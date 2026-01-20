Managed Detection & Response (MDR) is de afgelopen jaren uitgegroeid tot een essentiële security service voor organisaties. Maar wat krijg je nu precies als je MDR afneemt? En hoe verschilt de ene provider van de andere? In een uitgebreid gesprek met Erik de Jong (Chief Research Officer) en Eric van Gend (CEO) van Tesorion komen deze vragen aan bod.

Waar MDR oorspronkelijk vooral draaide om het detecteren en reageren op dreigingen, is daar inmiddels een belangrijke preventieve component aan toegevoegd. “Één van de eerste dingen die we doen bij onze MDR-positie is dat we een zogenaamde baseline-checker hebben, waar we van tevoren met de klanten kijken, hoe heb je alles ingesteld? Klopt dat wel?” legt De Jong uit. Deze preventieve aanpak helpt organisaties om hun security posture te verbeteren voordat de daadwerkelijke monitoring begint.

Van reactief naar proactief: de evolutie van MDR

De scope van MDR is ook aanzienlijk verbreed. Het gaat niet meer alleen om on-premise infrastructuur, maar ook om cloud-omgevingen, SaaS-applicaties en identity management. “Aanvallers maken ook geen onderscheid. Die pakken wat ze pakken kunnen,” benadrukt De Jong. De minimale basis voor goede monitoring is dan ook het monitoren van identiteiten. Wie logt in? Waar wordt er ingelogd? Hoe zeker ben je ervan dat het ook die persoon is? Daarnaast moet je endpoints monitoren, de systemen zelf. Anders heb je geen compleet plaatje.

Flexibiliteit in technologie: niet één platform voor iedereen

Een opvallend verschil tussen MDR-providers is de keuze voor technologie. Waar sommige aanbieders kiezen voor één platform, kiest Tesorion voor wat meer flexibiliteit met verschillende aanbieders. “Verschillende technologieën die in onze stack zitten geven ons de mogelijkheid om keuzes te bieden aan de klant. Er kan een keuze zijn op functionaliteit of op kosten” licht De Jong toe.

Deze flexibiliteit heeft praktische voordelen. Als een klant bijvoorbeeld al Google gebruikt, kan Tesorion met Google SecOps werken. Voor endpoint detection hebben ze wel een stevige voorkeur voor Microsoft Defender, maar andere oplossingen zijn mogelijk. Vaak is de afweging hoeveel informatie is er beschikbaar. Van andere endpoint protection oplossingen kan de data gewoon aan het MDR-platform worden gekoppeld. Wel is het altijd de vraag hoe uitgebreid is die data en zijn er evenveel mogelijkheden om in te grijpen, dat verschilt per aanbieder.

Wat Tesorion tot slot biedt dat veel andere niet hebben, zijn eigen DevOps engineers die workarounds bouwen als leveranciers updates uitrollen die problemen veroorzaken. Er zijn in het verleden meerdere malen updates gedaan aan security platformen, waarbij de data van het platform ineens niet meer goed gedeeld wordt met het MDR-platform. Dat zorgt voor extra risico’s, de DevOps engineers gaan in dat geval aan de slag om een workaround te bouwen zodat die data alsnog uit het platform wordt getrokken.

Transparantie over prestaties: false positives en gemiste dreigingen

Als je moet kiezen voor een MDR-aanbieder is het goed om hun prestaties op tafel te krijgen. Een goede aanbieder zou hier transparant in moeten zijn, maar toch wordt het onderwerp van prestaties vaak vermeden. Aan de ene kant heb je false positives, hoevaak trekt de MDR-aanbieder aan de bel bij de klant om een mogelijk securityprobleem dat achteraf geen probleem blijkt te zijn? Is dat drie keer per jaar of drie keer per week? Daarnaast kan een MDR-aanbieder ook iets missen, een fout maken.

Tesorion heeft afgelopen jaar vijf keer iets gemist. De Jong maakt wel een belangrijke nuancering bij het begrip ‘missen’: “Er zijn drie manieren waarop je iets kan missen. Het kan zijn dat je ergens niet aan het kijken was. Het kan ook zijn dat je wel een monitor hebt maar dat het langs je tools is gegaan, dat het ergens in de log staat, maar er is geen alert afgegaan. Het kan ook zijn dat er een alert is afgegaan, alleen de analist heeft een verkeerde inschatting gemaakt.”

Intern onderzoekt Tesorion veel meer alerts dan ze doorrapporteren aan klanten. “Het is vrij normaal bij een MDR-provider intern,dat wat wij aan de klant doormelden maar iets van 10% is van hetgeen wat we voor ze onderzoeken. En daar zit heel veel waarde.” Deze filtering is essentieel om alert fatigue te voorkomen, maar vereist wel geavanceerde technologie en menselijke expertise.

Meer dan monitoring: advies en begeleiding

Een goede MDR-service stopt niet bij het melden van incidenten. “We gaan je ook vertellen. Neem nou maatregelen om beter te worden, want elke keer dat wij je op bellen en je in actie moet komen, kost je ook tijd,” stelt De Jong. Deze adviserende rol omvat aanbevelingen over patching, configuratie-aanpassingen en procesverbeteringen.

