Neem contact op
MDR Assume Breach

Overtuig je bestuur van assume breach: van denkwijze naar aantoonbare weerbaarheid

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman , Marketing & Portfolio Director , Nomios Nederland

8 min. leestijd
Placeholder for Firefly Gemini Flash cyber incident assume breach 982511Firefly Gemini Flash cyber incident assume breach 982511

Share

Het NCSC verwoordt het in zijn kennisartikel scherp en praktisch: volledige preventie bestaat niet, hoe volwassen je beveiligingsprogramma ook is. Assume breach is daarom geen defaitisme, maar een bestuurlijke keuze om uit te gaan van verstoring als realistisch scenario — en daar de organisatie op in te richten met detectie, impactbeperking en herstelvermogen.

Toch schuurt het vaak precies daar waar het moet landen: in de bestuurskamer. Voor sommige bestuurders klinkt assume breach als “we geven het op”, of als een uitnodiging om controle los te laten. In werkelijkheid is het het tegenovergestelde: het is een manier om controle terug te pakken, maar dan op de dimensies die er werkelijk toe doen als het misgaat — continuïteit, reputatie, wettelijke verplichtingen en financiële schade.

In dit stuk leg ik de lijn van het NCSC door naar de praktijk: hoe je het gesprek met het bestuur voert én wat er vervolgens operationeel nodig is om die keuze waar te maken. Daarbij is één conclusie onontkoombaar: assume breach is alleen geloofwaardig als je detectie- en responsevermogen meetbaar en uitvoerbaar is. Dat is precies waar Managed Detection & Response (MDR) en Network Detection & Response (NDR) samenkomen — en waar Vectra AI als NDR-partner een duidelijke rol speelt.

Assume breach is geen “minder preventie”, maar “meer regie op impact”

De kernmisvatting die het NCSC terecht adresseert, is dat assume breach zou betekenen dat preventie er niet meer toe doet. Besturen horen dan: “we verwachten dat alles misgaat” of “aanvallers hebben vrij spel”. Dat is een communicatiefail, geen inhoudelijke discussie.

Wat je feitelijk zegt, is dit: ook met stevige preventie blijven aanvallen slagen. Het verschil tussen een incident en een crisis zit dan zelden in de firewallregel of de EDR-agent, maar in drie vragen die bestuurders wél direct begrijpen:

  1. Hoe snel zien we het? (dwell time / detectiesnelheid)
  2. Hoe snel en gecontroleerd krijgen we het klein? (containment / response)
  3. Hoe voorspelbaar herstellen we kritieke processen? (continuïteit / recovery)

Die drie vragen vormen de brug tussen security en bestuur. Ze gaan niet over tools, maar over bestuurbare risico’s.

De voorbereiding: vertaal dreiging naar bestuurlijke realiteit

Het NCSC-stappenplan begint terecht bij voorbereiding. Bestuurders beslissen niet op basis van TTP’s, logbronnen of kwetsbaarhedenlijsten. Ze beslissen op basis van risicobereidheid, prioriteiten en de vraag wat “acceptabel” is als er iets misgaat.

Spreek de taal van continuïteit en aansprakelijkheid — niet van tooling

Als je boodschap luidt: “we moeten investeren in detectie en response”, dan is de reflex vaak: waarom werkt de preventie dan niet? Beter is: “verstoringen zijn onvermijdelijk; daarom richten we ons óók op tijdig ontdekken, impact beperken en herstel.” Je positioneert daarmee geen nieuw project, maar een volwassenheidsstap.

Maak scenario’s concreet en sectorherkenbaar

Het NCSC adviseert expliciet om scenario’s te gebruiken en ze met data te onderbouwen. In de praktijk werkt één goed scenario beter dan tien abstracte dreigingen. Bijvoorbeeld:

Een phishingklik is niet interessant. Interessant is dat het kan leiden tot toegang tot HR- of financiële systemen, laterale beweging, en uiteindelijk uitval van processen of datalekken — en dat dit onopgemerkt kan blijven zolang je detectie vooral op endpoints of perimeter focust.

