Dreigingsdekking in cijfers
Wat wij voor je monitoren
Je hebt geen capaciteit om elke dreigingsbron zelf bij te houden. Wij doen dat voor je en leveren alleen wat relevant is voor jouw omgeving en sector.
CVEs en kwetsbaarheden
Je weet welke nieuwe CVEs actief worden misbruikt en of jouw software of hardware kwetsbaar is. Niet elke CVE is kritiek; wij filteren op exploitabiliteit in het wild.
Ransomware-groepen
Je hebt inzicht in de 30+ actieve ransomware-groepen die wij volgen: TTPs, slachtofferprofielen, losgeldstrategie en infrastructuur. Weet of jouw sector in het vizier zit.
APT-actoren
Je kent de staatsgesponsorde actoren die actief zijn in Nederland, België en Spanje. Van NOBELIUM tot APT28: wij volgen campagnes en koppelen ze aan MITRE ATT&CK-technieken.
OT en ICS-dreigingen
Je OT-omgeving is niet blind. Wij monitoren dreigingen specifiek voor industriële protocollen en ICS/SCADA-omgevingen, inclusief nieuwe malware die productieprocessen verstoort.
Darkweb en datalekken
Je weet het als jouw organisatienaam, credentials of interne data op darkweb-forums verschijnt. Wij monitoren actief op initial access brokers en dataveilingsplatforms.
Sector intelligence
Je krijgt intelligence gefilterd op jouw sector: financials, overheid, zorg, industrie of technologie. Generieke feeds leveren ruis; sector-specifieke context levert actie.
Recente intelligence
Week 15, 2026: drie actieve dreigingen die wij momenteel monitoren en waarvoor wij detectieregels en IoCs hebben gepubliceerd.
NCSC-2026-0239: SonicWall SMA1000 twee actief uitgebuite zero-days. CVE-2026-15409 (SSRF, CVSS 9.8) en CVE-2026-15410 (code injection AMC, CVSS 9.8). Direct patchen.
NCSC-NL advies NCSC-2026-0239 [H/H] bevestigt twee actief uitgebuite zero-days in SonicWall SMA1000 appliances, beide nu beoordeeld op CVSS 9.8. CVE-2026-15409 is een unauthenticated Server-Side Request Forgery (SSRF) in de Work Place-interface waarmee een aanvaller zonder inloggegevens interne netwerken kan verkennen en verzoeken kan doen namens het apparaat. CVE-2026-15410 is een post-authenticatie code injection in de AMC-interface (Appliance Management Console) waarmee OS-commando's uitgevoerd kunnen worden op het systeem. Beide kwetsbaarheden zijn bevestigd als actief uitgebuit in the wild. SonicWall SMA1000 is een veelgebruikt remote access platform in NL-enterprise en MKB-omgevingen; een gecompromitteerd apparaat biedt directe toegang tot het interne netwerk. NCSC-NL beveelt onmiddellijk patchen aan en controle op indicators of compromise. Actie: patch SonicWall SMA1000 direct naar de beschikbare versie; controleer access logs op ongebruikelijke SSRF-patronen; informeer alle klanten met SonicWall SMA1000-deployments en voer een IoC-check uit. MITRE ATT&CK: T1190 (Exploit Public-Facing Application), T1059 (Command and Scripting Interpreter).
PLAY ransomware treft AG Scholtes (NL): Nederlandse producent bevestigd slachtoffer. NL-maaksector dreigingsniveau verhoogd.
