Ga naar de hoofdinhoud

Wanneer ‘we denken dat we het wel zouden opvangen’ niet genoeg is: TTX + TTP-herhaling voor moderne SOC’s

30 april 2026
Andrew Heller

De meeste organisaties klinken nog steeds zelfverzekerd als ze het over cyberparaatheid hebben. Beleidsdocumenten worden goedgekeurd, tools worden geïmplementeerd en jaarlijkse simulatieoefeningen wekken de indruk dat er sprake is van coördinatie. Maar wanneer diezelfde teams worden getest in realistische oefeningen, neemt de nauwkeurigheid van de besluitvorming sterk af en duurt het vaak dagen in plaats van uren voordat de situatie onder controle is

Voor IT-leiders en SOC-managers vormt die kloof tussen vertrouwen en realiteit het echte risico. Het probleem is simpel: tabletop-oefeningen (TTX) en technische tests (TTP-replay, purple teaming, red teaming) worden doorgaans parallel uitgevoerd, met verschillende verantwoordelijken, verschillende doelstellingen en zonder gedeelde gegevens. Daardoor is iedereen aangewezen op aannames wanneer incidenten moeten worden afgehandeld binnen strikte deadlines die worden opgelegd door NIS2, de AVG, contracten en klanten

Het Offensive Cybersecurity Advisory Team (Lares) van Damovo heeft een zesstappenmethode voor adversarial integratie ontwikkeld die TTX en het naspelen van TTP’s in een live-omgeving bewust samenbrengt in één gesloten cyclus. Het doel is duidelijk: ‘we denken dat we het zouden opmerken’ vervangen door bewijs dat aantoont hoe uw organisatie kritieke aanvallen daadwerkelijk detecteert, escaleert en rapporteert.

De kloof tussen verwachting en werkelijkheid: wanneer aannames en de realiteit met elkaar in botsing komen

Op papier denken de meeste organisaties dat ze ernstige incidenten kunnen opsporen, indammen en ervan herstellen. Uit onafhankelijke vergelijkende onderzoeken blijkt echter dat de nauwkeurigheid van de besluitvorming tijdens realistische oefeningen slechts een fractie bedraagt van wat leidinggevenden verwachten, en dat de gemiddelde tijd die nodig is om een incident in te dammen regelmatig meer dan 24 uur bedraagt. Dat is een ernstig probleem in een Europese context, waar de klok voor incidentmeldingen tegenwoordig binnen enkele uren begint te tikken, en niet pas na dagen.

Klassieke simulaties vormen een deel van het probleem. Ze leggen tekortkomingen in mensen en processen bloot – verwarrende escalatieprocedures, onduidelijke verantwoordelijkheden, ontbrekende regelgevende stappen – maar ze gaan uit van technische aannames die nooit worden geverifieerd. Deelnemers beweren vol vertrouwen dat „de firewall dat wel zal blokkeren“, „EDR zeker een waarschuwing zal geven“ of „het SOC dit binnen tien minuten zou opmerken“, en de oefening gaat gewoon door.

Aan de andere kant richten veel purple team detectie-engineeringprogramma’s zich nog steeds op het afwerken van het framework. Teams spelen ‘MITRE ATT&CK-bingo’ en werken zoveel mogelijk technieken af zonder deze te koppelen aan specifieke bedrijfsrisico’s, beslissingsmomenten of rapportageverplichtingen.

Het resultaat is een schijnvertoning waarbij geen van beide benaderingen een antwoord biedt op de enige vraag die er voor IT- en SOC-leiders toe doet: „Kunnen we deze aanval, in deze omgeving, opmerken, erop reageren en aantonen dat we op tijd de juiste maatregelen hebben genomen?“

Waarom TTX alleen niet voldoende is voor IT- en SOC-leiders

Vanuit operationeel oogpunt hebben traditionele desktopprogramma’s drie belangrijke blinde vlekken.