Als je hier één sectorvoorbeeld aan koppelt (publiek bekende incidenten of interne bevindingen uit tests), maak je het gesprek ineens concreet: “dit is niet hypothetisch; dit is een realistisch verloop.”

Haak aan op bestaande doelen: NIS2, BIO2/ISO, DORA, interne KPI’s

Assume breach landt sneller als je het niet verkoopt als “extra security”, maar als versneller van doelen die al op de agenda staan:

  • aantoonbare digitale weerbaarheid (controleren, meten, verbeteren)
  • compliance en auditability (niet als vinkje, maar als bewijsvoering)
  • continuïteit en betrouwbaarheid van dienstverlening
  • voorspelbaarheid van incidentafhandeling (minder improvisatie, minder escalatie)

De implicatie is ongemakkelijk maar nuttig: als je bestuur assume breach onderschrijft, moet het ook accepteren dat dit consequenties heeft voor organisatie-inrichting, verantwoordelijkheden en budget — niet alleen voor techniek.

Placeholder for Red teamingRed teaming

Het gesprek: bestuurders helpen kiezen voor risicobereidheid

Het NCSC legt de nadruk op bewustwording en risicobereidheid. Dat is precies waar het vaak misgaat: security presenteert risico’s, maar het bestuur kiest niet expliciet. Terwijl assume breach juist vraagt om keuzes.

Zet het verhaal in drie zinnen neer

Een effectieve framing is simpel en zakelijk:

  • Realiteit: 100% preventie bestaat niet, ook niet met “best-of-breed”.
  • Aanpak: we verkorten de tijd tot detectie en beperken verspreiding en impact.
  • Effect: minder stilstand, minder reputatieschade, beter voorspelbaar herstel.

Dat is geen slogan; het is bestuurbare logica.

Maak risicobereidheid tastbaar: “welke verstoring is acceptabel?”

De beste bestuurlijke vragen zijn niet technisch, maar operationeel:

  • Welke processen mogen niet uitvallen?
  • Welke uitval is nog acceptabel — en hoe lang?
  • Welke datacategorieën zijn onacceptabel om te verliezen of te lekken?

Zodra je dit gesprek voert, verschuift de discussie van “meer beveiliging” naar “grenzen en verantwoordelijkheden”. En dan wordt ook duidelijk waarom assume breach niet kan zonder detectie en response: zonder zicht en handelingsvermogen kun je geen grenzen bewaken.

Na het gesprek: assume breach werkt alleen als het cyclisch en meetbaar is

Het NCSC is hier nuchter: dit is geen eenmalig project. Als je bestuurlijk afspreekt dat je bijvoorbeeld “aanvallers snel wilt zien” of “laterale beweging wilt beperken”, dan moet je dat vervolgens organiseren, meten en periodiek terugbrengen in de governance.

Rapporteer op effect, niet op logvolume

Besturen willen zelden weten welke detectieregel afging. Ze willen weten:

  • “Hoe effectief is ons herstelvermogen?”
  • “Hoe vaak hebben we een incident vroeg afgevangen?”
  • “Wat hebben we geleerd van bijna-incidenten?”

Daarbij passen metrics als MTTD en MTTR, maar alleen als je ze vertaalt naar bedrijfsimpact. “Van 3 uur naar 15 minuten” zegt weinig; “minder kans op uitval van kritieke processen” zegt wél iets.

Leg besluiten vast: verantwoordelijkheden en grenzen

Een onderschat onderdeel is het vastleggen van besluiten: wat accepteert het bestuur wél en niet? Wat is de maximale “dwell time” die je nog acceptabel vindt? Welke containment-acties mogen automatisch, en welke vragen expliciete besluitvorming? Hier hoort eigenaarschap bij (RASCI-achtige helderheid), anders blijft assume breach een overtuiging zonder uitvoering.

