Home / Blog / Waarom antivirus niet genoeg is

Waarom standaard antivirus niet genoeg is

calendar_today 16 december 2025 schedule 6 min leestijd person Martin van der Poel

Antivirus is essentieel. Maar het is niet genoeg. Moderne malware omzeilt antivirus steeds vaker, en endpoint-beveiliging beschermt niet je hele netwerk. In dit artikel leg ik uit waarom netwerkniveau-beveiliging onmisbaar is geworden.

Het probleem met endpoint-only beveiliging

Antivirus werkt op je endpoint — je computer, laptop of telefoon. Het scant bestanden, monitort processen en blokkeert verdachte activiteit. Maar het heeft drie grote beperkingen:

1. Reactief, niet proactief

Antivirus detecteert malware nadat het je systeem heeft bereikt. De malware moet eerst gedownload worden, voordat antivirus het kan scannen. In die tussentijd kan er al schade zijn aangericht.

2. Eén apparaat per keer

Elk apparaat heeft eigen antivirus nodig. Vergeet je één laptop te updaten? Die is kwetsbaar. Een IoT-apparaat (printer, camera, smart TV) heeft vaak helemaal geen antivirus.

3. Omzeild door moderne malware

Aanvallers weten dat antivirus bestaat. Ze testen hun malware tegen alle grote antivirus-pakketten voordat ze het verspreiden. Veel malware is specifiek ontworpen om antivirus te omzeilen.

Hoe malware antivirus omzeilt

Moderne malware gebruikt slimme technieken:

  • Polymorfisme — De malware verandert zichzelf bij elke infectie, zodat signature-based detectie faalt
  • Fileless malware — Draait alleen in het geheugen, schrijft niets naar disk, dus antivirus ziet het niet
  • Living off the land — Gebruikt legitieme Windows-tools (PowerShell, WMI) voor kwaadaardige doeleinden
  • Delayed execution — Wacht dagen of weken voordat het actief wordt, na de initiële scan
  • Sandbox detection — Detecteert of het in een test-omgeving draait en gedraagt zich dan normaal

De oplossing: netwerkniveau-beveiliging

Netwerkniveau-beveiliging werkt voordat malware je apparaten bereikt. Het monitort al het verkeer dat je netwerk in en uit gaat.

Voorbeeld: Ransomware-aanval

Scenario: Een medewerker opent een kwaadaardige bijlage in een e-mail.

Met alleen antivirus:

  1. Bijlage wordt gedownload
  2. Antivirus scant het bestand
  3. Als het een nieuwe variant is: antivirus mist het
  4. Ransomware versleutelt bestanden
  5. Schade: €50.000+ aan losgeld + downtime

Met netwerkniveau-beveiliging (CleanInternet.nl):

  1. Bijlage wordt gedownload
  2. Ransomware probeert verbinding te maken met C2-server
  3. DNS-filter blokkeert het C2-domein
  4. Ransomware kan niet communiceren en is nutteloos
  5. Schade: €0

Wat biedt netwerkniveau-beveiliging?

Bij CleanInternet.nl krijg je meerdere lagen bescherming op netwerkniveau:

  • DNS-filtering — Blokkeert kwaadaardige domeinen voordat verbinding tot stand komt
  • C2-blokkering — Voorkomt dat malware "naar huis belt"
  • DGA-detectie — Herkent algoritmisch gegenereerde domeinen
  • TLS-inspectie — Kijkt in versleuteld verkeer (optioneel)
  • App-filtering — Blokkeert ongewenste applicaties
  • Gedragsanalyse — Detecteert afwijkend netwerkgedrag

Dit werkt voor alle apparaten op je netwerk, zonder dat je op elk apparaat software hoeft te installeren.

Endpoint + Netwerk = Defense in Depth

De beste beveiliging combineert beide:

Laag Technologie Wat het doet
Laag 1 Netwerk (CleanInternet.nl) Blokkeert 99% van dreigingen voordat ze je netwerk bereiken
Laag 2 Firewall Controleert verkeer tussen netwerken
Laag 3 Antivirus Vangt de resterende 1% op

Dit heet Defense in Depth — meerdere lagen bescherming zodat als één laag faalt, de andere lagen je nog steeds beschermen.

Praktijkvoorbeeld: WannaCry ransomware

In 2017 trof WannaCry honderdduizenden computers wereldwijd. Veel organisaties hadden antivirus, maar werden toch getroffen. Waarom?

  • WannaCry verspreidde zich via een Windows-kwetsbaarheid (EternalBlue)
  • Antivirus kon het niet stoppen omdat het geen bestand was, maar een exploit
  • Eenmaal binnen verspreidde het zich lateraal door het netwerk

Met netwerkniveau-beveiliging:

  • DNS-filter had de C2-domeinen geblokkeerd
  • Gedragsanalyse had de laterale beweging gedetecteerd
  • De schade was beperkt gebleven tot één systeem

Voor welke bedrijven is dit essentieel?

Netwerkniveau-beveiliging is niet voor iedereen nodig. Maar voor deze organisaties is het onmisbaar:

  • MKB met gevoelige data — Klantgegevens, bedrijfsgeheimen
  • Zorg — Patiëntgegevens, AVG/NIS2-compliance
  • Onderwijs — Leerlinggegevens, bescherming minderjarigen
  • Financieel — Transactiegegevens, PCI-DSS
  • Overheid — Staatsgeheimen, BIO-compliance
  • Transport — Logistieke data, supply chain security

Conclusie: gebruik beide

Antivirus is niet overbodig. Het is een essentiële laatste verdedigingslinie. Maar het is niet genoeg als enige bescherming.

Combineer endpoint-beveiliging (antivirus) met netwerkniveau-beveiliging (CleanInternet.nl) voor complete bescherming. Defense in Depth.

Martin van der Poel

Martin van der Poel

Oprichter van ZETA en CleanInternet.nl. Met meer dan 15 jaar ervaring in netwerkbeveiliging en internetconnectiviteit help ik bedrijven en organisaties met veilige, betrouwbare internetoplossingen.

Benieuwd naar netwerkniveau-beveiliging?

Check of CleanInternet.nl beschikbaar is op jouw adres

search Check beschikbaarheid

Gerelateerde artikelen

Wat is DNS-filtering?

De basis van netwerkbeveiliging

Diepgaande internetbeveiliging

DNS, TLS-inspectie en meer

NIS2 voor het MKB

Wat moet je regelen?