Hoe verschillen identiteitsgebaseerde inbreuken van traditionele netwerkinbraken?

In plaats van een firewall te doorbreken, compromitteren aanvallers inloggegevens of tokens om legitiem ogende toegang te verkrijgen, wat detectie trager en herstel complexer maakt.

Wat zijn enkele recente, concrete voorbeelden van inbreuken veroorzaakt door gecompromitteerde identiteiten?

De Alert 360-inbreuk legde 2,5 miljoen records bloot en de Zara-inbreuk trof bijna 200.000 klanten via een externe leverancier, beide voortkomend uit gecompromitteerde toegangsgegevens.

Waarom worden niet-menselijke identiteiten zoals API-sleutels en AI-agents hoofddoelen?

Ze worden vaak slecht beheerd met te brede rechten, zelden gerouleerd en inconsistent gemonitord, waardoor ze waardevolle doelwitten zijn die onopgemerkt kunnen blijven bestaan.

Wat maakt API-sleutels in codeopslagplaatsen bijzonder riskant?

Een API-sleutel die in een opslagplaats is ingebed, kan aanvallers toegang verlenen zonder goed levenscyclusbeheer, omdat deze niet-menselijke identiteiten vaak geen regelmatige rotatie en monitoring hebben.

Sophos: 71% van bedrijven getroffen door identiteitsinbreuken in 2025

Een groot nieuw rapport van Sophos legt een opvallend cijfer vast over een probleem waarvoor beveiligingsprofessionals al jaren waarschuwen: 71% van de organisaties wereldwijd leed in het afgelopen jaar minstens één identiteitsgerelateerde inbreuk. De bevindingen komen op een moment dat identiteitsgebaseerde aanvallen niet langer een nichebedreiging zijn, maar de dominante manier waarop aanvallers voet aan de grond krijgen in bedrijfsomgevingen. Voor zowel bedrijven als individuen is de data een duidelijk signaal dat identiteitshygiëne niet langer als een secundaire zorg kan worden behandeld.

Wat de Sophos-data onthullen over de frequentie en omvang van identiteitsinbreuken

De pure omvang van de Sophos-bevindingen is moeilijk te negeren. Bijna drie op de vier organisaties, over sectoren en geografische gebieden heen, kregen in één jaar te maken met een identiteitsgerelateerde compromittering. Dit is geen verhaal over een handvol spraakmakende doelwitten; het weerspiegelt een brede, systemische kwetsbaarheid in hoe organisaties beheren wie en wat toegang heeft tot hun systemen.

Identiteitsgerelateerde inbreuken verschillen op een belangrijke manier van traditionele netwerkinbraken. In plaats van een firewall te doorbreken, compromitteren aanvallers inloggegevens of tokens die hen legitiem ogende toegang verlenen. Eenmaal binnen kunnen ze zich zijwaarts verplaatsen, rechten verhogen en gegevens exfiltreren terwijl ze, in ieder geval aanvankelijk, een geautoriseerde gebruiker lijken. Dit maakt detectie trager en herstel complexer.

De daadwerkelijke gevolgen van identiteitsfouten hebben in 2025 al de krantenkoppen gehaald. De Alert 360-inbreuk waarbij 2,5 miljoen records werden blootgelegd en de Zara-inbreuk waarbij bijna 200.000 klanten werden getroffen via een externe leverancier illustreren beide hoe gecompromitteerde toegangsgegevens, of het nu via directe aanvallen of blootstelling in de toeleveringsketen is, kunnen uitmonden in massaal gegevensverlies.

Hoe niet-menselijke identiteiten en API-sleutels hoofddoelen worden

Een van de meer toekomstgerichte bevindingen in het Sophos-rapport is de aandacht die het vestigt op niet-menselijke identiteiten. Deze categorie omvat API-sleutels, serviceaccounts, automatiseringsscripts en in toenemende mate AI-agents die toegang krijgen tot systemen om taken autonoom uit te voeren.

Naarmate organisaties AI-aangedreven tools adopteren en meer van hun workflows automatiseren, creëren ze een groeiende voorraad niet-menselijke actoren die inloggegevens en rechten bezitten. Het probleem is dat deze identiteiten vaak slecht worden beheerd: rechten zijn te breed, inloggegevens worden zelden gerouleerd en monitoring op afwijkend gedrag is op zijn best inconsistent.

Een API-sleutel die in een codeopslagplaats is ingebed, of een AI-agent die schrijftoegang heeft tot een productiedatabase, vormt een hoogwaardig doelwit voor aanvallers. In tegenstelling tot menselijke gebruikersaccounts ontbreekt het niet-menselijke identiteiten vaak aan hetzelfde levenscyclusbeheer, wat betekent dat ze lang kunnen blijven bestaan nadat ze niet meer nodig zijn en onopgemerkt blijven als ze worden gecompromitteerd. Het Sophos-rapport identificeert dit wanbeheer als een van de belangrijkste aanvalsvectoren die bijdragen aan het cijfer van 71%.

