De meeste organisaties investeren in security op het slechtst mogelijke moment: vlak nadat het misgaat. De schade wordt opgenomen, de gaten worden gedicht en het leven gaat verder, tot het volgende incident. De kosten zijn bijna altijd hoger dan verwacht, en de lessen worden zelden vroeg genoeg geleerd.
Wanneer er iets misgaat, zijn dure specialisten nodig die niet altijd direct beschikbaar zijn. Het zoeken, regelen en inwerken van de juiste mensen kost tijd die er op dat moment simpelweg niet is. Ondertussen staat de bedrijfscontinuïteit onder druk en loopt de schadepost verder op. Herstel duurt langer dan directies doorgaans verwachten, reputatieschade werkt lang door en het oorspronkelijke probleem moet alsnog worden opgelost.
Proactieve beveiliging verlaagt niet alleen de kans op een incident. Het verlaagt de volledige kostencurve die erop volgt.
Het grootste misverstand in security op dit moment
Wanneer het gesprek over proactieve security op gang komt, krijgen we van organisaties bijna altijd dezelfde reactie: “Wij hebben al een SOC en een SIEM. Er wordt continu gemonitord. Als er iets gebeurt, reageren we direct.”
Dat klinkt geruststellend. In werkelijkheid is het een beschrijving van reactieve security. Een SOC die je waarschuwt nadat een aanval heeft plaatsgevonden, is fundamenteel iets anders dan een systeem dat is ontworpen om die aanval te voorkomen. Het onderscheid is cruciaal, want het tijdvenster tussen de eerste inbreuk en serieuze schade is de afgelopen jaren drastisch gekrompen.
Proactieve security draait om een andere vraag. Niet: hoe reageren we als het misgaat? Maar: hoe zorgen we dat het zover nooit komt?
Dat vraagt om een andere kijk op je aanvalsoppervlak, je medewerkers, je leveranciersketen én je governance. In dit artikel lopen we ze langs als concrete voorbeelden van wat proactief denken in de praktijk betekent.
Exposure management: zien wat aanvallers zien
Een van de belangrijkste instrumenten binnen proactieve security is exposure management. De meeste IT-teams zijn vertrouwd met vulnerability management, dat bekende zwakke plekken in systemen en software identificeert. Exposure management gaat verder. Het brengt het volledige aanvalspad in kaart: waar de kwetsbaarheden zitten, hoe ze met elkaar verbonden zijn en hoe een aanvaller van de ene naar de andere stap kan bewegen.
Wat exposure management klanten het meest verrast, is zelden wat de scans over de infrastructuur onthullen. Het zijn de individuen. We zien regelmatig dat de laptop van de IT-manager zelf significante kwetsbaarheden bevat. Dat maakt het vraagstuk ineens heel concreet. Organisaties ontdekken ook regelmatig dat er externe websites in hun naam actief zijn, dat er e-mails worden verstuurd namens hun domein zonder dat ze dat wisten, of dat gastaccounts openstaan zonder multifactorauthenticatie en zonder dat iemand weet wie ze beheert.
Exposure management is alleen zo waardevol als de acties die het uitlokt. En juist daar gaat het bij veel organisaties mis. Wat we vaak zien, is dat organisaties kwetsbaarheden identificeren en vervolgens simpelweg niet de tijd of focus hebben om ze op te lossen. Een maand later wordt er opnieuw gescand en komen dezelfde problemen naar boven. De risico’s zijn bekend, maar staan nog steeds open.
IT-teams zijn bijna zonder uitzondering onderbezet ten opzichte van de beveiligingseisen die aan hen worden gesteld. Bij Ictivity is Exposure Management daarom onderdeel van de Managed Detection and Response bundel, waarbij we de coördinatie en continuïteit verzorgen die interne teams moeilijk kunnen volhouden.
Hoe AI het speelveld verandert voor hackers en verdedigers
AI is in de kern een versneller. De impact op het dreigingslandschap is groter dan veel organisaties beseffen.
Het meest zichtbare effect is op phishing. AI-gegenereerde phishingmails zijn inmiddels vrijwel niet meer te onderscheiden van legitieme communicatie. Ze zijn gepersonaliseerd en specifiek gericht op individuen, op basis van data die uit eerdere datalekken is samengesteld. Medewerkers klikken vaker dan voorheen, zelfs als er een awareness programma actief is. Daarnaast stelt AI aanvallers in staat om kwetsbaarheden razendsnel te detecteren en zero-day exploits vrijwel direct na ontdekking in te zetten.
Aan de verdedigingskant helpt AI bij het identificeren van aanvalspaden die menselijke analisten over het hoofd zouden zien, en nemen AI-agents steeds meer routinetaken van SOC-analisten over. De technologie versnelt beide kanten, wat precies de reden is waarom organisaties die hun security-investeringen uitstellen niet op dezelfde plek blijven staan maar verder achterop raken.
Kijkend naar de nabije toekomst vormen AI-agents binnen organisaties een snel groeiend risico. Een aanvaller die toegang krijgt tot een interne AI-agent, krijgt toegang tot alles wat die agent weet en kan doen. Insider-risk wordt daarmee een steeds groter vraagstuk, en organisaties die AI-agents inzetten denken lang niet altijd na over hoe ze die moeten beveiligen.
