Threat Hunting as a Service

Wat is threat hunting as a service?

Threat hunting is de proactieve zoektocht naar aanvallers die al in je netwerk zitten, maar nog niet zijn gedetecteerd door je bestaande beveiligingstools. Het is fundamenteel anders dan traditionele detectie: een SOC of SIEM reageert op alerts, terwijl threat hunting actief zoekt naar wat er niet als alert binnenkomt.

Bij threat hunting as a service schakel je een team van gespecialiseerde analisten in dat hypothese-gedreven op zoek gaat naar verborgen dreigingen in je IT-omgeving. De hunters werken op basis van dreigingsintelligence, branche-informatie en het MITRE ATT&CK-framework. Ze formuleren hypothesen — "kunnen wij sporen van lateral movement vinden?" — en doorzoeken vervolgens systematisch logdata, netwerk traffic en endpoint-telemetrie op indicatoren die die hypothesen bevestigen of ontkrachten.

De dienst richt zich specifiek op dreigingen die geautomatiseerde detectie omzeilen: geavanceerde persistente dreigingen (APTs), insider threats en aanvallers die gebruik maken van legitieme tools — een techniek die in vakjargon "living off the land" heet. Deze aanvallers laten weinig zichtbare sporen achter en worden door standaard beveiligingstools vaak niet herkend.

Het verschil met een Managed Detection & Response (MDR)-dienst is dat threat hunting dieper gaat op specifieke hypothesen en dreigingsscenario's, terwijl MDR breder is en ook incident response omvat. Veel MDR-aanbieders bieden threat hunting als onderdeel van hun dienstverlening aan, maar je kunt het ook als losse dienst afnemen.

Waarom is proactieve dreigingsdetectie belangrijk?

De cijfers zijn ontnuchterend. De gemiddelde dwell time — de periode dat een aanvaller onopgemerkt in je netwerk verblijft — bedraagt circa 56 dagen (Bron: IBM Cost of a Data Breach Report 2024). In die tijd heeft een aanvaller ruimschoots de gelegenheid om gevoelige data te exfiltreren, toegangsrechten te escaleren en ransomware voor te bereiden. Datalekken die langer dan 200 dagen onopgemerkt blijven, kosten organisaties gemiddeld 4,87 miljoen dollar (Bron: IBM Cost of a Data Breach Report 2024). Breaches die korter duren kosten gemiddeld 3,61 miljoen dollar — een verschil van 1,26 miljoen dollar dat direct voortkomt uit detectiesnelheid.

Tegelijkertijd worden aanvallers steeds sneller. De zogeheten eCrime breakout time — de tijd die aanvallers nodig hebben om zich van het eerste gecompromitteerde systeem lateraal door een netwerk te bewegen — bedraagt inmiddels gemiddeld slechts 29 minuten (Bron: CrowdStrike Global Threat Report). Zonder proactieve detectie ben je als organisatie vrijwel altijd te laat.

Voor het Nederlandse MKB geldt dat 88% van datalekken met MKB-betrokkenheid ransomware bevat (Bron: ENISA Threat Landscape 2024). De gemiddelde schade per cyberincident voor het MKB in Nederland bedraagt 270.000 euro. Dat zijn bedragen die voor kleine en middelgrote organisaties existentieel kunnen zijn: 60% van de kleine bedrijven die te maken krijgen met een ernstige cyberaanval gaat binnen zes maanden failliet (Bron: CBS Cybersecuritymonitor 2024).

Threat hunting kan de dwell time met tot 85% reduceren. Dat is geen marginale verbetering — het is het verschil tussen een beheersbaar incident en een ramp. Organisaties die threat intelligence-diensten inzetten, besparen gemiddeld ruim 200.000 dollar per datalek. Organisaties die ook security AI en automatisering inzetten, besparen zelfs 1,9 miljoen dollar per incident.

De business case voor threat hunting is daarmee helder: de jaarlijkse kosten van een threat hunting-dienst zijn in de meeste gevallen een fractie van wat één voorkomen incident bespaart.

