Hoe bouw je een cyber threat intelligence-programma voor overheidsorganisaties

Door Corvus Intelligence Engineering Team · Over het team →

3 juni 2026 10 min lezen

De meeste overheidsinstanties en defensieorganisaties reageren reactief op cyberdreigingen: ze reageren op incidenten achteraf, consumeren dreigingsadviezen passief en beschikken over geen enkel gestructureerd mechanisme om vijandige acties te anticiperen voordat ze plaatsvinden. Cyber threat intelligence (CTI)-programma's bestaan om die houding te veranderen – om beveiligingsteams beslissingsvoordeel te geven in plaats van eeuwigdurend inhalen. Het opbouwen van zo'n programma binnen een overheidsorganisatie is moeilijker dan in commerciële omgevingen, om structurele en niet zozeer technische redenen.

Deze gids behandelt de volledige levenscyclus: waarom overheidsinstanties achterlopen in CTI-volwassenheid, hoe de opbouw te sequentiëren over zes operationele fasen, welke rollen en hulpmiddelen vereist zijn, en de mislukkingspatronen die programma's om zeep helpen voordat ze waarde produceren. De beoogde doelgroep is een beveiligingsleider of programmamanager die het mandaat heeft gekregen een CTI-capaciteit op te zetten en een praktisch kader nodig heeft om dat te realiseren.

Waarom overheidsorganisaties achterlopen in CTI-volwassenheid

Drie structurele beperkingen verklaren de kloof tussen wat overheidsinstanties weten dat ze nodig hebben en wat ze feitelijk hebben gebouwd.

Begrotingscycli en doorlooptijden voor aanbesteding. Commerciële organisaties kunnen binnen enkele weken een dreigingsintelligentieleverancier contracteren. Overheidsaanbesteding duurt maanden tot jaren. Tegen de tijd dat de aanschaf van een CTI-platform is afgerond, is het dreigingslandschap verschoven en is het vereistendocument verouderd. Dit creëert een sterke voorkeur voor open-sourcetools (MISP, OpenCTI) die kunnen worden ingezet zonder een aanbestedingsprocedure, zelfs wanneer de langetermijndoorsnede commerciële capaciteit omvat.

Talentschaarste en classificatiebarrières. Gekwalificeerde CTI-analisten – degenen die vijandige TTP's begrijpen, malwaregedrag kunnen lezen en technische indicatoren kunnen vertalen naar strategische beoordelingen – zijn schaars en neigen naar de private sector op het gebied van beloning. Overheidsprogramma's die ze wel weten aan te trekken, staan voor een secundair probleem: analisten die op verschillende classificatieniveaus werken, kunnen indicatoren niet uitwisselen over compartimenten heen zonder goedgekeurde cross-domeinoplossingen, wat het inlichtingenbeeld fragmenteert dat een geïntegreerd CTI-programma geacht wordt te leveren.

Geen gedefinieerd vereistenproces. Commerciële organisaties bouwen CTI-programma's op rond een relatief helder dreigingsmodel: financieel gemotiveerde actoren die financiële data, inloggegevens en operationele verstoringen als doelwit hebben. Overheidsinstanties staan voor een complexer dreigingslandschap – staatsgesponsorde spionage, beïnvloedingsoperaties, targeting van kritieke infrastructuur, supply chain-aanvallen – maar beschikken vaak niet over het interne proces om die complexiteit te vertalen naar gestructureerde inlichtingenvereisten die verzameling en analyse sturen.

Kernpunt: Het meest voorkomende mislukkingspatroon in overheids-CTI-programma's is geen technologisch probleem – het is een vereistenprobleem. Organisaties die een MISP-instantie opzetten, zich abonneren op commerciële feeds en indicatoren innemen zonder een gedefinieerde consumentenbasis en feedbacklus, hebben een database gebouwd, geen inlichtingenprogramma. Het vereistenproces moet aan de technologieinvestering voorafgaan.

Het CTI-volwassenheidsmodel: van reactief naar voorspellend

CTI-volwassenheid bestaat als een progressie. Begrijpen waar uw organisatie zich bevindt, is een vereiste voor het stellen van realistische doelen voor de opbouw.

