Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Identiteitslekken veroorzaken bijna 90% van de onderzoeken in het wereldwijde Incident Response Rapport 2026 van Unit 42
Identiteitslekken veroorzaken bijna 90% van de onderzoeken in het wereldwijde Incident Response Rapport 2026 van Unit 42

Identiteitslekken veroorzaken bijna 90% van de onderzoeken in het wereldwijde Incident Response Rapport 2026 van Unit 42

by Patrick Spencer updated februari 26, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 15 minutes

Aanvallers hoeven geen sloten te forceren als de deuren al openstaan. Dat is de ongemakkelijke realiteit die wordt blootgelegd door het Unit 42 Global Incident Response Report 2026 van Palo Alto Networks, uitgebracht op 19 februari 2026. Op basis van meer dan 750 grote incident response-trajecten in meer dan 50 landen, geeft het rapport een oordeel dat elke CISO wakker zou moeten houden: identiteitszwaktes speelden een materiële rol in bijna 90% van alle onderzoeken. Niet kwetsbaarheidsexploits. Niet zero-day-magie. Identiteit.

De data bevestigt wat frontlinieresponders al jaren zeggen: de meest betrouwbare weg naar een organisatie is via de voordeur, met gestolen inloggegevens, gekaapte sessies en rechten die maanden of jaren geleden ingetrokken hadden moeten worden. En de snelheid waarmee aanvallers deze gaten uitbuiten, heeft een nieuw niveau bereikt. De snelste inbraken in 2025 gingen van initiële compromittering naar bevestigde data-exfiltratie in slechts 72 minuten — vier keer sneller dan dezelfde metriek het jaar ervoor.

Voor leiders op het gebied van data security, data compliance en data privacy is dit rapport een wake-up call verpakt in harde cijfers.

En precies dit gat — tussen perimeterbeveiliging en operationele handhaving van identiteit- en datacontroles — is wat gegevensbeheerplatforms zoals Kiteworks zijn ontworpen om te dichten.

