Defensiebeveiliging is bedrijfsbeveiliging met drie vermenigvuldigers — nationaalstatelijke tegenstanders, geclassificeerde-enclave-netwerktopologie en operationele-technologiekoppeling. De platforms die in deze context werken, zijn gebouwd vanuit het dreigingsmodel: activa gecatalogiseerd op classificatie en kritikaliteit, dreigingsinformatie stromend via STIX/TAXII-pijplijnen, detectie en respons bovenop gelaagd. De platforms die falen, werden gebouwd door commerciële beveiligingssoftware opnieuw in te kleden met een defensielabel. Deze vierdelige reeks behandelt hoe je het goed doet. Deel 1 behandelt het fundament.

Het architecturale kader staat in De complete gids voor defensiebeveiliging. De C2-bouwreeks op Een C2-systeem bouwen vanaf nul is het platform dat deze cyberstack verdedigt; de NATO-interop-reeks op NATO-interoperabiliteitsimplementatie-walkthrough stelt de coalitie-datadelingscontext in.

Stap 1: bouw een expliciet dreigingsmodel

Defensiebeveiliging die niet begint vanuit een expliciet dreigingsmodel is defensiebeveiliging die zich verdedigt tegen een fictie. Het dreigingsmodel documenteert tegen wie het platform zich verdedigt, wat die tegenstanders kunnen doen en wat ze willen. Elke volgende architecturale beslissing verwijst naar het model.

De componenten van een defensieclasse dreigingsmodel:

  • Dreigingsactoren. Nationaalstatelijke tegenstanders (met benoemde landattributies waar de operationele context dit ondersteunt), staatsgelieerde groepen, criminele actoren, insiders, toeleveringsketen-compromis-vectoren. Elke actor heeft motief-, capaciteits- en geduldsprofielen.
  • Vijandelijke tactieken. MITRE ATT&CK-mapping is de gemeenschappelijke taal; gebruik het vanaf sprint één. Specifieke TTP's (tactieken, technieken, procedures) die het platform verwacht.
  • Vijandelijke doelstellingen. Verkenning, persistentie, zijdelingse verplaatsing, gegevensexfiltratie, operationele verstoring, kinetische voorbereiding. Verschillende doelstellingen vereisen verschillende defensieve houdingen.
  • Aanvalsoppervlak. Netwerkingangspoints, toeleveringsketenafhankelijkheden, mensgerichte oppervlakken (phishing, social engineering), operationele-technologie-interfaces.
  • Veronderstelde vijandelijke capaciteiten. Zero-day-exploitatie, op maat gemaakte implantaten, signaalonderscheppingscapaciteit, verblijftijdtolerante houding. De defensieve engineering van het platform schaalt naar deze capaciteiten, niet naar commercieel-crimineel niveau.
  • Buiten-scope bedreigingen. Expliciet opgesomd: fysieke beveiliging van het datacenter, elektromagnetische beveiliging buiten standaardpraktijk, bedreigingen die worden verwerkt door andere delen van de beveiligingsarchitectuur.

Het dreigingsmodel is een levend document, versiegecontroleerd in de repository naast broncode, beoordeeld door beveiliging- en engineeringleads. Het is het procurement-grade artefact dat accreditatiebeoordelaars als eerste opvragen.

Stap 2: activabestand met classificatie en kritikaliteit

De cyberstack verdedigt specifieke activa. Ze catalogiseren is onglamoureus en beslissend — programma's die het activabestand overslaan, verdedigen tegen de verkeerde tegenstander en het verkeerde aanvalsoppervlak.

