Adaptive Threat Detection

Intelligence uit de frontlinie,
niet uit een feed.

DEFION is de bron, niet de doorgeefluik. Onze intelligence is geworteld in eigen SOC-telemetrie, honderden DFIR-cases en 40+ gespecialiseerde dreigingsbronnen.

Geen generieke bulletinlijst. Wel: context voor jouw sector, acteerbare IoCs voor je SOC en strategische briefings voor de boardroom.

Vraag een dreigingsanalyse aan Naar Research Labs

Dreigingsdekking in cijfers

40+
Dreigingsbronnen
Intern en extern, 24/7 gemonitord
30+
Ransomware-groepen
Actief gevolgd, inclusief TTPs
34
Publicaties
Eigen onderzoek en analyses
24/7
Intelligence coverage
Geen blind spots, geen gaps
Monitorbereik

Wat wij voor je monitoren

Je hebt geen capaciteit om elke dreigingsbron zelf bij te houden. Wij doen dat voor je en leveren alleen wat relevant is voor jouw omgeving en sector.

CVEs en kwetsbaarheden

Je weet welke nieuwe CVEs actief worden misbruikt en of jouw software of hardware kwetsbaar is. Niet elke CVE is kritiek; wij filteren op exploitabiliteit in het wild.

Ransomware-groepen

Je hebt inzicht in de 30+ actieve ransomware-groepen die wij volgen: TTPs, slachtofferprofielen, losgeldstrategie en infrastructuur. Weet of jouw sector in het vizier zit.

APT-actoren

Je kent de staatsgesponsorde actoren die actief zijn in Nederland, België en Spanje. Van NOBELIUM tot APT28: wij volgen campagnes en koppelen ze aan MITRE ATT&CK-technieken.

OT en ICS-dreigingen

Je OT-omgeving is niet blind. Wij monitoren dreigingen specifiek voor industriële protocollen en ICS/SCADA-omgevingen, inclusief nieuwe malware die productieprocessen verstoort.

Darkweb en datalekken

Je weet het als jouw organisatienaam, credentials of interne data op darkweb-forums verschijnt. Wij monitoren actief op initial access brokers en dataveilingsplatforms.

Sector intelligence

Je krijgt intelligence gefilterd op jouw sector: financials, overheid, zorg, industrie of technologie. Generieke feeds leveren ruis; sector-specifieke context levert actie.

Actueel

Recente intelligence

Week 15, 2026: drie actieve dreigingen die wij momenteel monitoren en waarvoor wij detectieregels en IoCs hebben gepubliceerd.

Regelgeving KRITIEK 3 juni 2026

Cyberbeveiligingswet 1 juli 2026: 28 dagen tot de deadline, bestuurders persoonlijk aansprakelijk

De Nederlandse Cyberbeveiligingswet (implementatie van NIS2) treedt op 1 juli 2026 in werking. Meer dan 10.000 organisaties vallen onder de wetgeving met geen overgangstermijn. Bestuurders zijn persoonlijk aansprakelijk voor overtredingen. Organisaties in essentiele en belangrijke sectoren moeten aantoonbaar voldoen aan eisen op het gebied van risicobeheer, incidentrapportage en beveiliging van de toeleveringsketen. Er is geen uitloopperiode: niet-naleving per 1 juli kan direct leiden tot boetes en bestuursrechtelijke sancties. Sectoren: energie, transport, bankwezen, drinkwater, digitale infrastructuur, zorg en overheid. Actie: voer direct een NIS2 Readiness Assessment uit als u nog geen nulmeting heeft gedaan.

NIS2CyberbeveiligingswetRegelgevingNLEUComplianceBestuurlijke aansprakelijkheid
Ransomware KRITIEK 3 juni 2026

TheGentlemen ransomware: NL-slachtoffers stijgen 500%, 14.000 FortiGate-apparaten kwetsbaar

Ransomwaregroep TheGentlemen heeft in mei 2026 een stijging van 500% in Nederlandse slachtoffers laten zien. De groep exploiteert actief CVE-2024-55591 in FortiGate-apparaten en zet BYOVD-technieken in om EDR-oplossingen uit te schakelen voordat ransomware wordt gedeployeerd. Er zijn 14.000 FortiGate-apparaten in Nederland gedetecteerd die kwetsbaar zijn voor de gebruikte exploit. De aanvalsketen verloopt via infostealer-infecties (Lumma, RedLine) naar initieel toegang, waarna BYOVD-drivers meer dan 300 EDR-tools neutraliseren. Nederlandse organisaties in de productie-, logistiek- en zakelijke dienstverlening zijn specifiek gericht. Actie: controleer FortiGate-patchstatus, valideer EDR-integriteit en activeer een IR-retainer.

RansomwareTheGentlemenFortiGateBYOVDEDR bypassNLCVE-2024-55591Actief misbruikt
Supply Chain HOOG 3 juni 2026

Supply chain aanval: 3.800 GitHub-repositories gecompromitteerd, 84 npm-packages vergiftigd

Een grootschalige supply chain aanval heeft 3.800 GitHub-repositories gecompromitteerd en 84 npm-packages vergiftigd met kwaadaardige code. CISA heeft de betrokken packages opgenomen in de Known Exploited Vulnerabilities-catalogus met ransomware-koppeling. Aanvallers richten zich op ontwikkelomgevingen om via de softwaretoeleveringsketen toegang te krijgen tot productieomgevingen van eindgebruikers. De aanval is bijzonder relevant voor organisaties die werken met open-source npm-packages in hun CI/CD-pipelines. TTPs: T1195 (Supply Chain Compromise), T1554 (Compromise Client Software Binary). Actie: audit uw npm-afhankelijkheden, implementeer dependency pinning met hash-verificatie en controleer CI/CD-pipelines op onverwachte packages.