5 Belangrijkste Inzichten

  1. Identiteit is de voordeur van de aanvaller — en die staat wagenwijd open. Identiteitszwaktes speelden een materiële rol in bijna 90% van de meer dan 750 incident response-onderzoeken die Unit 42 in 2025 uitvoerde. Vijfenzestig procent van de initiële toegang werd veroorzaakt door identiteitsgebaseerde technieken — phishing, misbruik van inloggegevens, brute force en IAM-misconfiguraties. Aanvallers hebben geen complexe exploitketens nodig als ze kunnen inloggen met gestolen inloggegevens, gekaapte sessies of verkeerd ingestelde rechten. Een analyse van meer dan 680.000 cloudidentiteiten toonde aan dat 99% overmatige rechten had. Kiteworks pakt dit direct aan via handhaving van least-privilege access, continue verificatie voor elk dataverzoek en uitgebreide audittrails die elke identiteitsinteractie met gevoelige data volgen — waardoor securityteams de zichtbaarheid krijgen om misbruik van inloggegevens te detecteren voordat het een datalek wordt.
  2. De snelste aanvallen exfiltreren nu data in 72 minuten. Het snelste kwartiel van inbraken bereikte bevestigde data-exfiltratie in slechts 72 minuten in 2025 — een daling van 285 minuten het jaar ervoor, een versnelling van 4x. De mediane tijd tot exfiltratie was twee dagen. Voor organisaties die onder meldplicht vallen, zoals de 72-uursregel van de GDPR of staatsprivacywetten, betekent een mediane tijd van twee dagen dat de wettelijke klok begint te lopen voordat veel organisaties een incident hebben bevestigd. De realtime monitoring en geautomatiseerde waarschuwingen van Kiteworks detecteren abnormale databewegingen terwijl ze plaatsvinden — niet pas na forensisch onderzoek — waardoor securityteams datablootstelling kunnen beperken binnen het steeds kleinere tijdsvenster waarin aanvallers nu opereren.
  3. Meer dan 90% van de datalekken werd mogelijk gemaakt door te voorkomen gaten — niet door complexe exploits. In meer dan 90% van de datalekken maakten te voorkomen gaten de inbraak mogelijk: beperkte zichtbaarheid, inconsistent toegepaste controles of te veel vertrouwen in identiteit. Dit zijn geen advanced persistent threats die door geavanceerde verdedigingen breken. Dit zijn misconfiguraties, onvolledige telemetrie en te ruime toegang die het pad van de minste weerstand creëren. In 87% van de onderzoeken bekeken respondenten bewijs uit twee of meer verschillende bronnen om te reconstrueren wat er was gebeurd. Kiteworks elimineert deze zichtbaarheidsgaten door alle communicatie met gevoelige content — e-mail, bestandsoverdracht, SFTP, API’s, managed file transfer — te consolideren in één platform met gecentraliseerde audit logging, geautomatiseerde beleidsafdwinging en consistente dataclassificatie over elk kanaal.
  4. Risico in de software supply chain is uitgebreid naar vertrouwde connectiviteit. Supply chain-risico is niet langer beperkt tot kwetsbare code. Aanvallers misbruiken SaaS-integraties, leveranciersbeheertools en applicatieafhankelijkheden om perimeters op grote schaal te omzeilen. Data uit SaaS-applicaties was relevant in 23% van de Unit 42-cases in 2025, tegenover 6% in 2022. In één onderzoek maakten aanvallers gebruik van geldige OAuth-tokens van een gecompromitteerd platform om toegang te krijgen tot onderliggende omgevingen — en na het incident bleken er bijna 100 extra ongemonitorde integraties van derden te zijn. Kiteworks pakt risico’s in de supply chain en bij leveranciers aan via continue monitoring van toegangspatronen van leveranciers over elk kanaal, signaleert gedragsafwijkingen die wijzen op nieuwe of veranderde mogelijkheden en onderhoudt audittrails die exact vastleggen welke data leveranciers wanneer hebben benaderd.
  5. Chantage is losgekoppeld van encryptie — datadiefstal is het nieuwe drukmiddel. Encryptie kwam slechts voor in 78% van de chantagegevallen in 2025, de scherpste daling in de vijfjarige dataset. Aanvallers zien encryptie steeds vaker als optioneel — datadiefstal en de dreiging van publieke blootstelling bieden op zichzelf al voldoende drukmiddel. De mediane losgeldeisen stegen naar $1,5 miljoen en de mediane betalingen verdubbelden bijna tot $500.000. Zelfs organisaties met robuuste back-upmogelijkheden worden gechanteerd op basis van gestolen data. Onder de GDPR, staatsprivacywetten en sectorspecifieke regelgeving leidt ongeautoriseerde data-exfiltratie tot meldplicht, ongeacht encryptie. Het data-centrische beveiligingsmodel van Kiteworks — met handhaving van toegangscontrole, dataclassificatie en encryptie op contentniveau — zorgt ervoor dat zelfs als aanvallers netwerktoegang krijgen, gevoelige data beschermd en controleerbaar blijft.

Het Identiteitsprobleem Is Erger Dan U Denkt

De data van Unit 42 schetst een gedetailleerd beeld van hoe identiteit het dominante aanvalsoppervlak is geworden. Vijfenzestig procent van de initiële toegang in 2025 werd veroorzaakt door identiteitsgebaseerde technieken. Dat valt uiteen in identiteitsgerelateerde social engineering met 33% (waarvan phishing alleen al 22%), misbruik van inloggegevens en brute force met 21%, en beleidsfalen rond identiteit en insiderrisico met 11%.

Maar initiële toegang is slechts het begin. Na binnenkomst benutten aanvallers identiteitsgaten om rechten uit te breiden, lateraal te bewegen en gevoelige data te bereiken. De analyse van Unit 42 van meer dan 680.000 cloudidentiteiten toonde aan dat 99% van de cloudgebruikers, rollen en services overmatige rechten had — sommige al 60 dagen of langer ongebruikt. Dat is geen typefout. Negenennegentig procent.

Te ruim ingestelde rollen, geërfde rechten en niet ingetrokken legacy-rechten creëren herhaalbare escalatiepaden. Aanvallers hebben geen geavanceerde tools nodig als ze simpelweg naar IAM kunnen schrijven en rechten kunnen verhogen via de eigen toegangsarchitectuur van de organisatie. Token-diefstal en ongeoorloofde OAuth-rechten stellen hen in staat multi-factor authentication te omzeilen, zonder herhaald inloggen te blijven opereren en onopvallend te werk te gaan.