Reactief (niveau 1). Geen gestructureerde inlichtingencapaciteit. De organisatie reageert op incidenten nadat ze hebben plaatsgevonden, consumeert dreigingsadviezen van leveranciers en nationale CERT's passief en heeft geen toegewijd CTI-personeel. Inlichtingen zijn ad hoc – analisten verzamelen indicatoren als reactie op specifieke incidenten in plaats van op continue basis. De meeste overheidsinstanties buiten toegewijde inlichtingen- of defensieorganisaties opereren hier.

Proactief (niveau 2). Er bestaan gedefinieerde inlichtingenvereisten. Verzamelingsbronnen worden geïdentificeerd en op regelmatige cadans gemonitord. Een platform (commercieel of open-source) neemt indicatoren in, verrijkt en bewaart ze. Analisten produceren reguliere rapporten die gedefinieerde consumenten bereiken. Detectieregels in de SIEM worden bijgewerkt vanuit CTI-output. Dit is de doeltoestand voor een eerste generatie overheids-CTI-programma – haalbaar binnen 12 tot 18 maanden na de start van het programma met de juiste middelen.

Voorspellend (niveau 3). Het programma anticipeert vijandige acties voordat ze plaatsvinden: monitoring van de ontwikkeling van vijandige infrastructuur, detectie van campagnevoorbereidingsactiviteiten en het produceren van strategische beoordelingen die beveiligingsinvesteringen sturen vóór aanvallen plaatsvinden. Er bestaan gesloten feedbacklussen tussen inlichtingenconsumenten en het CTI-team, wat continue verbetering mogelijk maakt. Voorspellende volwassenheid vereist voortdurende investering, ervaren analisten en de integratie van geclassificeerde inlichtingen die de meeste overheidsinstanties in de eerste programmacyclus niet bereiken.

Fase 1 – definieer inlichtingenvereisten

Inlichtingenvereisten zijn de vragen die het CTI-programma zich verbindt te beantwoorden op een gedefinieerde cadans voor gedefinieerde consumenten. Zonder hen is de verzameling ongericht en is de analyse losgekoppeld van operationele behoefte.

Het vereistendefinitieproces begint met het in kaart brengen van consumenten: wie in de organisatie zal CTI-output gebruiken, en voor welke beslissingen? Een SOC-analist heeft operationele indicatoren nodig – verse IoC's om detectieregels bij te werken. De CISO heeft strategische dreigingsbriefings nodig – welke actorgroepen richten zich op uw sector, en zijn er geloofwaardige indicatoren van aanstaande campagnes? Het netwerkteam heeft prioriteringsinlichtingen voor kwetsbaarheden nodig – welke gepubliceerde CVE's worden actief uitgebuit in het wild tegen uw infrastructuurprofiel?

Elk consumententype levert een set prioritaire inlichtingenvereisten (PIR's) op: specifieke, beantwoordbare vragen die het programma zich verbindt aan te pakken. Voorbeelden uit overheidscontexten: "Welke staatsgealigneerde dreigingsactoren hebben intentie en capaciteit getoond om [instantiesector]-organisaties te richten in de afgelopen 90 dagen?" of "Zijn er indicatoren van actieve verkenning tegen onze openbaar toegankelijke infrastructuur?" PIR's definiëren de reikwijdte, sturen de keuze van verzamelingsbronnen en creëren verantwoordelijkheid – analisten weten waarop ze worden beoordeeld.

Zodra PIR's zijn gedefinieerd, koppelt u ze aan dreigingsactoren en verzamelingsbronnen. Een PIR over ransomware-voorlooperactiviteit (initial access brokers die toegang tot overheidsnetwerken verkopen) verwijst naar monitoring van dark-webfora en Telegram-kanalen. Een PIR over staatssponsortargeting verwijst naar domeinregistratie-inlichtingen, monitoring van certificaattransparantiologboeken en open-source rapportage over specifieke actorgroepen. Deze koppeling definieert de verzamelingsarchitectuur.

Fase 2 – identificeer en configureer verzamelingsbronnen

Verzameling is de eerste operationele fase waarbij externe tooling betrokken is. Overheids-CTI-programma's putten doorgaans uit vijf broncategorieën:

OSINT (Open Source Intelligence). Openbaar beschikbare dreigingsrapporten, bekendmakingen van kwetsbaarheden, malwareanalyserapporten en reputatiedata voor domeinen/IP's. De meest toegankelijke en goedkoopste categorie. De kwaliteit varieert aanzienlijk – gecureerde OSINT vereist analistisch oordeelsvermogen om signaal van ruis te onderscheiden. Tools in deze categorie omvatten aggregators voor dreigingsintelligentie, monitors voor certificaattransparantiologboeken en passieve DNS-platforms.

