Meer dan 67 % van de cyberincidenten heeft te maken met identiteit!

“Aanvallers breken niet langer in, ze loggen in!”

Met Identity Management Day in aantocht waarschuwt Sophos voor de centrale rol van identiteit, de hoofdoorzaak van meer dan 67% van de cyberaanvallen. De mening van Bruno Durand, VP Sales, Southern Europe, Sophos

“Aanvallers breken niet langer in, ze loggen in. Wanneer een identiteit gecompromitteerd is, wordt automatisch vertrouwen verleend. Daarom is identiteitsbescherming de basis geworden van moderne cyberbeveiliging. De gegevens die we analyseren, bevestigen deze verschuiving.“

Cyberbeveiliging heeft een nieuw gezicht gekregen. Het beeld van hackers die de verdedigingslinies van een bedrijf doorbreken, raakt steeds meer achterhaald en maakt plaats voor een meer verraderlijke realiteit: die van aanvallers die gewoon binnenkomen met de sleutels van het huis. Dat is de alarmerende constatering van Bruno Durand, VP Sales, Southern Europe, Sophos. Enkele dagen voor de International Identity Management Day wijst hij op een fundamentele paradigmaverschuiving in de werkwijze van cybercriminelen.

Op basis van een steekproef van 661 incidenten die tussen november 2024 en oktober 2025 zijn onderzocht, houdt meer dan 67% van de onderliggende oorzaken verband met identiteit. Meer specifiek is meer dan 42% het gevolg van het gebruik van gecompromitteerde inloggegevens, gevolgd door brute-force-aanvallen (15,6%) en het misbruik van kwetsbaarheden (16%). Tegelijkertijd blijft phishing als toegangspunt toenemen, van 2,13% naar 5,86% in één jaar tijd.

Sneller, sterker

Tegelijkertijd had bijna 60 % van de getroffen organisaties geen multifactorauthenticatie geactiveerd of correct geconfigureerd, wat een aanzienlijk aanvalsoppervlak achterlaat. Deze vaststelling, hoewel een lichte verbetering ten opzichte van het voorgaande jaar (64 %), toont aan dat de basisprincipes nog steeds onvoldoende worden toegepast. Wat deze aanvallen bijzonder kritiek maakt, is hun discretie. Met geldige inloggegevens lijkt de kwaadaardige activiteit op legitiem gebruikersgedrag, wat de detectie aanzienlijk bemoeilijkt.

Bovendien neemt de snelheid van uitvoering toe, aangezien aanvallers nu proberen toegang te krijgen tot Active Directory-omgevingen in slechts 3,4 uur (mediaan), wat neerkomt op een versnelling van 70% in één jaar. De mediane verblijftijd in de systemen blijft erg kort, slechts 3 dagen, waardoor het reactietijdvenster voor beveiligingsteams aanzienlijk wordt verkleind.

“We zien ook dat het MKB in de frontlinie staat: 84% van de incidenten betreft organisaties met minder dan 1.000 werknemers, waarvan meer dan de helft bedrijven met minder dan 250 medewerkers“, vervolgt Bruno Durand. “Deze aanvallen richten zich dus niet langer uitsluitend op grote ondernemingen, maar maken vooral gebruik van zwakke plekken in het identiteitsbeheer, ongeacht de sector. De industriesector wordt bijzonder zwaar getroffen (bijna 20 % van de gevallen), gevolgd door de financiële dienstverlening, de bouwsector, de IT-sector en de gezondheidszorg.”

De International Identity Management Day brengt een hardnekkig probleem aan het licht, namelijk dat er wel identiteitscontroles bestaan, maar dat deze niet altijd volledig worden toegepast. Onvolledig geïmplementeerde meervoudige authenticatie of onvoldoende beheer van geprivilegieerde toegang creëert vermijdbare risico’s.

Echt investeren

“Dit is niet het moment om onze waakzaamheid te laten verslappen”, benadrukt Bruno Durand. “Organisaties moeten een continue aanpak van identiteitsbeveiliging hanteren: contextuele verificatie, accountmonitoring, het verwijderen van onnodige toegangsrechten en strikte controle van privileges.”

Identiteit is tegenwoordig het echte controlepunt van cyberbeveiliging. Bedrijven die investeren in veerkrachtige identiteitssystemen en realtime zichtbaarheid zullen bedreigingen kunnen indammen. De anderen zullen last blijven houden van stille, snelle en moeilijk te detecteren inbreuken.