Dreigingsdekking in cijfers
Wat wij voor je monitoren
Je hebt geen capaciteit om elke dreigingsbron zelf bij te houden. Wij doen dat voor je en leveren alleen wat relevant is voor jouw omgeving en sector.
CVEs en kwetsbaarheden
Je weet welke nieuwe CVEs actief worden misbruikt en of jouw software of hardware kwetsbaar is. Niet elke CVE is kritiek; wij filteren op exploitabiliteit in het wild.
Ransomware-groepen
Je hebt inzicht in de 30+ actieve ransomware-groepen die wij volgen: TTPs, slachtofferprofielen, losgeldstrategie en infrastructuur. Weet of jouw sector in het vizier zit.
APT-actoren
Je kent de staatsgesponsorde actoren die actief zijn in Nederland, België en Spanje. Van NOBELIUM tot APT28: wij volgen campagnes en koppelen ze aan MITRE ATT&CK-technieken.
OT en ICS-dreigingen
Je OT-omgeving is niet blind. Wij monitoren dreigingen specifiek voor industriële protocollen en ICS/SCADA-omgevingen, inclusief nieuwe malware die productieprocessen verstoort.
Darkweb en datalekken
Je weet het als jouw organisatienaam, credentials of interne data op darkweb-forums verschijnt. Wij monitoren actief op initial access brokers en dataveilingsplatforms.
Sector intelligence
Je krijgt intelligence gefilterd op jouw sector: financials, overheid, zorg, industrie of technologie. Generieke feeds leveren ruis; sector-specifieke context levert actie.
Recente intelligence
Week 15, 2026: drie actieve dreigingen die wij momenteel monitoren en waarvoor wij detectieregels en IoCs hebben gepubliceerd.
CVE-2026-20182 Cisco SD-WAN: CVSS 10.0, staatsgesponsorde exploitatie bevestigd, geen credentials vereist, volledige overname mogelijk
CVE-2026-20182 in Cisco SD-WAN heeft een CVSS-score van 10.0 en wordt actief geexploiteerd door staatsgesponsorde actoren. De kwetsbaarheid vereist geen authenticatie en maakt volledige overname van het aangevallen systeem mogelijk. Cisco SD-WAN is wijd verspreid in enterprise- en overheidsomgevingen voor WAN-verbindingen tussen locaties. Een volledige overname geeft aanvallers toegang tot het volledige WAN-verkeer en alle verbonden segmenten. De combinatie van maximale CVSS-score, actieve staatsgesponsorde exploitatie en brede inzet maakt dit tot de meest urgente kwetsbaarheid van deze week. Actie: patch onmiddellijk, beperk beheerinterface tot vertrouwde IP-ranges en controleer logs op indicatoren van compromis.
Qilin ransomware omzeilt EDR via BYOVD kernel-driver aanval: 1.800+ slachtoffers, gedragsdetectie vereist
De Qilin ransomwaregroep gebruikt de BYOVD-techniek (Bring Your Own Vulnerable Driver) om EDR-kernel callbacks te deactiveren. Door een kwetsbare legitieme driver in te laden, verwijderen aanvallers de zichtbaarheid van endpoint-detectieoplossingen op kernel-niveau. Met meer dan 1.800 bevestigde slachtoffers wereldwijd is dit geen experimentele aanpak meer, maar een bewezen aanvalsketen. Traditionele EDR-oplossingen die uitsluitend op signatures of kernel-hooks steunen, zijn kwetsbaar voor deze techniek. Organisaties die denken dat EDR afdoende bescherming biedt, moeten deze aanname herzien. Actie: implementeer gedragsgebaseerde detectie naast EDR, activeer driver-allowlisting, overweeg DEFION MXDR met aanvullende detectielagen, en controleer of uw huidige EDR-leverancier BYOVD-detectie ondersteunt.
