Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

False negative

Concepten

De situatie dat een beveiligingssysteem iets hoort te zien en het niet opmerkt terwijl het wel gebeurt.

Een false negative in cybersecurity treedt op wanneer een beveiligingssysteem een werkelijke dreiging niet detecteert en deze ongehinderd doorlaat. Het is vergelijkbaar met een medische test die een ziekte mist: je krijgt een schijnbaar schone bill of health terwijl er wel degelijk een probleem is. In de context van cybersecurity kan een false negative betekenen dat een intrusion detection system een actieve aanval niet opmerkt, dat een antivirusscanner malware over het hoofd ziet of dat een spamfilter een phishingmail doorlaat naar de inbox van een medewerker.

False negatives staan tegenover false positives, waarbij een beveiligingssysteem onterecht alarm slaat bij legitiem verkeer of gedrag. Waar false positives leiden tot alertmoeheid en onnodige werkdruk voor het securityteam, zijn false negatives fundamenteel gevaarlijker: een gemiste dreiging kan zich ongestoord door het netwerk verspreiden, data exfiltreren of systemen compromitteren zonder dat iemand het merkt. De balans tussen het minimaliseren van false positives en false negatives is een van de kernuitdagingen bij het configureren van beveiligingssystemen.

Waarom is false negative belangrijk?

False negatives zijn de blinde vlekken in je verdediging. Elke gemiste detectie geeft een aanvaller de ruimte om ongemerkt te opereren binnen je netwerk. Uit onderzoek blijkt dat de gemiddelde dwell time, de periode tussen compromittatie en detectie, bij veel organisaties nog altijd weken tot maanden bedraagt. Gedurende die tijd kan een aanvaller lateraal bewegen, rechten escaleren, data verzamelen en persistente toegang vestigen. Hoe langer een false negative onopgemerkt blijft, hoe groter de potentiele schade.

Voor organisaties die een SOC of managed detection and response dienst inzetten, zijn false negatives een directe maat voor de effectiviteit van hun detectiecapaciteiten. Een SOC dat weinig false positives genereert maar veel false negatives produceert, geeft een misleidend beeld van veiligheid. De organisatie waant zich beschermd terwijl dreigingen ongemerkt passeren. Dit vals gevoel van zekerheid is in veel opzichten gevaarlijker dan het helemaal niet hebben van detectiesystemen, omdat het leidt tot onderschatting van risico's en onderinvestering in aanvullende beveiligingsmaatregelen.

De opkomst van geavanceerde dreigingen vergroot het false negative risico. Advanced Persistent Threats (APT's) gebruiken technieken die specifiek zijn ontworpen om detectiesystemen te omzeilen. Ze versleutelen hun communicatie, bootsen legitiem netwerkverkeer na en verspreiden hun activiteiten over lange perioden om onder de detectiedrempels te blijven. Tegen deze dreigingen zijn traditionele signature-based detectiemethoden bijzonder kwetsbaar voor false negatives, omdat er simpelweg geen bekende signature bestaat voor een volledig nieuwe aanvalstechniek.

Hoe pas je false negative toe?

Het minimaliseren van false negatives begint bij het combineren van meerdere detectiemethoden. Vertrouw niet uitsluitend op signature-based detectie, maar combineer dit met anomaliedetectie, gedragsanalyse en heuristiek. Signature-based systemen detecteren bekende dreigingen met hoge precisie, terwijl anomaliedetectie afwijkingen van normaal gedrag signaleert, ook als de specifieke dreiging nog niet bekend is. De combinatie dekt een breder spectrum van dreigingen dan elke methode afzonderlijk.

Houd je detectieregels en signatures actueel. Verouderde signatures zijn een veelvoorkomende oorzaak van false negatives. Zorg voor automatische updates van je antivirus-definities, IDS-regels en threat intelligence feeds. Evalueer regelmatig of je detectieregels nog relevant zijn en voeg nieuwe regels toe op basis van actuele dreigingsinformatie van bronnen zoals het NCSC en commerciele threat intelligence providers.

