Unknown unknown
ConceptenOnbekend en onkenbaar risico. Een risico dat pas ontdekt wordt wanneer het zich voor de eerst tijdens een incident toont.
Een unknown unknown is een risico of dreiging waarvan je niet weet dat het bestaat en waarvan je evenmin weet dat je het niet weet. Het concept werd breed bekend door de uitspraak van voormalig Amerikaans minister van Defensie Donald Rumsfeld in 2002, maar heeft zijn oorsprong in psychologisch onderzoek naar bewustzijn en kennisgrenzen. In cybersecurity vertegenwoordigen unknown unknowns de gevaarlijkste categorie dreigingen, omdat je er per definitie niet op kunt anticiperen met conventionele beveiligingsmaatregelen.
Het Rumsfeld-model onderscheidt vier categorieen. Known knowns zijn risico's die je kent en begrijpt, zoals bekende malware-varianten. Known unknowns zijn risico's waarvan je weet dat ze bestaan maar die je nog niet volledig begrijpt, zoals de impact van een toekomstige zero-day. Unknown knowns zijn zaken die je eigenlijk weet maar over het hoofd ziet, zoals vergeten systemen in je netwerk. Unknown unknowns zijn de categorie die geen enkel risicomodel kan voorspellen, de dreigingen die pas zichtbaar worden nadat ze zich manifesteren.
Waarom is unknown unknown belangrijk?
Unknown unknowns vormen de basis van de meest verwoestende cyberaanvallen in de geschiedenis. De SolarWinds supply chain aanval in 2020 was voor vrijwel alle getroffen organisaties een unknown unknown. Niemand had voorzien dat een vertrouwde softwareleverancier ongemerkt zou worden gecompromitteerd en dat een routine software-update als aanvalsvector zou dienen. De impact was enorm: duizenden organisaties wereldwijd werden getroffen, waaronder overheidsinstanties en Fortune 500-bedrijven.
Het Cybersecuritybeeld Nederland van het NCSC beschrijft het dreigingslandschap als steeds diverser en onvoorspelbaarder. Juist die onvoorspelbaarheid maakt unknown unknowns tot een centraal thema in moderne cybersecurity. Traditionele risicomanagement-methoden werken met bekende dreigingen en kwetsbaarheden, maar schieten tekort bij risico's die nog niet zijn geidentificeerd of zelfs maar voorgesteld.
Nassim Nicholas Taleb introduceerde het concept van de black swan, dat nauw verwant is aan unknown unknowns. Een black swan heeft drie kenmerken: het is onvoorspelbaar voor de waarnemer, er is geen precedent en de impact is enorm. In cybersecurity manifesteren black swans zich als volledig nieuwe aanvalstechnieken, onverwachte combinaties van kwetsbaarheden of geopolitieke verschuivingen die het dreigingslandschap fundamenteel veranderen. De opkomst van AI-gestuurde aanvallen is een actueel voorbeeld van een dreigingscategorie die vijf jaar geleden nog grotendeels een unknown unknown was en nu een reeel risico vormt voor elke organisatie.
Hoe pas je unknown unknown toe?
Hoewel je unknown unknowns per definitie niet kunt voorspellen, kun je wel een organisatie bouwen die veerkrachtig genoeg is om ze op te vangen. Dit begint bij het adopteren van een zero trust architectuur, waarbij je geen enkel netwerkverkeer of geen enkele gebruiker standaard vertrouwt. Door microsegmentatie, continue verificatie en least privilege toe te passen, beperk je de blast radius van elke onvoorziene aanval, ongeacht de aard ervan.
Investeer in detectiecapaciteiten die anomalieen herkennen in plaats van alleen bekende signatures. Machine learning-gebaseerde detectie in je SIEM-omgeving kan afwijkend gedrag identificeren dat niet past bij bekende aanvalspatronen. Dit is effectiever tegen unknown unknowns dan signature-based detectie, die alleen werkt voor bekende dreigingen. Combineer dit met threat hunting, waarbij security-analisten proactief zoeken naar indicatoren van compromittatie zonder vooraf te weten wat ze precies zoeken.
Scenario-planning en tabletop exercises helpen je organisatie om te oefenen met het onverwachte. Stel scenario's op die bewust buiten de gebaande paden gaan. Wat als je cloudprovider wordt gecompromitteerd? Wat als een vertrouwde medewerker een insider threat blijkt? Wat als een nieuwe aanvalstechniek je volledige detectie-stack omzeilt? Door deze oefeningen ontwikkel je de mentale flexibiliteit en operationele procedures die nodig zijn wanneer een werkelijke unknown unknown zich voordoet.