De gevolgen voor data privacy zijn ernstig. Wanneer één gecompromitteerde identiteit kan leiden tot brede toegang tot cloudomgevingen, SaaS-applicaties en on-premises systemen, neemt de omvang van mogelijke datablootstelling dramatisch toe. Elke ongemonitorde serviceaccount en elke slapende OAuth-integratie wordt een potentiële route voor gereguleerde data om de organisatie te verlaten.

Kiteworks pakt dit risico aan op het dataniveau. De op attributen gebaseerde toegangscontrole handhaaft het least-privilege-principe voor elke gebruiker, serviceaccount en systeem dat gevoelige content aanraakt. Continue verificatie beoordeelt elk dataverzoek aan de hand van het actuele beleid — niet eenmalig authenticeren, altijd toegang. En uitgebreide audittrails volgen elke identiteitsinteractie met beschermde data, zodat securityteams het bewijs hebben om misbruik van inloggegevens te detecteren voordat het uitgroeit tot een meldingsplichtig datalek.

Aanvallen Raken Nu Alles, Overal

Een van de meest opvallende bevindingen in het rapport is de enorme breedte van moderne inbraken. Zevenentachtig procent van de incidenten die Unit 42 onderzocht, betrof activiteiten over meerdere aanvalsoppervlakken — endpoints, netwerken, cloudinfrastructuur, SaaS-applicaties en identiteitsystemen tegelijk. Zesenzestig procent raakte drie of meer oppervlakken. Sommige incidenten besloegen er wel acht.

Deze multi-surface realiteit heeft directe gevolgen voor compliance-raamwerken die zijn ontworpen rond perimeterbeveiliging. Wanneer aanvallers cloudidentiteiten, SaaS-tokens en on-premises Active Directory combineren in één inbraak, is de wettelijke blootstelling niet beperkt tot één systeem of één dataclassificatie. Het verspreidt zich over rechtsbevoegdheden, datatypes en bedrijfsonderdelen.

Bijna de helft van alle incidenten (48%) betrof browsergebaseerde activiteit, wat weerspiegelt hoe vaak aanvallen samenkomen met de dagelijkse workflows waarin medewerkers e-mail, cloudapplicaties en bedrijfsdata benaderen. De browser is het nieuwe bedrijfsdesktop geworden — en een van de minst beschermde oppervlakken binnen de organisatie.

Het cloud-aanvalsoppervlak blijft ook groeien. Ongeveer 35% van de onderzoeken betrof cloud- of SaaS-assets, en data uit SaaS-applicaties was relevant in 23% van de gevallen in 2025, tegenover slechts 6% in 2022. Die vierjarige trend laat een duidelijk verhaal zien: naarmate organisaties gevoelige data en bedrijfsprocessen naar cloudtools verplaatsen, volgen aanvallers.

Daarom consolideert Kiteworks alle communicatie met gevoelige content — e-mail, bestandsoverdracht, SFTP, API’s, webformulieren en managed file transfer — in één platform met uniforme beveiligingsregels en gecentraliseerde audit logging. Wanneer elk kanaal waarlangs data beweegt wordt beheerst door dezelfde toegangscontrole en wordt gemonitord via dezelfde auditinfrastructuur, kunnen aanvallers de gaten tussen gescheiden tools niet uitbuiten. De uniforme telemetrie geeft SOC-teams de cross-surface zichtbaarheid die Unit 42 identificeert als de meest kritieke ontbrekende capaciteit bij onderzochte organisaties.

Het Snelheidsprobleem: 72 Minuten Tot Datadiefstal

De bevindingen over snelheid in dit rapport veranderen fundamenteel de rekensom rond incident response.

Het snelste kwartiel van inbraken bereikte bevestigde data-exfiltratie in 72 minuten in kalenderjaar 2025. Diezelfde metriek was 285 minuten in 2024. Dat is een versnelling van 4x in één jaar. Het aandeel incidenten dat binnen een uur tot exfiltratie kwam, groeide ook, van 19% naar 22%.

Zelfs de mediane tijd tot exfiltratie was slechts twee dagen. Voor organisaties die onder meldplicht voor datalekken vallen — of het nu de 72-uursregel van de GDPR is, privacywetten op staatsniveau of sectorspecifieke regelgeving — betekent een mediane tijd van twee dagen dat de klok begint te lopen voordat veel organisaties zelfs maar weten dat er een incident gaande is.