  • Geen telemetrie: Tabletops genereren notities en actiepunten, geen logbestanden, waarschuwingen of timinggegevens die kunnen worden gebruikt voor detectietechniek.
  • Onbevestigde aannames: Engineers moeten gissen naar het gedrag van EDR-, SIEM-, identiteits-, OT- en cloudcontroles, omdat niemand de aanval daadwerkelijk uitvoert.
  • Geen koppeling met de roadmap voor tooling: Zonder concreet bewijs is het moeilijk om prioriteit te geven aan wijzigingen in de logboekregistratie, het afstemmen van regels of architectuurwerk dat de respons wezenlijk zou verbeteren.

Dit wordt nog verergerd door wettelijke termijnen. De meldingsplicht voor incidenten in het kader van NIS2 kan vereisen dat er binnen 24 uur een eerste melding wordt gedaan en binnen 72 uur een meer gedetailleerde update, terwijl de AVG een eigen meldingsplicht van 72 uur oplegt voor inbreuken op persoonsgegevens. Als de resultaten van de TTX niet zijn afgestemd op wat uw tools daadwerkelijk kunnen detecteren en hoe snel ze dat doen, spelen leidinggevenden in feite een gokspel met die deadlines.

Maak kennis met Damovo’s 6-stappenmethode voor adversarial integratie

Om deze kloof te dichten, maakt het Offensive Cybersecurity Advisory Team (Lares) van Damovo gebruik van een zesstappenmethode voor adversarial integratie, die begint met één enkel, realistisch dreigingsscenario en dit scenario volledig doorloopt, van simulatieoefeningen tot het naspelen en opnieuw testen van TTP’s in een live-omgeving.

In grote lijnen zijn de zes stappen:

  1. Begin met een bedreiging die voor uw bedrijf echt van belang is.
  2.  Zorg voor een overzicht waarin alle aannames – en alle deadlines – zijn opgenomen.
  3. Zet het verhaal om in een TTP-draaiboek voor een confrontatie.
  4. Pas de TTP's toe in uw omgeving.
  5. Breng de telemetrie in overeenstemming met de theoretische aannames.
  6. Repareer, optimaliseer en toon de verbetering aan.

Elke stap is zo opgezet dat IT-leiders, SOC-managers, risico-, juridische en communicatiemedewerkers allemaal uitgaan van hetzelfde verhaal en hetzelfde bewijsmateriaal, in plaats van afzonderlijke exercities en presentaties.

Stap 1: Begin met een bedreiging die voor je bedrijf echt van belang is

Alles begint met een geloofwaardig scenario dat uw organisatie daadwerkelijk zou kunnen ontwrichten – niet zomaar een abstract „ransomware-incident ergens in het netwerk“. Het scenario is opgebouwd uit:

  • Interne informatie over cyberdreigingen en een overzicht van eerdere incidenten.
  • Sectorspecifieke informatie-uitwisseling (bijvoorbeeld via ISAC’s) en actuele dreigingsrapporten.
  • Inbreng van de juridische afdeling, de risicoafdeling en de inkoopafdeling met betrekking tot cruciale leveranciers en risico’s in verband met derde partijen.

 

Voorbeelden hiervan zijn onder meer een inbreuk bij een belangrijke SaaS-leverancier die leidt tot escalatie van bevoegdheden in de cloud binnen een voor de omzet cruciale bedrijfsunit, gerichte phishing die leidt tot identiteitsdiefstal in uw hybride Active Directory- en cloudtenants, of het weglekken van gegevens via goedgekeurde samenwerkingstools die worden gebruikt door teams die in contact staan met klanten.

Als je eigen technische leidinggevenden of applicatiebeheerders niet geloven dat dit scenario zich zou kunnen voordoen, zullen ze zich terugtrekken; deze eerste stap zorgt ervoor dat ze hun eigen systemen en verantwoordelijkheden in het verhaal herkennen.