Telegram- en socialemediamonitoring. Sinds 2022 is Telegram een primair operationeel kanaal geworden voor staatsgealigneerde dreigingsactoren, hacktivist-groepen en criminele actoren die kinetische operaties ondersteunen. Kanalen kondigen targetingbeslissingen aan vóór aanvallen plaatsvinden, plaatsen geclaimd inbreukbewijsmateriaal en coördineren verkenning. Systematische monitoring met geautomatiseerde entiteitsextractie – identificatie van genoemde organisaties, IP-bereiken en aanvalsmethoden – biedt waarschuwingsinlichtingen die niet beschikbaar zijn via traditionele feeds. Corvus.Sense automatiseert deze verzameling door LLM-gebaseerde classificatie toe te passen op Telegram-inhoud op schaal om operationeel relevante dreigingen voor overheidsorganisaties te detecteren.

Dark-webmonitoring. Criminele fora, markten voor initial access brokers en pastesites waar gecompromitteerde inloggegevens, vermeldingen van initiële toegang en verkenningsbevindingen worden verhandeld. Monitoring op vermeldingen van specifieke organisaties, IP-bereiken of inloggegevensomeinen biedt vroegtijdige waarschuwing voor aanstaande aanvallen. Dit vereist speciale tooling en analytische expertise – dark-webmonitoring zonder taalvaardigheid en operationele context levert hoge fout-positiefrequenties op.

ISAC's en vertrouwde uitwisselingsgemeenschappen. Information Sharing and Analysis Centers (ISAC's) voor overheids-, defensie- en kritieke-infrastructuursectoren bieden gecureerde dreigingsintelligentie van peer-organisaties. ISAC-lidmaatschap geeft toegang tot sectorspecifieke indicatoren en context die commerciële feeds niet bevatten. Voor defensieorganisaties zijn NATO NCIA en nationale CERT-uitwisselingsregelingen het equivalent.

Commerciële dreigingsintelligentiefeeds. Leveranciers zoals Recorded Future, Mandiant en Flashpoint bieden gecureerde, door analisten verrijkte inlichtingenproducten die afgewerkte inlichtingen, dark-webmonitoring en prioritering van kwetsbaarheden omvatten. Commerciële feeds zijn duur – licenties lopen van $50.000 tot $500.000 per jaar afhankelijk van de omvang – maar ze zijn productieklaar en vereisen minder analytische overhead dan ruwe OSINT-verzameling. De meeste overheidsprogramma's met budgetbeperkingen beginnen met open-source-infrastructuur en voegen selectief commerciële feeds toe naarmate het programma rijpt.

Fase 3 – bouw de verwerkingspijplijn

Ruwe verzamelde data is geen inlichtingen. De verwerkingspijplijn zet verzamelingsoutput om in gestructureerde, verrijkte, gededupliceerde indicatoren waarop analisten kunnen handelen.

De pijplijn heeft drie functionele componenten. Inname beheert de mechanica van het ophalen van data uit elk brontype op een gedefinieerd schema: API-polling voor commerciële feeds, RSS en scraping voor OSINT-bronnen, STIX/TAXII-pull voor ISAC-uitwisseling en webhook- of API-integratie voor interne telemetrie van de SIEM. Elke bron vereist een speciaal gebouwde adapter die output normaliseert naar het interne indicatorschema van het platform.

Verrijking voegt aanvullende context toe aan elke ingenomen indicator: WHOIS en passieve DNS voor domein- en IP-indicatoren, geolocatie en ASN-attributie, historische SIEM-observaties en relaties tot bekende dreigingsactorprofielen. Een IP-adres verrijkt met "gehost in ASN geassocieerd met historische APT-infrastructuur, voor het eerst gezien in 2025-campagnes gericht op [sector]-organisaties" is bruikbaar. Hetzelfde IP zonder verrijking is slechts een datapunt. Verrijkingspijplijnen moeten worden ontworpen voor latentie – trage verrijking vertraagt bruikbare output. Cache verrijkingsresultaten agressief en ververs asynchroon.