Deze versnelling is direct verbonden met het identiteitsprobleem. Wanneer aanvallers zich authenticeren met geldige inloggegevens, slaan ze de luidruchtige exploitatiefase over waar traditionele beveiligingstools op zijn ingericht. Ze landen binnen de perimeter met vertrouwde toegang en beginnen direct data te verzamelen. Er is geen malware-signatuur die een alarm triggert. Er is geen kwetsbaarheidsexploit die wordt gelogd. Er is alleen een legitiem ogende login gevolgd door legitiem ogende data-toegang — totdat de data het pand verlaat.

Unit 42 wijt veel van deze versnelling aan het operationele gebruik van kunstmatige intelligentie door dreigingsactoren. In 2025 gingen aanvallers van experimenteren naar routinematig gebruik van AI voor verkenning, social engineering, scriptgeneratie en troubleshooting. AI vermindert de frictie in elke fase van de aanvalscyclus, waardoor actoren meerdere operaties parallel kunnen uitvoeren en de tijd tussen initiële toegang en impact kunnen verkorten.

De realtime monitoring en geautomatiseerde waarschuwingen van Kiteworks zijn precies voor dit scenario ontworpen. Wanneer patronen van data-toegang afwijken van de vastgestelde basislijnen — plotselinge pieken in hoeveelheid, ongebruikelijke toegangstijden, queries naar dataclassificaties buiten het normale bereik van een gebruiker — signaleert Kiteworks de afwijking direct en start geautomatiseerde containment-acties. In een wereld waar exfiltratie in 72 minuten gebeurt, is het verschil tussen een ingeperkt incident en een meldingsplichtig datalek of uw detectie realtime werkt of afhankelijk is van logreview achteraf.

Meer dan 90% van de Datalekken Was Voorkombaar — en Dat Zou Moeten Pijn Doen

Hier is de bevinding die het meest zou moeten steken: in meer dan 90% van de datalekken maakten te voorkomen gaten de inbraak mogelijk. Geen advanced persistent threats. Geen exploits door staten. Voorkombare gaten — beperkte zichtbaarheid, inconsistent toegepaste controles en te veel vertrouwen in identiteit.

Unit 42 identificeerde drie systemische condities die herhaaldelijk opdoken in onderzoeken.

Ten eerste, zichtbaarheidsgaten. Kritieke telemetrie was vaak aanwezig maar opgesloten in gescheiden tools, waardoor verdedigers signalen niet konden correleren over identiteit, endpoint, cloud en SaaS-lagen. In 87% van de onderzoeken moesten respondenten bewijs uit twee of meer verschillende bronnen bekijken om te reconstrueren wat er was gebeurd, met complexe gevallen die tot wel tien bronnen gebruikten.

Ten tweede, omgevingscomplexiteit. Beveiligingsbaselines werden zelden universeel toegepast. Endpointbescherming kon volledig zijn uitgerold in het ene bedrijfsonderdeel maar ontbreken of verzwakt zijn in het andere. Deze inconsistentie creëert een pad van de minste weerstand dat aanvallers betrouwbaar vinden en uitbuiten.

Ten derde, identity drift. Rechten stapelen zich op naarmate rollen veranderen, uitzonderingen blijven bestaan en legacy-rechten niet worden ingetrokken. Het resultaat is een identiteitslandschap waarin bijna elk account meer toegang heeft dan nodig, en waarin een gecompromitteerde inloggegevens veel meer bereik biedt dan zou moeten.

Voor compliance- en privacyteams verandert deze bevinding het gesprek. Het risico is niet dat tegenstanders te complex zijn om te stoppen. Het risico is dat fundamentele hygiëne — consistente inzet van controles, tijdige rechtenreviews, uniforme telemetrie — niet wordt gehandhaafd in de hele organisatie. Dit zijn de gaten die leiden tot meldingsplichtige datalekken, boetes en klantmeldingen.

Kiteworks pakt alle drie systemische condities direct aan. Het uniforme platform elimineert zichtbaarheidsgaten door communicatie met gevoelige content te consolideren in één auditinfrastructuur. Geautomatiseerde beleidsafdwinging zorgt ervoor dat controles consistent worden toegepast over elk kanaal en bedrijfsonderdeel — niet alleen waar de laatste securityreview prioriteit aan gaf. En de op attributen gebaseerde toegangscontrole bestrijdt identity drift door rechten op dataniveau af te dwingen die niet afhankelijk zijn van geërfde rollen of opgestapelde privileges — toegang wordt voor elk verzoek, elke keer, getoetst aan het actuele beleid.

