Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Intrusion

Aanvallen

In een informatiesysteem of computernetwerk gaan, terwijl men daar geen toestemming voor heeft.

Een intrusion (netwerkinbraak) is een ongeautoriseerde toegang tot een netwerk, systeem of applicatie door een aanvaller die beveiligingsmaatregelen omzeilt. Het doel van een intrusion varieert van datadiefstal en spionage tot sabotage en het plaatsen van achterdeuren voor toekomstige toegang. Intrusions vormen een van de ernstigste beveiligingsincidenten omdat ze betekenen dat een aanvaller je verdedigingslinies heeft doorbroken en actief aanwezig is in je omgeving. Zodra een aanvaller binnen is, kan deze lateraal bewegen door het netwerk, privileges escaleren naar hogere toegangsniveaus en gegevens exfiltreren zonder dat je het direct merkt.

Intrusions worden gedetecteerd en voorkomen door Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS). Volgens Juniper Networks zijn IDS en IPS essentiële beveiligingstechnologieën die samenwerken om kwaadaardige activiteiten in netwerken te detecteren en te blokkeren. Een IDS monitort passief en genereert alerts bij verdacht verkeer, terwijl een IPS inline opereert en kwaadaardig verkeer actief kan blokkeren voordat het het doelwit bereikt. Samen vormen ze een kritieke laag in de verdediging tegen cyberaanvallen van zowel geautomatiseerde als gerichte aard.

Hoe werkt een intrusion?

Een intrusion volgt doorgaans meerdere fasen, vergelijkbaar met de cyber kill chain die door Lockheed Martin is ontwikkeld. Het begint met verkenning (reconnaissance), waarbij de aanvaller informatie verzamelt over het doelwit: openbare IP-adressen, draaiende services, gebruikte software en versies, en potentiele kwetsbaarheden. Hiervoor worden tools als Nmap, Shodan en OSINT-technieken ingezet om een zo compleet mogelijk beeld te krijgen van het aanvalsoppervlak.

Na de verkenningsfase volgt de daadwerkelijke inbraak (exploitation). De aanvaller maakt gebruik van een kwetsbaarheid in software, een zwak of hergebruikt wachtwoord, een phishing-aanval gericht op medewerkers of geavanceerde social engineering om initiële toegang te verkrijgen tot een systeem. Eenmaal binnen probeert de aanvaller zijn rechten te verhogen (privilege escalation) door lokale kwetsbaarheden te exploiteren en zich lateraal door het netwerk te bewegen om waardevolle systemen en data te bereiken.

De aanvaller installeert vaak persistentiemechanismen zoals backdoors, rootkits of gemanipuleerde geplande taken om toegang te behouden, zelfs als het oorspronkelijke toegangspunt wordt gedicht of het initiële account wordt geblokkeerd. Command-and-control (C2) communicatie wordt opgezet om instructies te ontvangen van de aanvaller en data te exfiltreren. Geavanceerde aanvallers verbergen hun activiteiten door logs te manipuleren of te wissen, versleutelde communicatiekanalen te gebruiken die opgaan in normaal verkeer en legitieme tools als PowerShell en WMI in te zetten voor hun doeleinden, wat detectie aanzienlijk bemoeilijkt.

Hoe herken je een intrusion?

Intrusion detection is gebaseerd op twee hoofdmethoden: signature-based detectie en anomaly-based detectie. Signature-based systemen vergelijken netwerkverkeer met een database van bekende aanvalspatronen en malware-signatures. Dit werkt goed tegen bekende aanvallen, maar mist nieuwe of aangepaste technieken waarvoor nog geen signature bestaat. Anomaly-based detectie bouwt een model van normaal gedrag op basis van historische data en genereert alerts bij significante afwijkingen, wat ook onbekende aanvallen kan vangen maar meer false positives kan opleveren die geanalyseerd moeten worden.

Signalen van een intrusion zijn onder andere ongebruikelijke login-patronen (inlogpogingen op ongebruikelijke tijden, vanaf onbekende locaties of met onbekende apparaten), onverklaarbare netwerkactiviteit naar externe bestemmingen, nieuwe gebruikersaccounts die niemand heeft aangemaakt, onverwachte configuratiewijzigingen in systemen en grote hoeveelheden data die naar externe bestemmingen worden verzonden op ongebruikelijke momenten. Een SIEM-systeem correleert events uit meerdere bronnen en maakt het mogelijk om deze individuele signalen in samenhang te analyseren en verdachte patronen te identificeren.