Waar MDR in beeld komt: assume breach vraagt 24/7 detectie én regie op response

Op papier is assume breach snel onderschreven. In de operatie ontstaat de echte vraag: wie ziet het, wie beoordeelt het, en wie handelt — ook om 03:00 uur, op zondag, tijdens een migratie of tijdens een crisis elders in de organisatie?

Daar raakt assume breach direct aan Managed Detection & Response:

MDR is in essentie het organiseren van continue monitoring, triage, dreigingsanalyse en gecoördineerde response als een beheerde capability — inclusief rapportage die bestuurlijk bruikbaar is. Niet als “extra tool”, maar als uitvoeringslaag onder de bestuursbeslissing: we willen aanvallen sneller zien en gecontroleerd afhandelen.

Belangrijk is dat MDR pas echt waarde levert als de onderliggende detectiesignalen rijk genoeg zijn om laterale beweging, misbruik van legitieme accounts en “low-and-slow” aanvallen te zien. En precies daar is netwerkzicht vaak de ontbrekende schakel.

Waarom NDR onmisbaar is in een assume breach-strategie

Veel organisaties hebben de afgelopen jaren zwaar ingezet op endpoint- en identiteitsbeveiliging. Terecht. Maar moderne aanvallen bewegen juist tussen systemen: lateraal, over segmenten, via remote tooling, via cloudkoppelingen, via “living off the land”.

NDR (Network Detection & Response) kijkt naar gedrag en communicatiepatronen in het netwerk en kan daardoor signalen leveren die je niet altijd uit endpoints of IAM haalt — zeker niet als:

  • een aanvaller legitieme credentials gebruikt,
  • endpoints niet overal beheerd zijn (OT, IoT, shadow IT),
  • data-exfiltratie of command-and-control plaatsvindt via paden die niet “luid” zijn op de endpointlaag.

In assume breach termen: NDR verkort de periode waarin een aanvaller zich ongestoord kan bewegen, en ondersteunt containment door sneller inzicht te geven in verspreiding en betrokken assets.

Vectra AI als NDR-laag binnen Nomios MDR: van signalen naar bestuurlijke zekerheid

De praktische uitdaging is zelden “kunnen we detecteren?”. De uitdaging is “kunnen we het tijdig duiden, prioriteren en vertalen naar actie?”. Daar ligt de kracht van een MDR-aanpak in combinatie met een NDR-platform zoals Vectra AI.

Vectra AI richt zich op netwerkgedrag en het samenbrengen van signalen tot bruikbare detecties rond aanvalspaden (bijvoorbeeld laterale beweging, privilege-misbruik, verdachte datastromen). In een MDR-context is dat waardevol om drie redenen:

Ten eerste: snellere triage en hogere signaalkwaliteit. Een SOC verdrinkt niet op een gebrek aan alerts, maar op een gebrek aan context. NDR-signalen die gedrag en relaties tussen systemen laten zien, helpen om sneller te bepalen of iets werkelijk incidentwaardig is.

Ten tweede: zicht op wat je niet volledig beheert. Veel omgevingen zijn hybride en rommelig: niet elk device is managed, niet elke workload is netjes geclassificeerd, en niet elke netwerkroute is perfect gedocumenteerd. NDR helpt om juist in die “grijze zones” afwijkend gedrag zichtbaar te maken.

Ten derde: meetbaarheid richting bestuur. Als je assume breach bestuurlijk verankert, wil je kunnen rapporteren op trends: verkorten we detectietijd, zien we minder laterale verspreiding, verbeteren we containment? De combinatie van MDR-processen en NDR-telemetrie maakt dit aantoonbaar, mits je het goed inricht.

De nuance: NDR is geen zilveren kogel. Het vervangt geen identity controls, segmentatie of endpoint hardening. Het is een detectie- en responseversneller die vooral waarde heeft als je er operationeel iets mee dóét — en dat vraagt discipline in processen, playbooks en escalatielijnen.