Hoe werkt threat hunting? Het proces stap voor stap

Effectief threat hunting volgt een gestructureerd proces dat begint bij hypothesevorming en eindigt bij verbeterde detectieregels. Het is geen losstaande activiteit, maar een cyclus die de algehele beveiligingshouding van je organisatie stapsgewijs versterkt.

1. Hypothese vormen

Hunters beginnen met het formuleren van een hypothese op basis van actuele dreigingsintelligence, branche-specifieke informatie en het MITRE ATT&CK-framework. Een hypothese klinkt als: "Op basis van actieve campagnes gericht op de zorgsector zoeken we naar sporen van T1078 (Valid Accounts) in onze omgeving." Deze hypothese-gedreven aanpak onderscheidt threat hunting van willekeurig door logdata bladeren.

2. Data verzamelen en analyseren

Na het formuleren van de hypothese verzamelen hunters relevante data: logbestanden van firewalls en endpoints, netwerk traffic-analyses, authenticatiedata en cloudomgeving-telemetrie. Dit proces duurt typisch één tot drie dagen per hunt en vereist dat de organisatie voldoende telemetrie verzamelt. Zonder goede logdata is threat hunting als zoeken in het donker.

3. Onderzoek en validatie

Bij verdachte bevindingen volgt diepgaand onderzoek. De hunter beoordeelt of het gaat om een false positive — misschien een legitieme administrator die ongebruikelijke handelingen uitvoerde — of een echte dreiging. Dit vergt ervaring en domeinkennis die niet door automatisering kan worden vervangen.

4. Rapportage en aanbevelingen

Na elke hunt ontvang je een rapport met bevindingen, risicobeoordelingen en concrete aanbevelingen voor remediatie. Een goed rapport vertaalt technische bevindingen naar begrijpelijke risico-taal voor management. De waarde zit niet alleen in wat er gevonden is, maar ook in de bevestiging dat bepaalde hypothesen niet kloppen: dat geeft aantoonbare zekerheid.

5. Detectie verbeteren

Inzichten uit threat hunts worden vertaald naar nieuwe detectieregels in je SIEM of EDR. Op die manier verbetert elke hunt niet alleen de huidige beveiliging, maar ook de automatische detectiecapaciteit voor de toekomst. Dit is het vliegwieleffect van structureel threat hunting: iedere cyclus maakt je verdediging scherper.

Typen threat hunting: van ad-hoc tot continu

Threat hunting as a service kent drie hoofdvormen, elk passend bij een andere situatie en een ander budget.

Ad-hoc threat hunting

Een eenmalige hunt, meestal uitgevoerd naar aanleiding van een specifiek verdacht signaal, een nieuwe dreiging in de sector of na een beveiligingsincident. Ad-hoc hunting geeft een momentopname en is zinvol als er een directe aanleiding is. De prijs voor een eenmalige hunt in de Nederlandse markt ligt tussen 5.000 en 15.000 euro.

Periodieke threat hunting

Structurele hunts op maandelijkse of kwartaalbasis, afgenomen via een retainermodel. Dit biedt meer continuïteit dan ad-hoc hunting, maar mist de voordelen van continue monitoring. Kwartaalretainers liggen typisch tussen 10.000 en 30.000 euro per kwartaal.

Continue threat hunting

Doorlopende hunting door een team van analisten die continu in je omgeving actief zijn. Dit is het meest effectieve model en wordt per endpoint per maand afgerekend. Basisdiensten kosten 15 tot 25 euro per endpoint per maand, premiumdiensten 25 tot 50 euro. Voor een organisatie met 100 endpoints betekent dit 18.000 tot 60.000 euro op jaarbasis.

Continue threat hunting overlapt sterk met MDR-diensten. Veel MDR-aanbieders includeerden threat hunting in hun dienstenpakket. Het onderscheid is vooral relevant als je al een SOC of SIEM hebt en alleen de proactieve jachtcomponent wilt toevoegen.

Wat kost threat hunting as a service in Nederland?

De kosten variëren sterk op basis van het gekozen model, de frequentie en het aantal te monitoren endpoints. Hieronder een realistisch overzicht voor de Nederlandse markt.

