MDR in 2026 is meer dan alleen alerts afhandelen

In dit artikel:

Tesorion-topmannen Erik de Jong (Chief Research Officer) en Eric van Gend (CEO) leggen in een gesprek uit hoe Managed Detection & Response (MDR) zich heeft ontwikkeld van louter detectie en respons naar een bredere, preventieve en adviserende dienst. MDR omvat vandaag niet alleen monitoring, maar ook voorafgaande controles, advies en procesverbetering om organisaties structureel weerbaarder te maken tegen cyberdreigingen.

Kernpunten
- Preventie vóór monitoring: Tesorion start MDR-trajecten met een zogenaamde baseline-check om configuraties en instellingen te beoordelen en gebreken te repareren voordat continue bewaking begint. Dit verbetert de security posture nog vóór dat incidenten optreden.
- Brede scope: MDR bestrijkt niet alleen on-premise systemen, maar ook cloudomgevingen, SaaS-applicaties en identity management. Monitoring van identiteiten en endpoints is volgens Tesorion de minimale vereiste om een volledig beeld van risico’s te krijgen.
- Flexibele technologiekeuze: In plaats van één vast platform werkt Tesorion met meerdere leveranciers, waardoor klanten kunnen kiezen op basis van functionaliteit of kosten. De organisatie werkt bijvoorbeeld met Google SecOps waar relevant en heeft een duidelijke voorkeur voor Microsoft Defender op endpoints, maar koppelt ook andere EDR-oplossingen aan het MDR-platform.
- Operationele veerkracht via DevOps: Tesorion bouwt eigen workarounds wanneer leveranciersupdates datadelingen verstoren, zodat cruciale telemetrie niet verloren gaat en monitoring doorloopt.
- Transparantie over performance: Prestaties van MDR-aanbieders moeten inzichtelijk zijn; belangrijk zijn twee metrics: aantal false positives (hoe vaak wordt onterecht alarm geslagen) en gemiste incidenten. Tesorion rapporteert dat het afgelopen jaar vijf situaties gemist zijn, en nuanceert dat ‘missen’ kan ontstaan doordat iets niet gemonitord werd, wel gelogd maar geen alert genereerde, of doordat een analist een verkeerde inschatting maakte.
- Filtering en alert fatigue: Veel meer alerts worden intern onderzocht dan aan klanten gerapporteerd; typisch meldt Tesorion ongeveer 10% van wat zij intern onderzoeken. Deze filtering voorkomt overbelasting van klanten en analisten, maar vereist zowel geavanceerde tooling als menselijke expertise.
- Adviserende rol: MDR stopt niet bij het signaleren van incidenten. Tesorion geeft structureel advies over patchbeleid, configuratie-aanpassingen en procesverbeteringen en rapporteert maandelijks over zichtbaarheid, alertvolume en prioriteiten. Als patchen niet mogelijk is om bedrijfstechnische redenen, worden alternatieven voorgesteld zoals segmentatie of intensievere monitoring.
- Basisveiligheid en processen blijven knelpunt: Dingen als patching, het tegengaan van shadow IT en goed vastgesteld beleid blijven terugkerende uitdagingen, ook al is de situatie verbeterd ten opzichte van tien of twintig jaar geleden.
- Regeldruk en CISO as a Service: De NIS2-wetgeving verhoogt de verplichtingen voor veel organisaties en maakt MDR en fractionele CISO-diensten aantrekkelijker voor bedrijven die geen fulltime CISO kunnen betalen. Tesorion biedt CISO as a Service voor deze behoefte.
- Menselijke factor en automatisering: SOC-werk is mentaal intensief en vereist afwisseling en uitdaging om personeelsverloop te beperken. Automatisering en AI worden ingezet om ruis weg te nemen en analisten te concentreren op de echte incidenten.

Aanbevelingen voor organisaties
- Vraag een MDR-provider naar aantallen false positives en hoe vaak zaken gemist worden; dat geeft inzicht in werkwijze en risico’s.
- Controleer welke coverage (endpoints, identiteit, cloud, SaaS) wordt geboden en hoe diep de integratie met bestaande tooling is.
- Evalueer of de leverancier alleen detecteert of ook helpt bij structurele verbeteringen (patching, segmentatie, procesadvies).
- Overweeg CISO-diensten als compliance-eis (NIS2) of beperkte interne middelen het onmogelijk maken om een fulltime CISO aan te stellen.

Conclusie
MDR is niet langer alleen een alarmservice maar een combinatie van technologie, procesbegeleiding en menselijke expertise gericht op continu verbeteren. Een goede MDR-partner levert detectie, vermindert ruis met slimme filtering en helpt organisaties structureel hun beveiligingsniveau te verhogen; volledige ontzorging bestaat niet, maar met de juiste partner verschuift security van incidentreactie naar een beheerst verbeterproces.