Deduplicatie voorkomt dat dezelfde indicator meerdere keren wordt verwerkt en opgeslagen wanneer hij van verschillende bronnen binnenkomt. Zonder deduplicatie creëert een drukke feedomgeving indicatordatabases met miljoenen redundante vermeldingen die de queryprestaties en het analistenvertrouwen verslechteren. Deduplicatie moet opereren op zowel het indicatorniveau (hetzelfde IP van twee bronnen) als het semantische niveau (hetzelfde domein met en zonder afsluitende punt).

Kernpunt: De platformkeuze in deze fase is consequentieel maar niet onomkeerbaar. MISP (Malware Information Sharing Platform) en OpenCTI zijn beide productieklare open-sourceplatformen die worden ingezet door nationale CERT's en defensieorganisaties wereldwijd. Beide ondersteunen STIX 2.1 en TAXII 2.1. OpenCTI biedt een modernere, op grafen gebaseerd datamodel en rijkere ondersteuning voor analistenworkflows; MISP heeft een grotere uitwisselingsgemeenschap en bredere ISAC-integratie. Begin met welke uw peers gebruiken – interoperabiliteit met uw uitwisselingspartners is belangrijker dan interne functieverschillen.

Fase 4 – stel analistenworkflows in

Een inlichtingenprogramma zonder analistenworkflows is een gegevensrepository. Analistenworkflows definiëren de herhaalbare processen waardoor ruwe verzameling afgewerkte inlichtingenproducten wordt die consumenten bereiken.

Triage. Niet alle inkomende indicatoren vereisen analistenaandacht. Triage is het proces van prioritering van de wachtrij: automatisch sluiten van indicatoren met lage betrouwbaarheid en lage relevantie; het routeren van hoge-prioriteitsalerts (nieuwe IoC's geassocieerd met getrackte actorgroepen die uw sector richten) naar onmiddellijke beoordeling; en het batchgewijs verwerken van routinematige verrijkingswerkzaamheden voor geplande verwerkingsvensters. Triagecriteria moeten expliciet worden gedefinieerd – zonder hen prioriteren analisten op volume in plaats van op relevantie voor PIR's.

Analyse. Analistenwerk heeft twee vormen: tactische analyse (beoordeling van een specifieke indicator of alert – is deze IoC geloofwaardig, wat is de context, rechtvaardigt het een update van een detectieregel?) en strategische analyse (het produceren van beoordelingen van de intentie, capaciteit en targeting van dreigingsactoren die beveiligingsbeslissingen op het managementniveau informeren). De meeste overheidsprogramma's beginnen met tactische analyse als hun primaire output en bouwen toe naar strategische beoordelingen naarmate het team vertrouwdheid met het dreigingslandschap opbouwt.

Verspreiding. Inlichtingenproducten moeten hun consumenten bereiken in formaten waarop ze kunnen handelen en via kanalen die ze monitoren. Operationele indicatoren stromen naar de SIEM als updates van detectieregels. Wekelijkse dreigingssamenvatttingen gaan als gestructureerde rapporten naar de CISO en het beveiligingsmanagement. Hoge-prioriteitsalerts triggeren directe notificatie aan het incidentresponsteam. Strategische beoordelingen worden verspreid als briefingdocumenten of formele inlichtingenproducten. Verspreidingsfouten – waarbij goede analyse ongelezen in een portal blijft zitten die niemand bezoekt – komen in overheidsprogramma's net zo vaak voor als verzamelingsfouten.

Fase 5 – integreer met SIEM en SOAR

De waarde van een CTI-programma wordt primair gerealiseerd door integratie met de beveiligingsoperatiestapel. De twee primaire integratiepunten zijn de SIEM- en SOAR-platforms waar detectie en respons plaatsvinden.

SIEM-integratie heeft twee vormen. IoC-gebaseerde integratie stuurt bekende slechte indicatoren (IP-adressen, domeinen, bestandshashes, URL's) van het CTI-platform naar de SIEM als opzoektabellen of blocklist-detectieregels. Wanneer een netwerkgebeurtenis overeenkomt met een bekend slecht IP, triggert de SIEM een alert. Dit is het meest frequente, minst analist-overhead-intensieve integratietype. TTP-gebaseerde integratie is geavanceerder: het CTI-platform publiceert MITRE ATT&CK-uitgelijnde detectielogica afgeleid van dreigingsactorprofilering, en de SIEM implementeert detectieregels die de gedragspatronen van getrackte actoren identificeren in plaats van specifieke indicatoren (die voortdurend roteren).