Bouw daarnaast aan diversiteit in je verdediging. Gebruik meerdere, onafhankelijke beveiligingslagen van verschillende leveranciers. Als een unknown unknown een specifiek product of technologie omzeilt, vangen andere lagen de aanval alsnog op. Dit principe van defense in depth is specifiek waardevol tegen onbekende dreigingen, omdat het voorkomt dat een enkele kwetsbaarheid je volledige verdediging uitschakelt.
Unknown unknown in de praktijk
Een financiele instelling heeft een robuust cybersecurityprogramma met firewalls, endpoint detection, netwerksegmentatie en een 24/7 SOC. Alle bekende dreigingen worden effectief gedetecteerd en geblokkeerd. Op een dag ontdekt het SOC-team onverklaarbaar netwerkverkeer naar een onbekend IP-adres. Het verkeer gebruikt een legitiem protocol en wordt gegenereerd door een vertrouwde applicatie. Conventionele detectieregels slaan niet aan.
Door threat hunting en anomaliedetectie komt het team erachter dat een supply chain aanval via een softwareleverancier heeft plaatsgevonden. De aanvallers hadden een backdoor ingebouwd in een routine-update die maanden eerder was geinstalleerd. Dit was een klassiek unknown unknown: de organisatie had geen reden om deze specifieke leverancier te wantrouwen en de aanvalsvector was niet beschreven in enig dreigingsmodel dat de organisatie hanteerde.
De organisatie kon de schade beperken dankzij microsegmentatie (de aanvallers hadden geen laterale bewegingsvrijheid), uitgebreide logging (forensisch onderzoek was mogelijk) en een geoefend incident response team (dat wist hoe te handelen bij onverwachte scenario's). De les is helder: je kunt unknown unknowns niet voorkomen, maar je kunt wel de weerbaarheid bouwen om ze te overleven. De combinatie van technische maatregelen, goed getraind personeel en een cultuur van voortdurende alertheid maakt het verschil tussen een catastrofe en een beheersbaar incident wanneer het onverwachte werkelijkheid wordt.
Veelgestelde vragen over unknown unknown
Wat is het verschil tussen een unknown unknown en een zero-day?
Een zero-day is een bekende categorie dreiging (softwarekwetsbaarheid) waarvan het specifieke exemplaar nog niet bekend is. Een unknown unknown is breder: het kan een volledig nieuwe aanvalscategorie zijn die niemand heeft voorzien. Elke zero-day begint als unknown unknown, maar niet elke unknown unknown is een zero-day.
Hoe bereid je je voor op iets dat je niet kent?
Focus op veerkracht in plaats van preventie. Implementeer defense in depth, zero trust, anomaliedetectie en robuuste incident response processen. Oefen met onverwachte scenario's via tabletop exercises. Het doel is niet om unknown unknowns te voorspellen, maar om elke dreiging snel te detecteren en te beheersen.
Wat is de relatie tussen unknown unknowns en de Rumsfeld-matrix?
De Rumsfeld-matrix categoriseert kennis in vier kwadranten: known knowns, known unknowns, unknown knowns en unknown unknowns. In cybersecurity helpt deze matrix om risicomanagement te structureren en bewustzijn te creeren voor de grenzen van je kennis over dreigingen.
Kunnen AI en machine learning helpen bij unknown unknowns?
Ja, gedeeltelijk. AI-gebaseerde anomaliedetectie kan afwijkend gedrag identificeren zonder vooraf te weten hoe een aanval eruitziet. Dit maakt detectie van onbekende dreigingen mogelijk, maar AI introduceert ook nieuwe unknown unknowns door onvoorspelbare aanvalstechnieken mogelijk te maken.
Hoe verschilt unknown unknown van risicoacceptatie?
Bij risicoacceptatie ken je het risico en kies je bewust om het te accepteren. Bij unknown unknowns is het risico onbekend, dus kun je het niet bewust accepteren. Je kunt wel accepteren dat unknown unknowns bestaan en daar je strategie op aanpassen door te investeren in veerkracht, detectiecapaciteit en een wendbare organisatiecultuur.
Bouw veerkracht tegen het onverwachte. Vergelijk Security Monitoring aanbieders op IBgidsNL.