Home > Blog > Low-tech, toch critical

Low-tech, toch critical

Date: 12.06.26

Low alerts, toch een high critical warning. Waarom correlatie het verschil maakt
In veel security omgevingen draait alles om prioriteit. High alerts krijgen direct aandacht, low alerts verdwijnen vaak naar de achtergrond. Begrijpelijk, want capaciteit is beperkt. Maar precies daar zit een blinde vlek.

Aanvallers werken zelden met één duidelijke actie. Ze bewegen in kleine stappen, die op zichzelf weinig risico lijken te vormen. Pas als je ze samen bekijkt, ontstaat het echte beeld.

Neem een simpel voorbeeld. Een login vanaf een ongebruikelijke locatie en kort daarna een kleine wijziging in rechten. Individueel zijn dit lage alerts. Geen directe reden tot escalatie. Maar gecombineerd is het gedrag verdacht. Iemand krijgt toegang en vergroot direct zijn privileges. Dat is geen toeval meer.

Veel tooling beoordeelt dit soort signalen nog steeds los van elkaar genereren alerts per event. Zonder context blijft de classificatie laag, terwijl het risico in werkelijkheid oploopt.

Aanvallers maken hier bewust gebruik van. Ze verspreiden hun activiteiten over meerdere stappen:

  • eerst toegang via een legitiem account
  • daarna kleine privilege escalatie
  • vervolgens rustige laterale beweging

Elke stap lijkt onschuldig. Samen vormen ze een aanval. Dit sluit ook aan bij hoe het MITRE ATT&CK model werkt, waarin juist de combinatie en volgorde van technieken bepalend is.

Hier komt correlatie in beeld. Door signalen te combineren en in context te plaatsen, verandert de beoordeling. Twee lage alerts worden samen ineens relevant. Niet omdat ze individueel ernstig zijn, maar omdat ze samen een patroon vormen.

Een platform zoals Pakaros is precies daarvoor gebouwd. Het kijkt niet naar losse alerts, maar naar gedrag over tijd en over meerdere databronnen. Daardoor kan het herkennen wanneer:

  • meerdere kleine afwijkingen elkaar versterken
  • timing en volgorde logisch op elkaar aansluiten
  • een aanval zich stap voor stap opbouwt

Wat eerst “low” lijkt, wordt dan terecht “high”.

De realiteit is simpel. De meeste aanvallen zijn niet luid en duidelijk. Ze zijn stil, gefragmenteerd en opgebouwd uit kleine acties. Als je die niet samenbrengt, mis je het grotere geheel.

De vraag is dus niet hoeveel high alerts je hebt.
De vraag is hoeveel low alerts je eigenlijk verkeerd inschat.

Gerelateerde artikelen

© Copyright 2026 Pakaros
  |  
Webdesign LEEFmedia.nl