NCSC-2026-0168: Meerdere GitLab CE/EE kwetsbaarheden gepubliceerd, identiteitsvervalsing in Duo AI en CI/CD data-lekkage
Het Nationaal Cyber Security Centrum heeft vandaag advisory NCSC-2026-0168 gepubliceerd voor meerdere kwetsbaarheden in GitLab Community Edition en Enterprise Edition. De kwetsbaarheden omvatten identiteitsvervalsing in de Duo AI-integratie en lekkage van CI/CD pipeline-data. GitLab is wijd verspreid in de Nederlandse software-industrie, overheid en bij technologiebedrijven. CI/CD-lekkage kan gevoelige omgevingsvariabelen, API-sleutels en deployment-credentials blootstellen. De NCSC-advisory maakt directe actie noodzakelijk. Actie: patch GitLab naar de meest recente stabiele versie, revoke en roteer alle CI/CD secrets en omgevingsvariabelen als voorzorgsmaatregel, en controleer de Duo AI-configuratie op ongeautoriseerde toegangen.
Research en rapporten
DEFION publiceert op twee niveaus. Technische diepte voor securityteams. Strategische context voor het management.
Technisch
- ✓ Diepgaande CVE-analyses en exploitability scores
- ✓ Malware-reversals en gedragsanalyses
- ✓ KQL-detectieregels voor Microsoft Sentinel
- ✓ Pwn2Own en conferentie-technische verslagen
- ✓ MITRE ATT&CK-mapping per campagne
Strategisch
- ✓ Maandelijkse dreigingsrapporten voor de CISO
- ✓ Sectoranalyses per branche en regio
- ✓ MITRE ATT&CK-heatmaps op organisatieniveau
- ✓ Klantbriefings bij actuele campagnes
- ✓ Kwartaalrapport Dreigingslandschap NL/EU
Voor wie is dit relevant?
Threat Intelligence is niet alleen voor SOC-analisten. Elke securityrol heeft baat bij de juiste informatie op het juiste moment.
CISO
- ✓ Maandelijkse dreigingsbriefing voor de boardroom
- ✓ Risico-inschatting per sector en regelgeving
- ✓ Onderbouwing voor securityinvesteringen
SOC-analist
- ✓ IoC-feeds direct inzetbaar in je SIEM
- ✓ KQL-detectieregels per campagne
- ✓ Technische diepte per dreiging en TTP
IT-directeur
- ✓ Inzicht in kwetsbaarheden in je omgeving
- ✓ Patchprioritering op basis van exploitabiliteit
- ✓ Overzicht van actieve dreigingen in jouw sector
Incident Responder
- ✓ Contextrijke IoCs en YARA-regels
- ✓ TTP-mapping voor attributie en containment
- ✓ Snelle sector-briefings bij actieve campagnes
Intelligence-producten
Van gratis toegankelijke publicaties tot klantspecifieke dreigingsanalyses. Kies het niveau dat past bij jouw organisatie.
Vrij toegankelijk
- ✓ Blog: technische analyses en dreigingsberichten
- ✓ Kwartaalrapport Dreigingslandschap NL/EU
- ✓ CVE-updates en patchadviezen
- ✓ Research Labs publicaties
MDR-klanten
- ✓ Wekelijkse dreigingsbriefings op maat
- ✓ IoC-feeds direct in je SIEM of EDR
- ✓ KQL-detectieregels per campagne
- ✓ Directe notificatie bij kritieke dreigingen
- ✓ MITRE ATT&CK-heatmap per kwartaal
Op maat
- ✓ Klantspecifieke dreigingsanalyse
- ✓ Sector-briefing voor jouw branche
- ✓ Darkweb-scan op organisatienaam en credentials
- ✓ Imminent Threat Exposure assessment
FAQ Threat Intelligence
Wat is Threat Intelligence en waarom heb ik het nodig?
Wat is het verschil tussen strategische en operationele threat intelligence?
Hoe verschilt DEFION Threat Intelligence van een commerciële feed?
Hoe snel publiceer je bij een actieve campagne of zero-day?
Kan ik Threat Intelligence afnemen zonder MDR?
Vraag een dreigingsanalyse aan
Wil je weten welke dreigingen actief zijn in jouw sector en of jouw omgeving kwetsbaar is? Onze analisten maken een gerichte analyse op basis van jouw profiel.
Geen verplichtingen. Eerste analyse kosteloos voor gekwalificeerde organisaties.
®