Stap 2: Voer een simulatie uit waarin alle aannames worden meegenomen

Nu het scenario vastligt, is de volgende stap een gerichte tabletop-oefening voor de afdelingen IT, beveiliging, bedrijfsvoering, juridische zaken en communicatie. Het doel is om de organisatie onder druk te zetten terwijl verschillende wettelijke en contractuele termijnen tegelijkertijd lopen, en niet alleen om een algemeen draaiboek door te nemen.

Dit omvat de termijnen voor vroegtijdige waarschuwing en melding in het kader van NIS2, de verplichting uit de AVG om inbreuken binnen 72 uur te melden, en eventuele sectorspecifieke of contractuele meldingsbepalingen. De facilitators brengen deze punten in kaart binnen het scenario en vragen in elke fase wie verantwoordelijk is voor de classificatie, wie met wie communiceert en wanneer de meldingen van start gaan, zelfs als de onderliggende oorzaak nog onduidelijk is.

Het belangrijkste voor IT- en SOC-managers is dat elke technische uitspraak een expliciete aanname wordt: „we zouden het binnen een uur weten“, „het SIEM-systeem zou deze gebeurtenissen met elkaar in verband brengen“, „IAM-analyses zouden het gedrag signaleren“ of „we zouden de getroffen systemen kunnen isoleren voordat we de autoriteiten op de hoogte brengen“. Die aannames worden vastgelegd met tijdstempels; ze worden hypothesen die in stap 3 en stap 4 worden getoetst.

Stap 3: Zet het verhaal om in een draaiboek voor de TTP’s van de tegenstander

Zodra het concept is uitgewerkt, zetten de offensieve ingenieurs van Damovo het verhaal om in een concreet, praktisch TTP-draaiboek. De reikwijdte is nauw afgestemd op het scenario, in plaats van te proberen elke techniek binnen een vast kader te oefenen.

In het geval van een inbreuk op cloudidentiteiten kan het draaiboek bijvoorbeeld het volgende bevatten:

  • Specifieke manieren waarop inloggegevens worden gestolen en tokens worden hergebruikt bij uw cloud-identiteitsprovider of SaaS-platform.
  • Technieken om ‘uit de beschikbare middelen te putten’ met behulp van bestaande beheertools, scriptmogelijkheden en goedgekeurde diensten.
  • Manieren waarop gegevens via uw goedgekeurde cloudopslag, e-mailsystemen of samenwerkingsapps naar buiten worden gesluisd.

 

Gedurende deze stap blijven de IT-architectuur- en SOC-teams betrokken, zodat het draaiboek een getrouwe weergave vormt van de daadwerkelijke beveiligingsmaatregelen, logboekmogelijkheden en beperkingen op het gebied van wijzigingsbeheer. Zo wordt voorkomen dat tests zich richten op aanvallen waaraan uw omgeving niet blootstaat, of op beveiligingsmaatregelen die u in de productieomgeving niet daadwerkelijk toepast.

Stap 4: Speel de TTP’s na in uw omgeving

Vervolgens volgt een gecontroleerde purple team waarbij gebruik wordt gemaakt van het opgestelde draaiboek in uw productieomgeving of een omgeving die daarop lijkt. Hier worden de aannames uit de theoretische simulatie vervangen door waarneembaar gedrag van uw tools en teams.

Tijdens deze stap werkt het Offensive Cybersecurity Advisory Team (Lares) van Damovo samen met uw SOC- en IT-teams om drie belangrijke resultaten te realiseren:

  • Werkelijkheid van de uitvoering: welke aanvalsstappen succesvol waren, welke werden geblokkeerd en welke slechts gedeeltelijk werden gedetecteerd.
  • Telemetrie-bereik: gebeurtenissen en waarschuwingen van EDR/XDR, SIEM, identiteitsplatforms, cloudlogs en netwerkcontroles, plus hiaten in het inzicht waar verwachte gegevens ontbreken of vertraagd zijn.
  • Tijden: werkelijke gemiddelde detectietijd (MTTD) en gemiddelde responstijd (MTTR) per team en per laag.

