbaarheidskenmerken dat actieve uitbuiting waarschijnlijk is. Actie: installeer de Patch Tuesday juli 2026-updates voor Microsoft SharePoint direct; controleer of automatische updates actief zijn voor alle SharePoint-servers; voer een scan uit op versiecontrole en patchstatus. NCSC advies: NCSC-2026-0237. MITRE ATT&CK: T1190 (Exploit Public-Facing Application), T1059 (Command Execution).

CVESharePointMicrosoftRCEPatchTuesdayNCSC-NLNLEUNoUserInteractionT1190T1059
Kennisproductie

Research en rapporten

DEFION publiceert op twee niveaus. Technische diepte voor securityteams. Strategische context voor het management.

Technisch

  • Diepgaande CVE-analyses en exploitability scores
  • Malware-reversals en gedragsanalyses
  • KQL-detectieregels voor Microsoft Sentinel
  • Pwn2Own en conferentie-technische verslagen
  • MITRE ATT&CK-mapping per campagne
Naar Research Labs ›

Strategisch

  • Maandelijkse dreigingsrapporten voor de CISO
  • Sectoranalyses per branche en regio
  • MITRE ATT&CK-heatmaps op organisatieniveau
  • Klantbriefings bij actuele campagnes
  • Kwartaalrapport Dreigingslandschap NL/EU
Naar Research Labs ›
Doelgroepen

Voor wie is dit relevant?

Threat Intelligence is niet alleen voor SOC-analisten. Elke securityrol heeft baat bij de juiste informatie op het juiste moment.

CISO

  • Maandelijkse dreigingsbriefing voor de boardroom
  • Risico-inschatting per sector en regelgeving
  • Onderbouwing voor securityinvesteringen

SOC-analist

  • IoC-feeds direct inzetbaar in je SIEM
  • KQL-detectieregels per campagne
  • Technische diepte per dreiging en TTP

IT-directeur

  • Inzicht in kwetsbaarheden in je omgeving
  • Patchprioritering op basis van exploitabiliteit
  • Overzicht van actieve dreigingen in jouw sector

Incident Responder

  • Contextrijke IoCs en YARA-regels
  • TTP-mapping voor attributie en containment
  • Snelle sector-briefings bij actieve campagnes
Productaanbod

Intelligence-producten

Van gratis toegankelijke publicaties tot klantspecifieke dreigingsanalyses. Kies het niveau dat past bij jouw organisatie.

Voor iedereen

Vrij toegankelijk

  • Blog: technische analyses en dreigingsberichten
  • Kwartaalrapport Dreigingslandschap NL/EU
  • CVE-updates en patchadviezen
  • Research Labs publicaties
Naar Research Labs ›
Meest gekozen
Inbegrepen bij MDR

MDR-klanten

  • Wekelijkse dreigingsbriefings op maat
  • IoC-feeds direct in je SIEM of EDR
  • KQL-detectieregels per campagne
  • Directe notificatie bij kritieke dreigingen
  • MITRE ATT&CK-heatmap per kwartaal
Meer over MDR ›
Aanvraag vereist

Op maat

  • Klantspecifieke dreigingsanalyse
  • Sector-briefing voor jouw branche
  • Darkweb-scan op organisatienaam en credentials
  • Imminent Threat Exposure assessment
Neem contact op ›
Veelgestelde vragen

FAQ Threat Intelligence

Wat is Threat Intelligence en waarom heb ik het nodig?
Threat Intelligence is het systematisch verzamelen, analyseren en contextualiseren van informatie over dreigingen die relevant zijn voor jouw organisatie. Zonder TI reageer je op incidenten nadat ze al zijn. Met TI weet je welke aanvallers actief zijn in jouw sector, welke kwetsbaarheden worden misbruikt en hoe jij je hierop kunt voorbereiden. DEFION vertaalt ruwe dreigingsdata naar concrete actiepunten voor je securityteam.
Wat is het verschil tussen strategische en operationele threat intelligence?
Strategische TI is voor de CISO en het bestuur: trendanalyses, sectorrapportages en het dreigingslandschap op managementniveau. Operationele TI is voor het SOC en securityteam: IoC-feeds, KQL-detectieregels, YARA-signatures en technische analyses van specifieke malware of campagnes. DEFION levert beide lagen, afgestemd op de ontvanger.
Hoe verschilt DEFION Threat Intelligence van een commerciële feed?
Commerciele feeds aggregeren openbare bronnen en voegen weinig context toe. DEFION combineert 40+ interne en externe bronnen met eigen SOC-telemetrie, DFIR-casusdata en sectorspecifieke analyse. Onze analisten schrijven context bij elke melding: wat betekent dit voor jouw sector, welke acties zijn vereist en welke detectieregels zijn van toepassing.
Hoe snel publiceer je bij een actieve campagne of zero-day?
Bij een kritieke zero-day of actieve campagne publiceren wij doorgaans binnen 24 tot 48 uur een eerste analyse. MDR-klanten ontvangen een directe notificatie met IoCs en detectieregels. Voor complexe incidenten als supply-chain-aanvallen volgt binnen 72 uur een diepgaandere briefing. Wij prioriteren snelheid zonder accuratesse op te offeren.
Kan ik Threat Intelligence afnemen zonder MDR?
Ja. Onze gratis publicaties zijn beschikbaar voor iedereen via onze blog en kwartaalrapport. Voor organisaties die diepere intelligence willen zonder volledig MDR-abonnement bieden wij maatwerk: klantspecifieke dreigingsanalyses, sector-briefings en IoC-feeds op aanvraag. Neem contact op voor de mogelijkheden.

Vraag een dreigingsanalyse aan

Wil je weten welke dreigingen actief zijn in jouw sector en of jouw omgeving kwetsbaar is? Onze analisten maken een gerichte analyse op basis van jouw profiel.

Geen verplichtingen. Eerste analyse kosteloos voor gekwalificeerde organisaties.