SOAR-integratie automatiseert respons op hoge-betrouwbaarheid CTI-afgeleide alerts: wanneer het CTI-platform een nieuw C2-domein identificeert dat is geassocieerd met een getrackte actorgroep, maakt een SOAR-playbook automatisch een blokkeringslegel aan, opent een ticket en informeert de relevante analist. Automatisering moet zorgvuldig worden afgestemd – alertmoeheid door lawaaierige SOAR-playbooks is een snellere manier om analistenvertrouwen te verliezen dan enig ander mislukkingspatroon in de stapel.

Fase 6 – meet effectiviteit en sluit de feedbacklus

Een CTI-programma dat zijn eigen effectiviteit niet meet, kan niet verbeteren. Meting vereist twee componenten: interne statistieken en consumentenfeedback.

Interne statistieken omvatten de verzamelingsconditie (uptime van bronnen, indicatorvolume, verrijkingslatentie), analistenproductiviteit (verwerkte indicatoren, geproduceerde rapporten, bijgewerkte detectieregels) en tijdigheid (tijd van eerste waarneming van indicator tot detectieregel in productie). Deze statistieken zijn noodzakelijk maar onvoldoende – een programma kan ze allemaal halen en toch geen beslissingen produceren.

Consumentenfeedback sluit de lus tussen inlichtingenproductie en operationele impact. Na elk inlichtingenproduct – een dreigingsbriefing, een batch detectieregels, een strategische beoordeling – gestructureerde feedback vragen aan de consument: waren de inlichtingen accuraat? Waren ze tijdig? Ondersteunden ze een beslissing? Wat ontbrak? Feedback die analisten bereikt, stuurt de prioritering van de verzameling en helpt hen begrijpen of hun werk operationeel relevant is. Zonder een feedbackmechanisme optimaliseren programma's voor productievolume in plaats van impact.

Sleutelrollen in een overheids-CTI-programma

Een minimaal levensvatbaar programma vereist minimaal twee rollen. Een CTI-analist verwerkt dagelijkse verzameling, triage, verrijking en tactische rapportage. Ze hebben vaardigheid in indicatoranalyse nodig, vertrouwdheid met het MITRE ATT&CK-framework en werkende kennis van de toolingstapel. Een programmamanager of inlichtingenleider beheert het vereistenproces, onderhoudt consumentenrelaties, coördineert met het management en zorgt ervoor dat de feedbacklus functioneert. In een tweepersoonsprogramma overlappen deze rollen vaak aanzienlijk.

Volwassen programma's voegen gespecialiseerde rollen toe: een malware-analist die samples kan reverse-engineeren en technische indicatoren kan produceren vanuit eerste principes; een dreigingsjager die CTI gebruikt om proactieve zoekopdrachten uit te voeren op de SIEM op zoek naar indicatoren van compromittering die nog geen alerts hebben getriggerd; en een strategische analist die beoordelingen op managementniveau produceert van de intentie en langetermijn-targetingtrends van dreigingsactoren. Deze rollen zijn aspirationeel voor de meeste eerste-generatie overheidsprogramma's – ze vertegenwoordigen het personeelsmodel van een capaciteit op volwassenheidsniveau 2 tot 3.

Toolcategorieën om te evalueren

Het CTI-toollandschap omvat vier functionele categorieën. Een dreigingsintelligentieplatform (MISP, OpenCTI, ThreatConnect, Anomali) verwerkt indicatoropslag, verrijking, analistenworkflows en STIX/TAXII-uitwisseling. Een verzamelingstoolinglaag verwerkt geautomatiseerde inname van specifieke brontypen: Telegram-monitoringtools (zoals Corvus.Sense), dark-webmonitoringdiensten en commerciële feedconnectors. Een SIEM (Splunk, Microsoft Sentinel, IBM QRadar) is de detectie- en alertinglaag waar CTI-output operationeel wordt geconsumeerd. Een SOAR-platform (Palo Alto XSOAR, Splunk SOAR) automatiseert responsworkflows aangestuurd door CTI-afgeleide alerts.

Evalueer tools aan de hand van drie criteria: integreert het met uw bestaande SIEM-stapel zonder maatwerkengineering; ondersteunt het STIX 2.1 voor uitwisseling met partnerorganisaties; en kan uw huidige analistenteam het bedienen zonder gespecialiseerde leveranciersondersteuning. Het laatste criterium elimineert een verrassend aantal enterprise-tools van de overweging in overheidsprogramma's met beperkt technisch personeel.