 

Lares omschrijft dit als een test van het zenuwstelsel van je organisatie: alles wat zich bevindt tussen de toetsaanslagen van een aanvaller en je dashboards. Voor SOC-managers is dit het moment waarop detectieregels en playbooks eindelijk in de praktijk worden gebracht, gericht op precies dat gedrag dat het bedrijf in stap 2 heeft besproken.

Stap 5: Breng de telemetrie in overeenstemming met de theoretische aannames

In de vijfde stap legt de methodologie de werkelijke lacune in de paraatheid bloot. Het tijdschema en de beslissingen uit de simulatie worden naast de bevindingen uit de TTP-herhaling gelegd.

Typische bevindingen zijn onder meer:

  • Het management ging ervan uit dat „we dit binnen 30 minuten zouden opmerken“; uit de telemetrie blijkt echter dat de eerste relevante waarschuwing pas na 90 minuten binnenkwam, omdat de cloudlogs vertraging hadden opgelopen of onvolledig waren.
  • Op het presentatiedocument stond: „Het SIEM zal deze gebeurtenissen met elkaar in verband brengen“; in werkelijkheid waren er wel afzonderlijke logboekvermeldingen aanwezig, maar werden de correlatieregels nooit geactiveerd, waardoor de activiteit opging in de achtergrondruis.
  • Volgens het plan zouden IAM of UEBA ongebruikelijk tokengebruik moeten signaleren; in de herhaling werd er geen waarschuwing gegenereerd omdat de analysefuncties voor die provider of tenant niet waren ingeschakeld.

 

Op basis hiervan helpt Damovo bij het kwantificeren van statistieken zoals de nauwkeurigheidsgraad van aannames (welk percentage van de technische aannames in de TTX bleek correct te zijn), de detectienauwkeurigheid (de signaal-ruisverhouding voor de geteste gedragingen) en de validatie van corrigerende maatregelen (hoeveel van de geïdentificeerde tekortkomingen zijn bij herhalingstests met succes verholpen). Deze statistieken bieden IT-leiders en SOC-managers veel concretere rapportagegegevens dan algemene ‘volwassenheidsscores’.

Stap 6: Aanpassen, afstemmen en de verbetering aantonen

De laatste stap zet al deze inzichten om in meetbare vooruitgang. Damovo werkt samen met uw teams om prioriteiten te stellen voor het verhelpen van tekortkomingen op basis van risico, nalevingsrisico’s en de benodigde implementatie-inspanningen, en valideert de wijzigingen vervolgens door middel van gerichte hertests.

Veelvoorkomende verbeteringen zijn onder meer:

  • Het dichten van hiaten in de logboekregistratie en het standaardiseren van telemetrie binnen cloud-, SaaS-, netwerk- en identiteitsplatforms.
  • Het afstemmen of opstellen van SIEM-correlatieregels, EDR/XDR-beleidsregels en IAM-analyses die specifiek gericht zijn op het opsporen van herhaald gedrag.
  • Het aanpassen van de runbooks voor incidentclassificatie, escalatie en communicatie om de knelpunten weg te werken die tijdens de tabletop-oefening aan het licht zijn gekomen.

 

Vervolgens worden relevante delen van het TTP-draaiboek opnieuw uitgevoerd om te controleren of de MTTD en MTTR zijn verbeterd en of activiteiten die voorheen over het hoofd werden gezien, nu betrouwbaar worden gedetecteerd. Voor het IT-management levert dit voor elk scenario een voor-en-na-overzicht op: dit is wat we veronderstelden, wat we hebben waargenomen, wat we hebben aangepast en hoeveel sneller en betrouwbaarder we nu kunnen reageren.