De activacatalogus legt vast, voor elk actief:

  • Activaidentificatie en vriendelijke naam. Stabiel, mensenleesbaar, traceerbaar door de beveiligingstoolketen.
  • Activatype. Systeem, database, netwerksegment, applicatieservice, modelgewicht, trainingsdataset, operationele-technologiecontroller.
  • Classificatieniveau. NATO RESTRICTED, NATO SECRET, COSMIC TOP SECRET, nationale equivalenten. Het niveau bepaalt alles stroomafwaarts.
  • Compartimenten en verspreidingsmarkering. Per STANAG 4774-conventies (zie deel 3 van de NATO-interop-reeks).
  • Kritikaliteitslaag. Missiekritiek, missie-essentieel, missie-ondersteunend, administratief. Verschillende lagen rechtvaardigen verschillende defensieve houdingen.
  • Eigenaarschap. De organisatie die verantwoordelijk is voor de exploitatie en beveiliging van het actief.
  • Netwerk-enclave. Op welk geclassificeerd of niet-geclassificeerd netwerk het actief werkt.
  • Afhankelijkheden. Van welke andere activa dit actief afhankelijk is; wat ervan afhankelijk is.

De catalogus is zo veel mogelijk geautomatiseerd (CMDB-integratie, ontdekkingsscanning waar toegestaan) en gecureerd waar automatisering tekortschiet. Levend document, versiegecontroleerd, het fundament voor alles wat volgt.

Stap 3: de CTI-pijplijn opzetten

Cyber Threat Intelligence is de laag die detectie zinvol maakt. Ruwe indicatoren stromen in, gecontextualiseerde dreigingsdata stroomt door, bruikbare intelligence stroomt uit naar de detectie- en responstoolketen.

De pijplijnstadia:

Inname. Meerdere feedtypen: STIX/TAXII-feeds van commerciële leveranciers, partner-CSIRT-bulletins, nationale CERT-adviezen, kwetsbaarheiddatabases (NVD, leveranciersadviezen), OSINT-bronnen.

Normalisatie. Invoer converteren naar een canonieke CTI-representatie — STIX 2.1-objecten (indicatoren, malware, dreigingsactoren, campagnes, aanvalspatronen). De gedetailleerde CTI-platform-engineering staat in CTI-platforms voor defensie.

Deduplicatie en correlatie. Dezelfde indicator kan in vijf feeds verschijnen. Agressief dedupliceren. Indicatoren met gedeelde context correleren tot samengestelde intelligentiepakketten.

Verrijking. Context toevoegen die de ruwe feeds missen: betrouwbaarheidsscore, MITRE ATT&CK-mapping, activarelevantiescore, classificatieverwerking-richtlijn, verspreidingsmarkeringen.

Distributie. Doorsturen naar SIEM/SOAR voor detectieregels, naar EDR voor eindpunt-bloklijsten, naar netwerk-beveiligingstools voor verkeersfiltering, naar dreigingsonderzoeksteams en naar de operationele fusiestack (zie Fusiepijplijn, deel 3).

Stap 4: STIX/TAXII-implementatie

STIX (Structured Threat Information Expression) is het datamodel voor cyber-dreigingsinformatie. TAXII (Trusted Automated Exchange of Intelligence Information) is het transportprotocol. Samen zijn ze de lingua franca van CTI-uitwisseling tussen defensieorganisaties en commerciële dreigingsinformatieproviders.

Consumerskant eerst. De meeste defensieprogramma's consumeren STIX/TAXII van commerciële leveranciers (Mandiant, Recorded Future, CrowdStrike, MITRE) en partner-CSIRT's.

Schemavalidatie op de grens. Elk binnenkomend STIX-object wordt gevalideerd tegen het schema vóór verdere verwerking. Schemaschendingen zijn gebruikt als injectievectoren; strikte validatie is de structurele verdediging.

Betrouwbaarheidsscore. STIX-objecten hebben betrouwbaarheidsvelden. Gebruik ze. Een hoog-betrouwbare indicator van een leverancier en een laag-betrouwbare van OSINT krijgen verschillende verwerking.

Providerskant selectief. Programma's die intelligence delen met partners implementeren TAXII-providerendpoints. De implementatie vereist de classificatieverwerking-discipline uit deel 3 van deze reeks.

Stap 5: OSINT-pijplijn met brondiversiteit

Open-source intelligence is een waardevolle CTI-invoer. Sociale media, pastesites, ransomware-leaksites, technische forums, leveranciersbeveiligingsadviezen, nieuws. OSINT-detectie van een aanval op partnertroepen of -infrastructuur is operationeel waardevolle intelligence waarop leveranciersfeeds vaak achterlopen.