Voor een kleine MKB-organisatie met 50 endpoints liggen de jaarlijkse kosten voor een standaard continue dienst tussen 9.000 en 15.000 euro. Middelgroot MKB met 100 endpoints rekent op 18.000 tot 30.000 euro per jaar. Grotere MKB-organisaties met 250 endpoints komen uit op 45.000 tot 75.000 euro.

Het is belangrijk om deze bedragen af te zetten tegen de gemiddelde incidentkosten van 270.000 euro voor het Nederlandse MKB. Zelfs bij een conservatieve schatting van 30% risicoreductie is de return on investment van threat hunting positief. Daarbij komt dat een aangetoond threat hunting-programma steeds vaker leidt tot lagere cyberverzekeringspremies.

Verborgen kosten om rekening mee te houden

Naast de directe licentie- of retainerkosten zijn er aanvullende kostenposten die vaak worden onderschat. Ten eerste vereist threat hunting goede telemetrie: als je nog geen SIEM of EDR hebt, zijn die investeringen een voorwaarde. Ten tweede vergt opvolging van hunt-bevindingen intern capaciteit: patchen, access-rechten aanpassen en detectieregels bijwerken kost IT-uren. Ten derde moet je organisatie beschikken over een incident response-plan voor het geval een hunt een actieve aanvaller onthult.

Selectiecriteria: hoe kies je de juiste aanbieder?

De kwaliteit van een threat hunting-dienst wordt bepaald door de methodologie, de ervaring van het team, de databronnen waartoe ze toegang hebben en de kwaliteit van de rapportage. Gebruik de volgende criteria als leidraad bij je selectie.

MITRE ATT&CK-dekking

Vraag welke tactieken, technieken en procedures (TTPs) systematisch worden gejaagd. Een aanbieder die dit niet kan concretiseren werkt waarschijnlijk ad-hoc in plaats van systematisch. Het MITRE ATT&CK-framework is de industriestandaard voor het structureren van threat hunting-activiteiten en maakt de dekking meetbaar en vergelijkbaar.

Sector-specifieke expertise

Dreigingsactoren richten zich op specifieke sectoren. Een aanbieder met ervaring in jouw sector — zorg, financiën, overheid, industrie — kent de relevante dreigingsgroepen en aanvalsmethoden. Vraag naar recente cases en detecties bij vergelijkbare organisaties.

Integratie met bestaande tooling

Een threat hunter die geen toegang heeft tot je SIEM, EDR en netwerk-logs kan niet effectief jagen. Controleer of de aanbieder kan werken met jouw bestaande tooling of dat je aanvullende agents of connectors moet installeren.

Rapportage en bruikbaarheid

Het rapport is het tastbare resultaat van elke hunt. Controleer of de aanbieder rapporten levert die zowel voor je IT-team actionable zijn als voor management begrijpelijk. Vraag om een voorbeeldrapport voor je een contract tekent.

Tien vragen voor je aanbieder

1. Welke methodologie gebruiken jullie voor threat hunting (bijv. MITRE ATT&CK)?
2. Hoeveel threat hunters zitten er in jullie team en wat is hun gemiddelde ervaring?
3. Welke databronnen hebben jullie nodig om effectief te kunnen jagen in onze omgeving?
4. Hoe vaak voeren jullie een threat hunt uit in het gekozen model?
5. Hoe snel kunnen jullie een ad-hoc hunt starten na een verdacht signaal?
6. Wat is jullie track record in het vinden van verborgen dreigingen bij klanten?
7. Hoe worden hunt-resultaten vertaald naar verbeterde detectieregels in onze SIEM/EDR?
8. Welke sector-specifieke dreigingsintelligence gebruiken jullie?
9. Hoe integreren jullie met onze bestaande beveiligingsinfrastructuur?
10. Wat is de gemiddelde doorlooptijd van een threat hunt tot een definitief rapport?

Veelgemaakte fouten bij threat hunting

Threat hunting zonder goede telemetrie

Je kunt niet jagen wat je niet kunt zien. Zonder voldoende logdata en endpoint-telemetrie is threat hunting als zoeken in een donkere kamer. Zorg eerst dat je basismonitoring op orde is — een functionerende EDR-oplossing en gecentraliseerde logging zijn de minimale voorwaarden — voordat je investeert in threat hunting.