Tesorion rapporteert maandelijks aan klanten op verschillende assen: hebben we genoeg visibility, is het alertvolume normaal voor een organisatie van deze omvang, en wat zijn verbeterpunten? “Als je niet kan patchen om bedrijfstechnische redenen, moet je andere maatregelen nemen. Misschien moet je het in een ander segment zetten, misschien moet je meer monitoren,” geeft De Jong als voorbeeld.

Basishygiëne: nog steeds een uitdaging

Ondanks alle technologische vooruitgang blijft basishygiëne een terugkerend thema. “Patching, dat moet je nog steeds vertellen. Er zijn heel veel van die basisdingen,” verzucht De Jong. De situatie is wel verbeterd ten opzichte van tien of twintig jaar geleden, maar perfect is het niet. “De situatie is echt wel beter nu dan 20 jaar geleden, maar het blijft zo natuurlijk. Er zijn altijd dingen die je kan tweaken.”

Een belangrijk proces-aspect is het voorkomen van shadow IT. “Zorg dat je beleid hebt zodat mensen in ieder geval weten als ik iets nieuws wil opspinnen dat ik langs security ga.” Dat er niet allemaal IoT-apparatuur aan het netwerk wordt gehangen of SaaS-oplossingen worden aangeschaft met een corporate creditcard zonder dat dit bij IT bekend is. Deze procesmatige aspecten zijn minstens zo belangrijk als de technische maatregelen.

NIS2 en CISO as a Service

De nieuwe NIS2-wetgeving zorgt voor extra druk op organisaties om hun security op orde te hebben. “Heel veel bestuurders weten ook dat als je op een gegeven moment niet meer voldoet aan NIS2, dan staan er gewoon boetes op,” merkt Van Gend op. Dit maakt diensten als MDR en CISO as a Service steeds populairder.

Voor organisaties die geen budget hebben voor een fulltime CISO biedt Tesorion fractional CISO-diensten. “Klanten zeggen, ik heb geen budget om een fulltime CISCO te hebben. Dan kunnen ze bij ons terecht komen met een CISO as a service,” legt Van Gend uit. Deze trend wordt mede gedreven door wet- en regelgeving die vereist dat organisaties bepaalde functies en processen op orde hebben.

De menselijke factor in MDR

Een SOC draaien is intensief werk dat veel vraagt van analisten. Van Gend vergelijkt het met beveiliging op een vliegveld: “De hele dag gebeurt er niks, maar die ene keer in de maand dat er wel iets is, moet je alert zijn, moet je het zien.” Dit maakt het volgens hem “een afbrandbaan” waarbij medewerkers regelmatig nieuwe uitdagingen nodig hebben.

Automatisering en AI spelen daarom een cruciale rol. Daar spelen automatisering en AI een grote rol. Zodat je alleen de belangrijkste zaken, waar mensen echt moeten ingrijpen, dat die getoond worden aan de analisten.

Vragen die je moet stellen aan een MDR-provider

De Jong heeft duidelijke aanbevelingen voor organisaties die een MDR-provider zoeken: “Een van de dingen die ik sowieso zou vragen aan een MDO-approvider is, hoeveel false positives lever jij op bij je klanten?”Oftewel, hoe vaak bel je je klant gemiddeld voor niks? Dat doen als het goed is alle MDR-providers weleens. Het is een hele normale vraag, en geeft inzicht in de manier van werken.

Een tweede cruciale vraag is: “Hoe vaak mis je wel eens wat.” De Jong erkent dat dit een gevoelige vraag is, maar vindt het essentieel. “Als jij als klant naar een MDA provider kijkt, dan is het voor mij verstandig om te snappen wat je krijgt. Zodat je kan afwegen of het bij je past.” Dit omvat vragen over technologie, maar ook over de laag aan dienstverlening en kennis die een provider toevoegt.

Conclusie

MDR is meer dan een technische oplossing die alerts genereert. Het is een combinatie van technologie, processen, menselijke expertise en advies die organisaties helpt om weerbaarder te worden tegen cyberdreigingen. De illusie dat je na het afsluiten van een MDR-contract volledig ontzorgd bent, klopt niet helemaal. Aan de ene kant wordt je ontzorgd, want de kans is groot dat je MDR-provider ziet als er iets misgaat, maar aan de andere kant krijg je ook allemaal adviezen en aanbevelingen hoe je je beleid, configuraties en stack beter kan of moet beveiligen.

Voor organisaties die MDR overwegen is het belangrijk om verder te kijken dan alleen de technische specificaties. Vraag naar transparantie over prestaties, begrijp welke coverage je krijgt, en zorg dat de provider niet alleen detecteert maar ook helpt bij het structureel verbeteren van je security posture. Met de juiste MDR-partner wordt security een continu verbeterproces in plaats van alleen brandjes blussen.