Geavanceerde dreigingsdetectie combineert IDS/IPS met endpoint detection and response (EDR), network traffic analysis (NTA) en threat intelligence feeds voor een compleet beeld. Machine learning-modellen herkennen subtiele patronen in grote hoeveelheden data die menselijke analisten zouden missen vanwege het volume. Threat hunting, het proactief zoeken naar indicatoren van compromittering in je omgeving, is een aanvullende methode die ervan uitgaat dat een aanvaller mogelijk al binnen is en actief zoekt naar sporen die geautomatiseerde systemen hebben gemist.

Hoe bescherm je je tegen intrusions?

Een gelaagde verdediging (defense in depth) is essentieel voor effectieve bescherming tegen intrusions. Plaats een firewall als eerste verdedigingslinie op de netwerkgrens, gecombineerd met een IDS/IPS die netwerkverkeer analyseert op kwaadaardige patronen en bekende aanvalssignatures. Implementeer netwerksegmentatie zodat een inbraak in een segment niet automatisch toegang geeft tot het hele netwerk en gevoelige systemen geisoleerd zijn van het algemene gebruikersnetwerk.

Op endpoints draai je moderne antivirussoftware met gedragsdetectie en EDR-functionaliteit die verdachte processen, bestandswijzigingen en netwerkverbindingen monitort. Zorg voor een robuust patchmanagement-proces dat kwetsbaarheden snel verhelpt en voorkom dat verouderde software een eenvoudig toegangspunt biedt. Implementeer uitgebreide logging en monitoring op alle kritieke systemen en zorg dat logs centraal worden verzameld in een SIEM voor correlatie, analyse en langetermijnopslag ten behoeve van forensisch onderzoek.

Bereid je voor op het moment dat preventie faalt, want geen enkele verdediging is waterdicht. Stel een incident response-plan op dat specifiek ingaat op intrusion-scenario's met duidelijke rollen, verantwoordelijkheden en escalatiepaden. Oefen dit plan regelmatig met tabletop-oefeningen en red team-simulaties die realistische aanvalsscenario's nabootsen. Zorg dat je forensische capaciteit hebt om bij een daadwerkelijke intrusion de omvang vast te stellen, de aanvalsvector te identificeren en het lek volledig te dichten voordat je aan herstel begint.

Veelgestelde vragen over intrusions

Wat is het verschil tussen een IDS en een IPS?

Een IDS (Intrusion Detection System) monitort passief en genereert waarschuwingen bij verdacht verkeer. Een IPS (Intrusion Prevention System) opereert inline en kan kwaadaardig verkeer actief blokkeren. IDS detecteert, IPS detecteert en handelt. Vaak worden beide gecombineerd in een IDPS-oplossing voor complete bescherming.

Hoe lang duurt het gemiddeld om een intrusion te detecteren?

De gemiddelde detectietijd (dwell time) varieert sterk per organisatie. Organisaties met geavanceerde monitoring en een dedicated SOC detecteren intrusions vaak binnen dagen. Zonder adequate monitoring kan een aanvaller maanden ongemerkt actief zijn. Proactieve threat hunting verkort de detectietijd aanzienlijk.

Wat is het verschil tussen een intrusion en een datalek?

Een intrusion is de ongeautoriseerde toegang tot een systeem of netwerk. Een datalek is het gevolg wanneer bij die toegang persoonsgegevens of vertrouwelijke data worden blootgesteld of gestolen. Niet elke intrusion leidt tot een datalek, maar elk datalek begint met een vorm van ongeautoriseerde toegang.

Kan een intrusion volledig worden voorkomen?

Volledige preventie is niet realistisch bij een vastberaden aanvaller met voldoende middelen en tijd. Daarom richt moderne beveiliging zich op het combineren van preventie met snelle detectie en effectieve respons: voorkom wat je kunt, detecteer wat je mist en beperk de impact van wat doorkomt.

Wat doe je als eerste bij een ontdekte intrusion?

Isoleer het getroffen systeem van het netwerk om verdere verspreiding te voorkomen. Bewaar alle logs en forensisch bewijs ongewijzigd. Activeer je incident response-plan en betrek gespecialiseerde ondersteuning. Begin pas met herstel nadat de omvang en het toegangspunt volledig zijn vastgesteld en gedicht.

Bescherm je netwerk tegen inbraken. Vind de juiste aanbieder via Intrusion Detection & Prevention (IDS/IPS) op IBgidsNL.