De bestuurlijke vertaling die werkt: stuur op “tijd”, “impact” en “herstel”

Als je één rode draad uit het NCSC-artikel wilt pakken en doorvertalen naar een MDR/NDR-aanpak, dan is het deze: maak het cyclisch, meetbaar en relevant voor de bedrijfsvoering.

In de praktijk betekent dat dat je periodiek (bijvoorbeeld per kwartaal) terugkomt met een compact verhaal langs drie assen:

  • Tijd: hoe snel zien we afwijkingen die op echte aanvallen wijzen, en hoe ontwikkelt dat zich?
  • Impact: hoeveel incidenten hebben we klein gehouden voordat processen geraakt werden?
  • Herstel: hoe voorspelbaar en getest is onze recovery voor de kritieke ketens?

Daar kun je technische metrics onder hangen (MTTD/MTTR, dwell time, tijd tot containment), maar de bestuurswaarde zit in de duiding: wat betekent het voor continuïteit, meldplichten, reputatie en geld?

Slot: assume breach is een bestuurlijke keuze — en een operationele verplichting

Het NCSC geeft een bruikbaar stappenplan om bestuurders mee te krijgen. De kern blijft: assume breach is pas geloofwaardig als het bestuur niet alleen het uitgangspunt onderschrijft, maar ook accepteert dat dit vraagt om structurele inrichting van detectie, response en herstel.

Nomios MDR is in dat licht geen “dienst” naast je securityprogramma, maar een manier om de bestuurlijke keuze operationaliseerbaar te maken: 24/7 signalen kunnen verwerken, incidenten gecontroleerd afhandelen en hierover bestuurlijk bruikbaar rapporteren. Vectra AI’s NDR-capaciteit past daar logisch onder als netwerklaag die zicht geeft op aanvalsgedrag en laterale beweging — precies de fases waarin assume breach zijn waarde bewijst.

De scherpste check blijft eenvoudig: als het bestuur vandaag zegt “we nemen assume breach als uitgangspunt”, kun je dan morgen aantonen hoe snel je een binnengedrongen aanvaller ziet, hoe je verspreiding begrenst, en hoe je kritieke processen gecontroleerd herstelt? Als het antwoord daarop nog te veel “hangt ervan af” is, dan is assume breach nog geen strategie — maar een intentie.

Kom in contact met onze experts

Ons team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Artikelen

Meer updates

Placeholder for Firefly Gemini Flash Bittergarnituur schaal met snacks kaas en kleine blauwe vlaggetjes in de snacks met 594841Firefly Gemini Flash Bittergarnituur schaal met snacks kaas en kleine blauwe vlaggetjes in de snacks met 594841
HPE

Mist AI

De bitterbal als bewijs dat netwerken intelligenter zijn geworden

Wat begon als een luchtige interne grap, groeide uit tot een illustratief voorbeeld van hoe moderne netwerkinfrastructuur meer kan zijn dan connectiviteit alleen.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

3 min. leestijd
Placeholder for Daily impact of PQC on cybersecurityDaily impact of PQC on cybersecurity

Quantum Security Cryptography

Post-quantum cryptografie en de impact op je dagelijkse security

Post-quantum cryptografie begint door te werken in dagelijkse security. Lees waar PQC de TLS-handshake verandert, en wat er verschuift in messaging, e-mail, certificaten en identity. Inclusief wat dit betekent voor compatibiliteit, performance en migratieplanning.

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot

6 min. leestijd
Placeholder for Identity securityIdentity security

Identity management

Identity security in een veranderend IT-landschap

Identiteit was lange tijd het verwaarloosde onderdeel van IT-security. Gebruikersaccounts, groepen en machtigingen waren noodzakelijk om systemen draaiende te houden, maar vormden zelden het onderwerp van strategische security-beslissingen.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

2 min. leestijd
 Alle artikelen