Hoe dit er in de praktijk uitziet: misbruik van cloudidentiteiten

Stel je een scenario voor waar veel organisaties zich momenteel zorgen over maken: een inbreuk bij een cruciale SaaS-aanbieder die leidt tot escalatie van bevoegdheden in de cloud.

  • Stap 1: uit dreigingsinformatie blijkt dat er een actief risico in de toeleveringsketen bestaat voor uw identiteitsprovider.
  • In stap 2 gaat het scenario ervan uit dat IAM-analyses afwijkend tokengebruik zullen signaleren en dat het SOC de identiteit binnen vijftien minuten zal achterhalen, terwijl de klokken voor NIS2-vroegtijdige waarschuwingen en GDPR-rapportage al zijn gaan tikken.
  • Stap 3: ingenieurs stellen een TTP-handleiding op die gericht is op het stelen van cloud-inloggegevens en het hergebruik van tokens, afgestemd op uw omgeving.
  • Stap 4: het purple team de token-diefstal purple team . EDR merkt de beweging die uitsluitend via de cloud plaatsvindt niet op, en de SIEM-regels worden niet geactiveerd omdat de cloudlogboeken verkeerd zijn geconfigureerd.
  • In stap 5 wordt duidelijk dat de aanname dat het probleem binnen vijftien minuten onder controle zou zijn, gezien de beschikbare telemetrie volstrekt onrealistisch was; er werd helemaal geen waarschuwing gegenereerd.
  • Stap 6: de logboekregistratie is gecorrigeerd, de IAM-correlatiezoekopdrachten zijn geïmplementeerd en het scenario wordt opnieuw uitgevoerd. Deze keer detecteert en isoleert het SOC de identiteit binnen twaalf minuten, waarmee een veronderstelling wordt omgezet in een bewezen capaciteit.

Dit is het soort concrete, door feiten onderbouwde beschrijving waarmee het gemakkelijker wordt om werkzaamheden op het gebied van detectietechniek, investeringen in logboekregistratie en proceswijzigingen te rechtvaardigen, zowel tegenover interne belanghebbenden als tegenover toezichthouders.

Hoe Damovo u kan helpen

Via Damovo Security Services, mogelijk gemaakt door Lares, kunnen organisaties deze 6-stappenmethode voor adversarial integratie in hun eigen omgevingen toepassen als onderdeel van een doorlopend validatieprogramma, en niet slechts als een eenmalig project.

In samenwerking met uw IT- en SOC-teams kan Damovo u helpen met:

  • Ontwerp realistische scenario’s die rekening houden met mogelijke bedreigingen en die aansluiten bij uw omgeving en uw blootstelling aan regelgeving.
  • Gebruik tabellen die toetsbare aannames en besluitlogboeken opleveren in plaats van algemene actielijsten.
  • Voer een gerichte TTP-simulatie uit om de detectie en reactie in die scenario’s te valideren.
  • Breng de achterstand in de voorbereiding in kaart aan de hand van meetbare indicatoren die begrijpelijk zijn voor raden van bestuur, accountants en toezichthouders.

Zorg voor een herhaalbare cyclus van correctie en hertesten die de prestaties in de loop van de tijd verbetert.

Maak van je volgende tafelblad bewijsmateriaal

Als u uw volgende tabletop-oefening aan het plannen bent, is dit het juiste moment om er meer van te maken dan alleen een workshop. Door de tabletop-oefening te combineren met het terugkijken van de TTP in een gestructureerde cyclus van zes stappen, kunt u de overstap maken van aannames en presentaties naar telemetrie, timing en bewezen verbeteringen.

Volgende stap: neem contact op met uw Damovo-accountteam of neem rechtstreeks contact op met het Lares-team om te bekijken hoe wij u kunnen helpen bij de implementatie van de 6-stappenmethode voor adversarial integratie binnen uw organisatie.

praat met onze experts
Sluit u aan bij meer dan 10.000 anderen op de e-maillijst van Damovo om de nieuwste inzichten en exclusieve content te ontvangen.
Nu abonneren