Medewerkers zijn de zwakste schakel
Proactief denken betekent ook: begrijpen waar aanvallen écht beginnen. En dat is bijna nooit een technische kwetsbaarheid: het is een gebruikersaccount. Een typische aanval begint met een phishingmail. De medewerker klikt, voert zijn inloggegevens in op een overtuigende neppagina en de aanvaller onderschept een geldig sessietoken. Vanaf dat moment zit de aanvaller in de mailomgeving van de organisatie en verspreidt hij zich zijdelings door de organisatie op zoek naar verhoogde rechten.
Wat we zien, is dat aanvallers vrijwel direct een nieuw account aanmaken met multifactorauthenticatie gekoppeld aan hun eigen apparaat, zodat ze later terug kunnen zonder opnieuw een medewerker te hoeven hacken. Daarna verschuift het doel naar data-exfiltratie. Het ransomwaremodel van een paar jaar geleden maakt steeds vaker plaats voor een directere aanpak: data snel wegsluizen en dreigen met publicatie tenzij er betaald wordt.
Bij Ictivity pakken we dit aan via een combinatie van Zero Trust-principes en bewustzijnstraining. Elke inlogpoging wordt beoordeeld op afwijkingen: ongebruikelijke locaties, onbekende apparaten, onverwachte toegangspatronen. Wanneer meerdere afwijkingen samenkomen, escaleert het alert. Twijfelachtige mails kunnen worden geopend in een sandbox-omgeving, waarna de software aangeeft of het bericht als onveilig wordt beschouwd.
Waarom ketenbeveiliging de blinde vlek is voor veel organisaties
Proactief denken stopt niet bij je eigen omgeving. Aanvallers hebben al lang door dat de weg naar een goed beveiligde organisatie soms loopt via een minder goed beveiligde leverancier.
Organisaties investeren aanzienlijk in het beveiligen van hun eigen omgeving, maar besteden veel minder aandacht aan de partners en leveranciers die daaraan verbonden zijn. Aanvallers hebben dat allang door. Managed service providers en softwareleveranciers zijn steeds aantrekkelijkere doelwitten, juist omdat het hacken van een partij direct toegang geeft tot meerdere klanten.
Wij zien bij onze eigen klanten regelmatig dat kleinere leveranciers worden gehackt en dat aanvallers direct phishingmails beginnen te versturen vanuit het legitieme domein van die leverancier. We hebben meerdere organisaties moeten bellen om te vertellen dat ze gehackt waren. Ze hadden er geen idee van.
De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, dwingt organisaties hier serieuzer over na te denken. Het advies is bewust eenvoudig: begin met de kritische bedrijfsprocessen. Bepaal welke leveranciers daarvoor relevant zijn, begrijp hoe data door de keten stroomt en breid het overzicht geleidelijk uit.
Waarom governance het verschil maakt tussen regie en paniek
Proactieve security is ook een kwestie van voorbereiding op het moment dat het tóch misgaat. Want hoe goed je ook beveiligd bent, geen enkele organisatie is volledig immuun. Het verschil zit in of je dan de regie hebt, of niet.
Beleid schrijven is nu eenmaal een ander vak dan technisch beheer, en beleid dat te vaag blijft, biedt in de praktijk weinig houvast.
Goede governance levert iets op dat verder gaat dan een certificering. Het creëert rust. We hebben organisaties meegemaakt die werden gehackt zonder dat er een plan klaarlag. Paniek neemt de overhand, de regie ontglipt je en je voelt je volledig afhankelijk van de situatie. Teams met helder beleid en geoefende responsplannen nemen daarentegen snel de leiding.
Het advies is simpel: maak een start, ook als het beleid nog niet perfect is. Een onvolledig beleid dat regelmatig wordt herzien en geoefend, is meer waard dan een uitgebreid document dat alleen op papier bestaat.
Controle is een keuze
Reactieve security laat organisaties afhankelijk zijn van wat er toevallig op hen afkomt. Proactieve security is een bewuste keuze om de regie te houden. Dat betekent niet het nastreven van een perfecte, ondoordringbare omgeving. Het betekent ervoor zorgen dat wanneer dreigingen zich aandienen, en die zullen zich altijd aandienen, de organisatie niet bij nul hoeft te beginnen.
Bij Ictivity werken we met drie oplopende niveaus van dienstverlening. De Protect-bundel legt het fundament: domeinbeveiliging, Zero Trust-principes en security baselines. Wie een stap verder wil, stapt over naar de Prevent-bundel, met 24/7 SOC-bewaking, continue exposure scanning en awareness training voor medewerkers. De Proactieve bundel biedt het hoogste beschermingsniveau, met organisatiespecifieke risicoanalyse en beveiligingsmaatregelen die echt op maat zijn ingericht. Welk niveau het beste past, bepalen we samen op basis van het risicoprofiel, de sector en de beveiligingsvolwassenheid van de organisatie.
De organisaties die het beste voorbereid zijn, hebben niet per se de grootste budgetten. Ze hebben de juiste structuur, de juiste gewoontes en een partner die meedenkt. Security is geen eindbestemming maar een doorlopend proces, en de organisaties die dat begrijpen zijn degenen die bij een incident de regie houden in plaats van die te verliezen.
Wil je weten waar jouw organisatie staat? Neem contact met ons op! Dat is precies de vraag waar we mee beginnen.
Terug naar overzicht