Implementeer threat hunting als proactieve aanvulling op geautomatiseerde detectie. Bij threat hunting zoeken ervaren security-analisten actief naar indicatoren van compromittatie in je netwerk, logbestanden en endpoints. Ze gebruiken hypotheses gebaseerd op actuele dreigingsintelligentie en zoeken naar patronen die geautomatiseerde systemen mogelijk missen. Threat hunting is specifiek effectief tegen geavanceerde dreigingen die zijn ontworpen om detectiesystemen te omzeilen en false negatives te veroorzaken.

Test je detectiecapaciteiten regelmatig door red team oefeningen uit te voeren. Een red team simuleert realistische aanvallen om te toetsen of je beveiligingssystemen deze detecteren. Elke aanval die het red team succesvol uitvoert zonder gedetecteerd te worden, is een false negative die je kunt analyseren en verhelpen. Purple teaming, waarbij red en blue team samenwerken, is bijzonder waardevol om detectielacunes systematisch te identificeren en te dichten.

False negative in de praktijk

Een organisatie heeft een SIEM-systeem ingericht met honderden detectieregels. Het systeem genereert dagelijks alerts die het SOC-team afhandelt. Na een routine penetratietest ontdekt het red team dat zij via een minder gangbare aanvalstechniek, het misbruiken van een legitieme remote management tool die al op werkstations was geinstalleerd, ongemerkt door het netwerk konden bewegen. Het SIEM had geen regels voor dit specifieke misbruikscenario, waardoor de activiteiten een false negative opleverden.

Het SOC-team analyseert de lacune en ontdekt dat de SIEM-regels primair waren gericht op bekende malware-signatures en netwerkanomalieën, maar geen detectie bevatten voor het misbruik van legitieme beheertools (een techniek bekend als living off the land). Ze voegen nieuwe detectieregels toe die afwijkend gebruik van deze tools signaleren, implementeren aanvullende gedragsanalyse en plannen structurele red team oefeningen om soortgelijke blinde vlekken proactief te ontdekken.

Dit voorbeeld toont een belangrijk inzicht: false negatives worden pas zichtbaar wanneer je actief naar ze zoekt. Zonder de penetratietest had de organisatie niet geweten dat haar SIEM deze aanvalstechniek miste. Een proactieve aanpak waarbij detectiecapaciteiten regelmatig worden getest en verbeterd, is essentieel om het aantal false negatives te reduceren en de werkelijke beveiligingspositie van de organisatie te kennen in plaats van een rooskleurig beeld te koesteren.

Veelgestelde vragen over false negative

Wat is erger: een false positive of een false negative?

In cybersecurity is een false negative doorgaans ernstiger. Een false positive veroorzaakt onnodige werkdruk, maar een false negative betekent dat een werkelijke dreiging wordt gemist. De ideale balans hangt af van het risicoprofiel: bij hoog-risico omgevingen accepteer je liever meer false positives dan dat je een echte aanval mist.

Hoe meet je het aantal false negatives?

False negatives zijn per definitie moeilijk te meten omdat je niet weet wat je mist. Gebruik red team oefeningen, penetratietesten en threat hunting om gemiste dreigingen op te sporen. Vergelijk detectieresultaten van meerdere onafhankelijke systemen om lacunes te identificeren.

Welke systemen zijn het meest vatbaar voor false negatives?

Signature-based systemen zijn het meest kwetsbaar voor false negatives bij nieuwe, onbekende dreigingen. Anomaliedetectiesystemen missen minder snel nieuwe aanvallen, maar produceren meer false positives. een geschikte bescherming combineert beide methoden voor een zo breed mogelijke dekking.

Kan AI false negatives verminderen?

Ja. Machine learning modellen kunnen subtiele patronen herkennen die traditionele regels missen, waardoor minder dreigingen ongemerkt blijven. AI-gebaseerde detectie is bijzonder effectief tegen zero-day aanvallen en geavanceerde dreigingen. De technologie vermindert false negatives maar elimineert ze niet volledig.

Hoe verhoudt een false negative zich tot dwell time?

Een false negative is het moment waarop een dreiging wordt gemist. Dwell time is de periode die volgt: de tijd tussen compromittatie en uiteindelijke detectie. Elke false negative initieert een periode van dwell time die voortduurt totdat de dreiging alsnog wordt ontdekt via een ander mechanisme.

Minimaliseer blinde vlekken in je detectie. Vergelijk Security Monitoring aanbieders op IBgidsNL.