Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

True negative

Concepten

Niets doen zolang een digitaal systeem normaal werkt.

Een true negative is een resultaat waarbij een beveiligingssysteem correct vaststelt dat een activiteit, bestand of netwerkverbinding geen bedreiging vormt. Het systeem genereert terecht geen alarm omdat er daadwerkelijk niets aan de hand is. In cybersecurity is dit het gewenste standaardresultaat: legitiem verkeer wordt als veilig beoordeeld en kan ongehinderd doorgaan zonder onnodige alerts of blokkades die de bedrijfsvoering verstoren en het security-team belasten.

Het concept komt voort uit de statistiek en classificatietheorie, waar het deel uitmaakt van de zogeheten confusion matrix. Deze matrix beschrijft vier mogelijke uitkomsten van een detectiesysteem: true positive (terecht alarm bij een echte dreiging), false positive (vals alarm bij een veilige activiteit), false negative (gemiste dreiging die niet wordt gedetecteerd) en true negative (terecht geen alarm bij veilige activiteit). Voor security-teams is het cruciaal om deze vier categorieen te begrijpen, omdat ze direct invloed hebben op de effectiviteit en betrouwbaarheid van detectiesystemen zoals intrusion detection systems, antivirussoftware en SIEM-platforms die dagelijks miljoenen events verwerken.

Een goed functionerend beveiligingssysteem produceert overwegend true positives en true negatives. Het percentage true negatives ten opzichte van het totaal aantal veilige events bepaalt de specificiteit van het systeem. Hoe hoger de specificiteit, hoe beter het systeem onderscheid maakt tussen normaal en afwijkend gedrag, en hoe minder false positives er worden gegenereerd die het security-team onnodig belasten.

Waarom is een true negative belangrijk?

Een hoog percentage true negatives betekent dat je beveiligingssysteem goed gekalibreerd is en normaal netwerkverkeer, reguliere gebruikersactiviteiten en legitieme bestanden correct als onschadelijk herkent. Dit is essentieel om alert fatigue te voorkomen, een fenomeen waarbij security-analisten overspoeld raken met valse meldingen en daardoor minder aandachtig worden. Onderzoek toont aan dat SOC-teams die dagelijks honderden false positives verwerken uiteindelijk echte dreigingen gaan missen omdat ze gewend raken aan het afwijzen van alerts.

Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is de kwaliteit van detectiesystemen een compliance-vereiste. Een systeem dat betrouwbaar true negatives produceert, stelt je SOC-team in staat zich te concentreren op daadwerkelijke bedreigingen in plaats van elk alarm handmatig te moeten onderzoeken. Dit verlaagt operationele kosten en verbetert de gemiddelde responstijd bij echte incidenten aanzienlijk, wat direct bijdraagt aan de algehele beveiligingshouding van de organisatie.

De verhouding tussen true negatives en false positives bepaalt de specificiteit van een detectiesysteem. Bij het kiezen van een SIEM-oplossing of endpoint detection and response platform is specificiteit een van de belangrijkste selectiecriteria naast sensitiviteit. Een systeem met lage specificiteit genereert zoveel ruis dat het effectief onbruikbaar wordt voor operationele security monitoring en de investering niet rechtvaardigt.

Hoe pas je true negative toe?

Het optimaliseren van true negatives begint bij het correct configureren en tunen van je detectiesystemen. Een standaardinstallatie van een IDS of SIEM genereert vrijwel altijd te veel false positives, omdat de detectieregels te breed zijn afgesteld voor een generieke omgeving die niet overeenkomt met jouw specifieke netwerk. Door baselines vast te stellen voor normaal netwerkverkeer en gebruikersgedrag in jouw specifieke omgeving, leert het systeem wat als veilig beschouwd mag worden en wat afwijkend is.

Machine learning-modellen in moderne beveiligingsoplossingen verbeteren de classificatienauwkeurigheid door continu te leren van geverifieerde resultaten. Wanneer een analist een alert als false positive markeert, gebruikt het systeem deze feedback om toekomstige vergelijkbare events als true negative te classificeren. Dit proces van supervised learning vereist een initiele investering in tijd en analytische capaciteit, maar levert op termijn een aanzienlijk effectiever detectiesysteem op dat steeds beter wordt afgestemd op jouw omgeving.

Praktisch implementeer je dit door: allowlisting van bekende veilige processen en applicaties in je detectiesysteem, het verfijnen van detectieregels op basis van je specifieke netwerktopologie en applicatielandschap, het instellen van risk scoring waarbij events pas een alert genereren boven een bepaalde risicodrempel, en regelmatige evaluatie van de confusion matrix van je detectiesystemen. Documenteer welke baseline als normaal gedrag geldt, want zonder heldere baseline kun je niet bepalen of een resultaat een true negative of een false negative is.

