De beperkingen van alleen SIEM in een moderne IT-omgeving

vrijdag, 1 mei 2026 (12:40) - Techzine

In dit artikel:

Onderzoek van CardinalOps toont dat moderne SIEM-platforms zelfstandig bijna 80% van de bekende aanvalstechnieken uit het MITRE ATT&CK-framework niet detecteren. Dit betekent dat veel organisaties met een op SIEM gebaseerde detectiestrategie grote blinde vlekken hebben, waardoor aanvallers maandenlang onopgemerkt kunnen blijven. Een concreet voorbeeld is Process Injection (T1055): zonder aanvullende detectieregels blijven dergelijke technieken vaak meer dan 90 dagen onopgemerkt.

Gemiddeld dekt een SIEM op zichzelf slechts circa 21% van de relevante technieken, terwijl ongeveer 13% van bestaande detectieregels niet werkt door verkeerde configuratie of ontbrekende logvelden. Ironisch genoeg ontbreekt het niet aan data: SIEM’s verwerken gemiddeld 259 logtypen afkomstig van bijna 24.000 bronnen. Theoretisch zou daarmee meer dan 90% van MITRE ATT&CK af te dekken zijn, maar in de praktijk ontbreekt het aan de mensen, processen en voortdurende optimalisatie om die gegevens om te zetten in betrouwbare detecties.

Door deze tekortkomingen vullen steeds meer organisaties hun SIEM aan met XDR (Extended Detection and Response) en schakelen ze MDR-diensten (Managed Detection and Response) in. XDR/MDR gebruiken naast logregels ook gedragsanalyse, endpointtelemetrie en dreigingsinformatie, ondersteund door continue monitoring en menselijke expertise, wat afwijkingen sneller en nauwkeuriger opspoort dan regels alleen.

SIEM blijft waardevol voor fundamenten zoals compliance (bijv. NIS2 en DORA) en als logrepository, maar het mag niet het enige instrument zijn voor dreigingsdetectie. Detectie-engineering vraagt permanente afstemming en tuning; het is geen eenmalige klus. Organisaties die nog sterk leunen op alleen SIEM doen er verstandig aan hun dekking kritisch te toetsen en te investeren in geïntegreerde oplossingen: SIEM + XDR/MDR, aangevuld met offensieve securitytests en actuele threat intelligence, kan de hiaten dichten en zorgen voor actieve respons in plaats van alleen observatie.

Wil je weten waar jouw detectiestrategie tekortschiet, dan biedt Conscia onafhankelijke assessments aan om blinde vlekken in kaart te brengen.