Waarom menselijke fouten de zwakste schakel blijven in identiteitsbeveiliging

Naast de opkomst van risico's met niet-menselijke identiteiten bevestigen de Sophos-bevindingen dat menselijke fouten zelfs goed uitgeruste beveiligingsprogramma's blijven ondermijnen. Phishing blijft opmerkelijk effectief. Hergebruik van inloggegevens op persoonlijke en professionele accounts creëert mogelijkheden voor aanvallers om van een consumenteninbreuk over te stappen naar een bedrijfsomgeving. En overgeprivilegieerde accounts, aangemaakt voor gemak en nooit goed afgebakend, geven aanvallers meer toegang dan ze ooit zouden moeten kunnen bereiken.

Het menselijke element is ook zichtbaar in hoe snel inbreuken opschalen zodra een eerste toegang is verkregen. Eén gecompromitteerd account dat wordt gebruikt door iemand met brede beheerdersrechten kan binnen enkele uren duizenden records blootleggen. De gezondheidszorg is bijzonder kwetsbaar gebleken, zoals te zien is bij incidenten zoals de NYC Health-inbreuk die 1,8 miljoen personen treft, waar identiteitswanbeheer op elk niveau van een complex systeem buitenproportionele gevolgen kan hebben.

Training en bewustwordingsprogramma's helpen, maar zijn op zichzelf niet voldoende. De Sophos-data suggereren dat organisaties structurele controles nodig hebben die de impactradius van menselijke fouten verkleinen, niet alleen beleid dat erop vertrouwt dat medewerkers elke keer het juiste doen.

Defense-in-depth: waar VPN's en privacytools passen in identiteitsbescherming

Geen enkel hulpmiddel lost het probleem van identiteitsbeveiliging op, en dat is precies het punt. Het concept van defense-in-depth, het in lagen aanbrengen van meerdere beveiligingsmaatregelen zodat een falen in de ene niet automatisch leidt tot een volledige compromittering, is het raamwerk waar de Sophos-bevindingen, zelfs impliciet, voor pleiten.

VPN's spelen een specifieke en belangrijke rol in deze stapeling. Door netwerkverkeer te versleutelen en metadata van de verbinding te maskeren, vermindert een VPN het risico dat inloggegevens of sessietokens tijdens het transport worden onderschept, met name op onbetrouwbare netwerken. Voor externe medewerkers die bedrijfsmiddelen benaderen vanuit hotels, luchthavens of gedeelde werkruimtes, is een VPN een fundamentele maar betekenisvolle maatregel die een anders open venster sluit.

Naast VPN's omvat een gelaagde identiteitsbeschermingsstrategie multi-factor authenticatie op alle accounts, het principe van minimale rechten voor zowel menselijke als niet-menselijke identiteiten, regelmatige audits van actieve inloggegevens en API-sleutels, en monitoring op afwijkende aanmeldingspatronen. De Sophos-data versterken dat dit geen optionele extra's zijn voor grote ondernemingen; organisaties van alle groottes worden aangevallen.

Wat dit voor u betekent

Of u nu IT beheert voor een bedrijf of gewoon een individu bent dat zijn accounts probeert te beschermen, het Sophos-rapport draagt een directe boodschap uit: identiteit is nu de perimeter, en die moet dienovereenkomstig worden verdedigd.

Hier zijn concrete stappen om te nemen:

Controleer uw inloggegevens. Identificeer accounts met hergebruikte of zwakke wachtwoorden en werk deze bij met unieke, complexe alternatieven die in een wachtwoordmanager worden opgeslagen.
Schakel overal multi-factor authenticatie in. Geef prioriteit aan uw e-mail-, financiële en werkaccounts eerst.
Controleer app-machtigingen en API-toegang. Als u softwareprojecten of bedrijfstools beheert, controleer dan welke services actieve inloggegevens hebben en trek alles in wat niet langer in gebruik is.
Gebruik een VPN op onbetrouwbare netwerken. Het versleutelen van uw verbinding voorkomt onderschepping van inloggegevens wanneer u zich buiten beveiligde omgevingen bevindt.
Blijf op de hoogte van inbreuken. Diensten die u waarschuwen wanneer uw e-mailadres in een bekende dataset van inbreuken verschijnt, geven u een vroege waarschuwing om getroffen inloggegevens te rouleren voordat aanvallers ze kunnen misbruiken.

Het cijfer van 71% van Sophos is geen reden tot paniek, maar wel een reden tot actie. Identiteitsgerelateerde beveiligingsinbreuken in 2025 zijn geen hypothetische risico's; ze overkomen op dit moment de meerderheid van de organisaties. Het bouwen van gelaagde verdedigingen, waarbij sterke identiteitspraktijken worden gecombineerd met bescherming op netwerkniveau, is de praktische reactie die de data vereist.