AG Scholtes (agscholtes.nl), een Nederlandse productiebedrijf, is op 16 juli 2026 bevestigd als slachtoffer van de PLAY ransomwaregroep via ransomware.live. PLAY is een van de meest actieve ransomwaregroepen op dit moment en richt zich in NL en de EU specifiek op de maakindustrie. In dezelfde 24-uurscyclus trof PLAY ook Andorra Life (gezondheidszorg, AD) en Svensk Direktreklam (zakelijke dienstverlening, SE), wat de EU-brede operationele capaciteit van de groep aantoont. PLAY's bekende aanvalstactiek omvat initieel toegang via onbeveiligde RDP en VPN-kwetsbaarheden, gevolgd door laterale beweging (T1083, File Discovery), data-exfiltratie (T1041) en encryptie (T1486). Voor NL-productiebedrijven en OT-omgevingen is de PLAY-aanval op AG Scholtes een direct alarmsignaal: de groep heeft actieve toegang tot het NL-zakelijke netwerk. Actie: activeer MDR-alerting voor NL-productieklanten; controleer op indicators of compromise van PLAY (bekende C2-IP's en YARA-regels beschikbaar via CISA AA23-352A); valideer RDP- en VPN-toegangsbeveiliging; voer een laterale bewegingscheck uit op productieomgevingen. MITRE ATT&CK: T1486 (Data Encrypted for Impact), T1083 (File Discovery), T1041 (Exfiltration over C2).
Research en rapporten
DEFION publiceert op twee niveaus. Technische diepte voor securityteams. Strategische context voor het management.
Technisch
- ✓ Diepgaande CVE-analyses en exploitability scores
- ✓ Malware-reversals en gedragsanalyses
- ✓ KQL-detectieregels voor Microsoft Sentinel
- ✓ Pwn2Own en conferentie-technische verslagen
- ✓ MITRE ATT&CK-mapping per campagne
Strategisch
- ✓ Maandelijkse dreigingsrapporten voor de CISO
- ✓ Sectoranalyses per branche en regio
- ✓ MITRE ATT&CK-heatmaps op organisatieniveau
- ✓ Klantbriefings bij actuele campagnes
- ✓ Kwartaalrapport Dreigingslandschap NL/EU
Voor wie is dit relevant?
Threat Intelligence is niet alleen voor SOC-analisten. Elke securityrol heeft baat bij de juiste informatie op het juiste moment.
CISO
- ✓ Maandelijkse dreigingsbriefing voor de boardroom
- ✓ Risico-inschatting per sector en regelgeving
- ✓ Onderbouwing voor securityinvesteringen
SOC-analist
- ✓ IoC-feeds direct inzetbaar in je SIEM
- ✓ KQL-detectieregels per campagne
- ✓ Technische diepte per dreiging en TTP
IT-directeur
- ✓ Inzicht in kwetsbaarheden in je omgeving
- ✓ Patchprioritering op basis van exploitabiliteit
- ✓ Overzicht van actieve dreigingen in jouw sector
Incident Responder
- ✓ Contextrijke IoCs en YARA-regels
- ✓ TTP-mapping voor attributie en containment
- ✓ Snelle sector-briefings bij actieve campagnes
Intelligence-producten
Van gratis toegankelijke publicaties tot klantspecifieke dreigingsanalyses. Kies het niveau dat past bij jouw organisatie.
Vrij toegankelijk
- ✓ Blog: technische analyses en dreigingsberichten
- ✓ Kwartaalrapport Dreigingslandschap NL/EU
- ✓ CVE-updates en patchadviezen
- ✓ Research Labs publicaties
MDR-klanten
- ✓ Wekelijkse dreigingsbriefings op maat
- ✓ IoC-feeds direct in je SIEM of EDR
- ✓ KQL-detectieregels per campagne
- ✓ Directe notificatie bij kritieke dreigingen
- ✓ MITRE ATT&CK-heatmap per kwartaal
Op maat
- ✓ Klantspecifieke dreigingsanalyse
- ✓ Sector-briefing voor jouw branche
- ✓ Darkweb-scan op organisatienaam en credentials
- ✓ Imminent Threat Exposure assessment
FAQ Threat Intelligence
Wat is Threat Intelligence en waarom heb ik het nodig?
Wat is het verschil tussen strategische en operationele threat intelligence?
Hoe verschilt DEFION Threat Intelligence van een commerciële feed?
Hoe snel publiceer je bij een actieve campagne of zero-day?
Kan ik Threat Intelligence afnemen zonder MDR?
Vraag een dreigingsanalyse aan
Wil je weten welke dreigingen actief zijn in jouw sector en of jouw omgeving kwetsbaar is? Onze analisten maken een gerichte analyse op basis van jouw profiel.
Geen verplichtingen. Eerste analyse kosteloos voor gekwalificeerde organisaties.
®