Hoe definieer je inlichtingenvereisten in 5 stappen

Het volgende proces is ontworpen om uitvoerbaar te zijn binnen één sprint van twee weken door een beveiligingsleider met toegang tot de belangrijkste organisatorische stakeholders.

Identificeer alle inlichtingenconsumenten. Breng elke eenheid in kaart die CTI-output zal gebruiken: SOC, CISO-kantoor, netwerk-/endpointteams, inkoop (leveranciersrisico), juridisch en compliance. Elk consumententype heeft verschillende vereisten die verschillende verzamelingsactiviteiten sturen.
Organiseer een workshop voor prioritaire inlichtingenvereisten. Voer gestructureerde sessies uit met elke consumentengroep. Vraag: welke beslissingen moet u nemen, en welk informatietekort weerhoudt u ervan die vol vertrouwen te nemen? Vertaal tekorten naar specifieke, beantwoordbare PIR-vragen.
Koppel PIR's aan dreigingsactoren en verzamelingsbronnen. Identificeer voor elke PIR welke dreigingsactoren relevant zijn voor uw sector en geografie, en identificeer vervolgens welke verzamelingsbronnen de vraag kunnen beantwoorden. Deze koppeling definieert uw minimaal levensvatbare verzamelingsarchitectuur.
Wijs eigenaren en rapportagecadans toe. Elke PIR heeft een verantwoordelijke analist, een gedefinieerde leveringscadans (dagelijks, wekelijks, maandelijks) en een verspreidingskanaal nodig. Zonder expliciet eigenaarschap blijven PIR's aspirationeel in plaats van operationeel.
Stel een feedbacklus in. Vraag na elk geleverd inlichtingenproduct gestructureerde feedback: was het accuraat, tijdig en bruikbaar? Ondersteunde het een beslissing? Verwerk feedback in de volgende verzamelingsplanningscyclus.

Veelgemaakte fouten bij de opbouw van overheids-CTI-programma's

Verzamelen zonder te consumeren. Het meest voorkomende mislukkingspatroon. Teams zetten een MISP-instantie op, nemen 50 commerciële feeds in en accumuleren miljoenen indicatoren die geen enkele analist leest en waarnaar geen enkele detectieregel verwijst. De grondoorzaak is vrijwel altijd een ontbrekend vereistenproces – niemand heeft gedefinieerd welke vragen het programma geacht werd te beantwoorden, waardoor de output geen consument heeft.

Geen feedbacklus. Inlichtingenprogramma's die geen consumentenfeedback vragen, verliezen kalibratie binnen één rapportagecyclus. Analisten optimaliseren voor outputvolume omdat dat meetbaar is; zonder feedback over of die output beslissingen ondersteunde, hebben ze geen signaal voor kwaliteitsverbetering. Feedbacklussen zijn structureel, niet cultureel – ze moeten expliciet worden ingebouwd in de operationele cadans van het programma.

Overbouwen van fase 3 voordat fase 1 is voltooid. Het is verleidelijk te investeren in een geavanceerde verwerkingspijplijn voordat het vereistenproces is voltooid. Het resultaat is een technisch indrukwekkend systeem dat de verkeerde dingen verzamelt en output produceert die niemand gebruikt. Besteed de eerste maand aan vereisten, niet aan tooling.

CTI behandelen als een probleem van het beveiligingsteam. CTI-programma's die volledig binnen het beveiligingsteam zijn afgebakend, produceren operationele inlichtingen maar missen de strategische consumenten – inkoop, juridisch, management – die dreigingscontext nodig hebben voor beslissingen die het beveiligingsteam niet zelfstandig kan nemen. Het opbouwen van consumentenrelaties buiten de beveiligingsperimeter is een programmabeheerfunctie, geen technische.

Gerelateerde lectuur: voor de technische architectuur van een CTI-platform nadat de programmagrondslag is gelegd, zie Cyber Threat Intelligence Platforms voor Defensie. Voor de bredere OSINT-monitoringstapel die overheids-CTI-verzameling voedt, behandelt het gelinkte artikel bronselectie en tooling in diepte. Organisaties die de detectiezijde van de stapel opbouwen, dienen ook SIEM/SOAR-integratie voor militaire omgevingen te bekijken.