Eenmalig jagen in plaats van structureel

Een enkele threat hunt is een momentopname. Aanvallers komen en gaan, dreigingslandschappen veranderen en nieuwe TTPs duiken op. Pas bij structureel, periodiek jagen bouw je een effectief proactief detectieprogramma op dat de dwell time daadwerkelijk verlaagt over tijd.

Bevindingen niet opvolgen

Het rapport is opgeleverd, maar er gebeurt niets met de aanbevelingen. Dit is een veelvoorkomend en kostbaar patroon. Zorg dat threat hunt-resultaten worden omgezet in concrete acties met eigenaren en deadlines: patchen, detectieregels aanpassen, toegangsrechten beperken.

Verwachten dat hunting incident response vervangt

Threat hunting vindt dreigingen, maar is geen incident response. Als een hunt een actieve aanvaller onthult, heb je een IR-plan en -team nodig om die dreiging te beheersen. Combineer threat hunting met een solide incident response voorbereiding.

Alleen op IOCs jagen

Indicators of Compromise (IOCs) — specifieke IP-adressen, bestandshashes of domeinen — zijn snel verouderd. Aanvallers wisselen ze voortdurend. Effectieve threat hunting richt zich primair op Tactics, Techniques and Procedures (TTPs): de methoden die aanvallers gebruiken. Die veranderen veel langzamer dan specifieke IOCs en geven een structureel voordeel in de detectie.

NIS2 en de Cyberbeveiligingswet

De Cyberbeveiligingswet — de Nederlandse implementatie van de NIS2-richtlijn — gaat naar verwachting in Q2 2026 in werking (Bron: NCSC / Digitale Overheid). Hoewel threat hunting niet expliciet wordt genoemd, valt proactieve dreigingsdetectie direct onder de zorgplicht die de wet oplegt.

NIS2 verplicht essentiële en belangrijke entiteiten tot het nemen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen (Bron: NCSC / Digitale Overheid). Proactieve dreigingsdetectie is een concrete invulling van die verplichting: het aantonen dat je niet alleen reactief beveiligt, maar actief zoekt naar dreigingen die je geautomatiseerde tools missen.

Voor essentiële entiteiten geldt een maximale boete van 10 miljoen euro of 2% van de wereldwijde jaaromzet bij niet-naleving. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Threat hunting-rapporten vormen tegelijkertijd aantoonbaar bewijs van een proactieve beveiligingsaanpak — waardevol bij audits en toezichtonderzoeken.

Threat hunting draagt bovendien bij aan de informatiedelingsverplichting in NIS2: organisaties worden aangemoedigd relevante dreigingsinformatie te delen met de overheid en sectorgenoten. De inzichten die threat hunting oplevert over actieve dreigingen in jouw sector zijn directe input voor die informatiedeling.

Combineer threat hunting met een NIS2 compliance-begeleiding-traject om te zorgen dat je activiteiten aantoonbaar bijdragen aan de wettelijke zorgplicht.

Threat hunting vs. SOC vs. MDR

Threat hunting staat niet op zichzelf maar maakt deel uit van een breder beveiligingslandschap. Het is nuttig om te begrijpen hoe het zich verhoudt tot verwante diensten.

Een SOC as a Service of SIEM as a Service reageert op alerts die geautomatiseerde regels genereren. Threat hunting zoekt actief naar dreigingen die geen alerts genereren. De twee zijn complementair: een SIEM biedt de datalaag die threat hunting nodig heeft, terwijl threat hunting de blinde vlekken van het SIEM in kaart brengt en verbetert.

MDR omvat doorgaans zowel detection als response, en includeert bij veel aanbieders ook een vorm van threat hunting. Als je geen IR-capaciteit in huis hebt, is MDR vaak een praktischere keuze. Als je al een intern SOC of SIEM hebt en specifiek de proactieve jachtcomponent wilt versterken, is losse threat hunting as a service de gerichtere optie.

Voor organisaties die nog geen formele beveiligingsmonitoring hebben, is de logische volgorde: eerst een goede EDR inrichten, dan monitoring via SIEM of MDR opzetten, en vervolgens threat hunting als laag daarboven toevoegen.