Supply ChainGitHubnpmSBOMCI/CDRansomwareCISA KEVNLEU
Kennisproductie

Research en rapporten

DEFION publiceert op twee niveaus. Technische diepte voor securityteams. Strategische context voor het management.

Technisch

  • Diepgaande CVE-analyses en exploitability scores
  • Malware-reversals en gedragsanalyses
  • KQL-detectieregels voor Microsoft Sentinel
  • Pwn2Own en conferentie-technische verslagen
  • MITRE ATT&CK-mapping per campagne
Naar Research Labs ›

Strategisch

  • Maandelijkse dreigingsrapporten voor de CISO
  • Sectoranalyses per branche en regio
  • MITRE ATT&CK-heatmaps op organisatieniveau
  • Klantbriefings bij actuele campagnes
  • Kwartaalrapport Dreigingslandschap NL/EU
Naar Research Labs ›
Doelgroepen

Voor wie is dit relevant?

Threat Intelligence is niet alleen voor SOC-analisten. Elke securityrol heeft baat bij de juiste informatie op het juiste moment.

CISO

  • Maandelijkse dreigingsbriefing voor de boardroom
  • Risico-inschatting per sector en regelgeving
  • Onderbouwing voor securityinvesteringen

SOC-analist

  • IoC-feeds direct inzetbaar in je SIEM
  • KQL-detectieregels per campagne
  • Technische diepte per dreiging en TTP

IT-directeur

  • Inzicht in kwetsbaarheden in je omgeving
  • Patchprioritering op basis van exploitabiliteit
  • Overzicht van actieve dreigingen in jouw sector

Incident Responder

  • Contextrijke IoCs en YARA-regels
  • TTP-mapping voor attributie en containment
  • Snelle sector-briefings bij actieve campagnes
Productaanbod

Intelligence-producten

Van gratis toegankelijke publicaties tot klantspecifieke dreigingsanalyses. Kies het niveau dat past bij jouw organisatie.

Voor iedereen

Vrij toegankelijk

  • Blog: technische analyses en dreigingsberichten
  • Kwartaalrapport Dreigingslandschap NL/EU
  • CVE-updates en patchadviezen
  • Research Labs publicaties
Naar Research Labs ›
Meest gekozen
Inbegrepen bij MDR

MDR-klanten

  • Wekelijkse dreigingsbriefings op maat
  • IoC-feeds direct in je SIEM of EDR
  • KQL-detectieregels per campagne
  • Directe notificatie bij kritieke dreigingen
  • MITRE ATT&CK-heatmap per kwartaal
Meer over MDR ›
Aanvraag vereist

Op maat

  • Klantspecifieke dreigingsanalyse
  • Sector-briefing voor jouw branche
  • Darkweb-scan op organisatienaam en credentials
  • Imminent Threat Exposure assessment
Neem contact op ›
Veelgestelde vragen

FAQ Threat Intelligence

Wat is Threat Intelligence en waarom heb ik het nodig?
Threat Intelligence is het systematisch verzamelen, analyseren en contextualiseren van informatie over dreigingen die relevant zijn voor jouw organisatie. Zonder TI reageer je op incidenten nadat ze al zijn. Met TI weet je welke aanvallers actief zijn in jouw sector, welke kwetsbaarheden worden misbruikt en hoe jij je hierop kunt voorbereiden. DEFION vertaalt ruwe dreigingsdata naar concrete actiepunten voor je securityteam.
Wat is het verschil tussen strategische en operationele threat intelligence?
Strategische TI is voor de CISO en het bestuur: trendanalyses, sectorrapportages en het dreigingslandschap op managementniveau. Operationele TI is voor het SOC en securityteam: IoC-feeds, KQL-detectieregels, YARA-signatures en technische analyses van specifieke malware of campagnes. DEFION levert beide lagen, afgestemd op de ontvanger.
Hoe verschilt DEFION Threat Intelligence van een commerciële feed?
Commerciele feeds aggregeren openbare bronnen en voegen weinig context toe. DEFION combineert 40+ interne en externe bronnen met eigen SOC-telemetrie, DFIR-casusdata en sectorspecifieke analyse. Onze analisten schrijven context bij elke melding: wat betekent dit voor jouw sector, welke acties zijn vereist en welke detectieregels zijn van toepassing.
Hoe snel publiceer je bij een actieve campagne of zero-day?
Bij een kritieke zero-day of actieve campagne publiceren wij doorgaans binnen 24 tot 48 uur een eerste analyse. MDR-klanten ontvangen een directe notificatie met IoCs en detectieregels. Voor complexe incidenten als supply-chain-aanvallen volgt binnen 72 uur een diepgaandere briefing. Wij prioriteren snelheid zonder accuratesse op te offeren.
Kan ik Threat Intelligence afnemen zonder MDR?
Ja. Onze gratis publicaties zijn beschikbaar voor iedereen via onze blog en kwartaalrapport. Voor organisaties die diepere intelligence willen zonder volledig MDR-abonnement bieden wij maatwerk: klantspecifieke dreigingsanalyses, sector-briefings en IoC-feeds op aanvraag. Neem contact op voor de mogelijkheden.

Vraag een dreigingsanalyse aan

Wil je weten welke dreigingen actief zijn in jouw sector en of jouw omgeving kwetsbaar is? Onze analisten maken een gerichte analyse op basis van jouw profiel.

Neem contact op Research Labs bekijken

Geen verplichtingen. Eerste analyse kosteloos voor gekwalificeerde organisaties.