Werk samen met je IT-team om netwerk- en gebruikersgedragsprofielen vast te stellen en deze periodiek te herzien als de organisatie verandert. Nieuwe applicaties, veranderde werkpatronen zoals hybride werken, en netwerkaanpassingen vereisen een update van de baseline om de kwaliteit van true negative classificaties te behouden en te voorkomen dat veranderd maar legitiem gedrag onterecht als verdacht wordt aangemerkt.

True negative in de praktijk

Stel dat een middelgroot accountantskantoor een firewall en IDS heeft geinstalleerd. Dagelijks verwerkt het kantoor duizenden e-mails, bestandsoverdrachten en webverzoeken. Het IDS analyseert al dit verkeer en classificeert het overgrote deel correct als veilig: medewerkers die inloggen op het boekhoudpakket, klanten die documenten uploaden via het beveiligde portaal, reguliere updates van softwareleveranciers en interne communicatie via het bedrijfsnetwerk.

Elk van deze correcte beoordelingen is een true negative. Zonder goed functionerende true negative classificatie zou het kantoor dagelijks tientallen tot honderden false alerts moeten onderzoeken. Met slechts twee IT-medewerkers is dat onhaalbaar, waardoor het risico ontstaat dat ze alerts gaan negeren en een echte aanval missen. Dit is precies het fenomeen van alert fatigue dat organisaties kwetsbaar maakt voor gerichte aanvallen.

Een concreet voorbeeld: het IDS detecteert verkeer naar een extern IP-adres op poort 443 buiten kantooruren. In een slecht geconfigureerd systeem zou dit een alert kunnen genereren omdat het lijkt op mogelijke data-exfiltratie. Een goed getuned systeem herkent dat dit IP-adres toebehoort aan de cloudprovider van het boekhoudpakket en dat de geplande nachtelijke backup elke nacht op dit tijdstip draait. Het classificeert het verkeer terecht als true negative en de analist hoeft niet in actie te komen.

Het kantoor voert elk kwartaal een evaluatie uit van de confusion matrix van hun IDS. Ze meten het percentage true negatives, false positives en de kritieke false negatives. Op basis hiervan verfijnen ze detectieregels en breiden ze de allowlist uit voor nieuwe applicaties en diensten die het kantoor is gaan gebruiken sinds de vorige evaluatieronde.

Veelgestelde vragen over true negative

Wat is het verschil tussen een true negative en een false negative?

Een true negative is een correcte beoordeling dat er geen dreiging is. Een false negative is een fout waarbij het systeem een echte dreiging mist en ten onrechte als veilig beoordeelt. False negatives zijn het gevaarlijkst omdat ze onopgemerkte aanvallen mogelijk maken die langdurig schade aanrichten.

Hoe meet je het percentage true negatives?

Het percentage true negatives bereken je met de specificiteitsformule: TN gedeeld door (TN plus FP). Een specificiteit van 99% betekent dat van alle veilige events 99% correct als veilig wordt geclassificeerd en slechts 1% onterecht als dreiging wordt aangemerkt door het systeem.

Kan een systeem te veel true negatives hebben?

Een extreem hoog percentage true negatives kan wijzen op een te laks geconfigureerd systeem dat daadwerkelijke dreigingen mist als false negatives. Het doel is een balans waarbij zowel de specificiteit als de sensitiviteit hoog zijn, zodat zowel veilig verkeer als echte dreigingen correct worden geclassificeerd.

Welke tools helpen bij het optimaliseren van true negatives?

SIEM-platforms met machine learning, UEBA-oplossingen voor User and Entity Behavior Analytics en goed geconfigureerde IDS/IPS-systemen helpen bij het optimaliseren. Regelmatige tuning en gestructureerde feedback van analisten zijn daarbij essentieel voor continue verbetering van detectiekwaliteit.

Waarom is true negative relevant voor compliance?

Regelgeving zoals NIS2 en ISO 27001 vereist dat detectiesystemen effectief functioneren. Een hoog percentage true negatives toont aan dat je systeem betrouwbaar onderscheid maakt tussen normaal en afwijkend gedrag, wat auditors als positief beoordelen bij compliance-audits en certificeringstrajecten.

Optimaliseer je detectiesystemen. Vergelijk SIEM oplossingen op IBgidsNL.