Brondiversiteit. Geen enkele bron domineert. Meerdere bronnen verminderen single-feed-bias en detecteren foutpositieven sneller.

Betrouwbaarheid per bron. Elke bron heeft een gekalibreerde betrouwbaarheidsscore op basis van historische nauwkeurigheid.

Attributie en citaat. Elke OSINT-afgeleide indicator draagt de bron-URL, snapshot-tijdstempel en analistennotitie.

Juridische en ethische beschermingen. OSINT-verzameling van sociale media heeft juridische beperkingen die per jurisdictie variëren. De gedetailleerde behandeling staat in OSINT-dreigingsbewaking voor defensie.

Kernpunt: De CTI-pijplijn is de laag die generieke beveiligingssoftware omzet in defensieclasse beveiliging. Een SIEM zonder CTI vangt commodity-bedreigingen op. Een SIEM verrijkt met nationaalstatelijk-relevante CTI vangt de bedreigingen op waartegen het platform zich werkelijk verdedigt. De investering in CTI-infrastructuur is de beslissing met het hoogste hefboomeffect in de cyberstack.

Stap 6: cyber als fusiediscipline

Moderne defensiebeveiliging behandelt cyberwaarnemingen als een andere inlichtingendiscipline naast SIGINT, IMINT, ELINT. De outputs van de cyberstack stromen in de operationele fusiepijplijn; de outputs van de operationele fusiepijplijn verrijken cyberbeslissingen.

Cybergebeurtenissen als observaties. Bevestigde compromissen, aanvalspogingsdetecties, geattribueerde campagnes — elk wordt een observatie in het canonieke spoorschema. Het gedetailleerde patroon staat in Een defensie-fusiepijplijn bouwen, deel 3.

CTI-verrijking van fysiek-domein-sporen. Wanneer een cyberindicator vijandelijke activiteit op een geografische locatie suggereert, verrijkt de indicator het fysiek-domein-spoor in het operationele beeld.

Gedeelde classificatiemachinery. De classificatielabels op cyberdata stromen door dezelfde STANAG 4774/4778-binding als fysiek-domein-data.

Stap 7: repositorystructuur voor cybercode

Cyberstack-code is gevoelig — onjuiste wijzigingen kunnen detectie uitschakelen, compromissen missen of geclassificeerd materiaal lekken.

  • cyber/threat-model/ — versiegecontroleerde dreigingsmodeldocumenten, MITRE ATT&CK-mappings, activalaagclassificaties.
  • cyber/asset-inventory/ — de catalogus uit stap 2, met ontdekkingsautomatisering en handmatige curatie.
  • cyber/cti/feeds/ — feedconfiguraties, normalisatieregels per bron, deduplicatiebeleid.
  • cyber/cti/enrichment/ — verrijkingspijplijnen, betrouwbaarheidsscoringregels, activarelevantiescore.
  • cyber/detection-rules/ — SIEM-detectie-inhoud (Sigma-regels, leverancierspecifieke formaten), versiegecontroleerd, getest in CI.
  • cyber/playbooks/ — SOAR-responsplaybooks, getest in CI, beoordeeld door beveiligingleiderschap vóór implementatie.
  • cyber/forensics/ — verzameling- en analysetoolset, bewakingsketen-procedures.
  • cyber/ADRs/ — Architectuurbeslis­singsregistraties voor significante cyberbeveiligingsarchitectuurkeuzes.

Wat is hierna

Deel 1 heeft het fundament gebouwd. Expliciet dreigingsmodel, activabestand met classificatie, CTI-pijplijn die STIX/TAXII en OSINT opneemt, cyber-als-fusie-discipline-integratie, repositorydiscipline. De cyberstack heeft nu een helder zicht op wat zij verdedigt, wat zij verdedigt en waar haar intelligence vandaan komt.

Deel 2 implementeert de operatielaag: SIEM en SOAR geëngineered voor geclassificeerde enclaves, cross-CERT-integratie, geautomatiseerde playbookdiscipline, de praktische realiteiten die operationele cyber onderscheiden van PowerPoint-cyber.