Bespreek uw CTI-programma

Wij bouwen geautomatiseerde systemen voor het verzamelen en verwerken van dreigingsintelligentie voor defensie- en overheidsorganisaties — van Telegram-monitoring tot SIEM-integratiepijplijnen.

Corvus.Sense → Boek een briefing

Deze analyse is opgesteld door Corvus Intelligence-engineers die missiekritieke software bouwen voor defensie- en overheidsorganisaties. Lees meer over ons team →

Veelgestelde vragen

Hoeveel kost het opbouwen van een overheids-CTI-programma?

Een minimaal levensvatbaar CTI-programma — één analist, één open-sourceplatform (MISP of OpenCTI), samengestelde OSINT-feeds en basisintegratie met de SIEM — kan worden opgezet voor minder dan $150.000 per jaar inclusief personeel. Een volwassen capaciteit met commerciële feedlicenties, toegewijde analisten, geautomatiseerde verzamelingstooling en volledige SIEM/SOAR-integratie kost doorgaans $500.000 tot $1,5 miljoen per jaar. Budget is de meest voorkomende beperking bij de overheid, en daarom is een gefaseerde aanpak — te beginnen met open-sourcetooling en één gedefinieerde gebruikscase — de aanbevolen instaproute.

Hoeveel analisten heeft een overheids-CTI-programma nodig?

Een minimaal levensvatbare CTI-functie vereist minimaal twee analisten om continuïteit te waarborgen (dekking bij verlof, ziekte en roulatie). In de praktijk kan een programma dat één instantie of commando ondersteunt effectief functioneren met twee tot vier analisten, mits de verzameling geautomatiseerd is en zij worden ondersteund door tooling die inname, verrijking en deduplicatie afhandelt. Programma's die meerdere organisaties ondersteunen of geclassificeerde inlichtingen verwerken, vereisen doorgaans zes tot tien analisten verdeeld over verzamelings-, analyse- en verspreidingsrollen.

Moet een overheids-CTI-programma open-source of commerciële tools gebruiken?

Open-sourceplatformen — MISP en OpenCTI — zijn productieklaar, worden breed ingezet bij nationale CERT's en defensieorganisaties, en bieden volledige STIX/TAXII-ondersteuning. Ze vormen het aanbevolen startpunt voor overheidsprogramma's die commerciële licenties in het eerste jaar niet kunnen verantwoorden. Commerciële tools (Recorded Future, Mandiant Advantage, Flashpoint) voegen onderzoeksportalen op analistenniveau toe, samengestelde afgewerkte inlichtingen en dark-webdekking die open-sourcetools niet kunnen bieden. Het praktische antwoord voor de meeste overheidsprogramma's is: open-source-infrastructuur met selectieve commerciële feedabonnementen voor specifieke verzamelingshiaten.

Wat is een CTI-volwassenheidsmodel en waar bevinden de meeste overheidsinstanties zich?

Een CTI-volwassenheidsmodel beschrijft de progressie van reactief (geen gestructureerde inlichtingencapaciteit, reageren op incidenten achteraf) via proactief (gestructureerde verzameling, gedefinieerde vereisten, geïntegreerd met detectie) tot voorspellend (vijandige acties anticiperen voordat ze plaatsvinden, gesloten feedbacklussen, inlichtingen die beslissingen op strategisch niveau sturen). De meeste overheidsinstanties buiten toegewijde inlichtingen- of defensieorganisaties opereren op reactief of vroeg proactief niveau — ze consumeren dreigingsinlichtingen passief via leveranciersadviezen en CERT-waarschuwingen, maar hebben geen eigen gestructureerd vereisten-, verzamelings- of verspreidingsproces.

Wat is de grootste fout die overheidsorganisaties maken bij het starten van een CTI-programma?

Verzamelen zonder te consumeren. Het is eenvoudig om feeds op te zetten, indicatoren in te nemen en een database te vullen. De mislukkingsvorm is dat niemand de output leest, detectieregels nooit worden bijgewerkt en het programma geen beslissingen oplevert. De grondoorzaak is vrijwel altijd dezelfde: inlichtingenvereisten zijn nooit gedefinieerd, waardoor analisten niet weten wat ze moeten verzamelen en consumenten niet weten wat ze moeten vragen. De feedbacklus — waarbij consumenten het CTI-team vertellen of inlichtingen accuraat en bruikbaar waren — komt nooit tot stand. Los het vereistenproces eerst op, dan pas de verzameling.