Supply Chain-risico Breidt Zich Uit Naar Vertrouwde Connectiviteit

Het rapport documenteert een aanzienlijke uitbreiding van risico’s in de software supply chain, verder dan kwetsbare code, naar SaaS-integraties, leveranciersbeheertools en applicatieafhankelijkheden.

Data uit SaaS-applicaties was relevant in 23% van de Unit 42-cases in 2025. In één onderzoek maakten aanvallers gebruik van geldige OAuth-tokens van een gecompromitteerd sales engagement-platform om toegang te krijgen tot onderliggende Salesforce-omgevingen. De activiteit leek op routinematige CRM-automatisering. Na het incident bleken bijna 100 extra integraties van derden verbonden met Salesforce — veelal slapend, ongemonitord of in beheer bij voormalige medewerkers.

Leverancierstools, vooral remote monitoring- en managementplatforms, kwamen ook naar voren als belangrijk risicokanaal. Unit 42 stelde vast dat 39% van de command-and-control-technieken gerelateerd was aan remote access-tools, die opgaan in normaal administratief verkeer en moeilijk te onderscheiden zijn van legitieme leveranciersactiviteiten.

Voor organisaties met data privacy-verplichtingen benadrukken deze bevindingen een kritisch blinde vlek. Integraties van derden erven vaak dezelfde rechten die bij de initiële setup zijn toegekend, soms inclusief de mogelijkheid om gevoelige data te lezen, gebruikers te beheren of records te wijzigen. Wanneer een upstream-provider wordt gecompromitteerd, worden die geërfde rechten het aanvalsoppervlak — en de getroffen organisatie heeft mogelijk beperkte zichtbaarheid in welke data is benaderd of geëxfiltreerd.

Risico’s door open-source afhankelijkheden versterken het probleem. Onderzoek van Unit 42 toont aan dat meer dan 60% van de kwetsbaarheden in cloud-native applicaties zich bevindt in transitieve libraries — de indirecte afhankelijkheden die via packages worden binnengehaald. Dreigingsactoren injecteren ook kwaadaardige code in upstream-packages die wordt uitgevoerd tijdens build- en installatiestappen, waardoor pipelines al voor inzet worden gecompromitteerd.

Kiteworks pakt risico’s bij leveranciers en in de supply chain aan via continue monitoring van alle kanalen waarlangs leveranciers met organisatiedata interacteren. Wanneer leveranciersaccounts ongebruikelijk gedrag vertonen — veranderingen in hoeveelheid data, toegangsfrequentie of querypatronen — signaleert Kiteworks de afwijking direct en documenteert het bewijs. Dit geeft securityteams de zichtbaarheid om te identificeren wanneer een leveranciersproduct is gewijzigd op een manier die invloed heeft op de verwerking van gevoelige data, en de audittrail om compliance aan te tonen of blootstelling te onthullen.

Chantage Wordt Losgekoppeld van Encryptie — Datadiefstal is het Nieuwe Drukmiddel

De economie van cybercrime verschuift op manieren die direct van invloed zijn op dataprotectiestrategieën. Encryptie kwam slechts voor in 78% van de chantagegevallen in 2025, een scherpe daling ten opzichte van de bijna of boven de 90% uit de periode 2021-2024.

Aanvallers zien encryptie steeds vaker als optioneel. Datadiefstal en de dreiging van publieke blootstelling zijn op zichzelf voldoende drukmiddel. De mediane initiële losgeldeisen stegen van $1,25 miljoen naar $1,5 miljoen, terwijl de mediane betalingen bijna verdubbelden van $267.500 naar $500.000.

Deze verschuiving heeft grote gevolgen voor data privacy. Zelfs organisaties met robuuste back-up- en herstelmogelijkheden — de traditionele verdediging tegen ransomware — worden nu gechanteerd op basis van de dreiging van datablootstelling. Ongeveer 41% van de slachtoffers kon herstellen vanaf back-up zonder te betalen, maar dat nam de druk van gestolen data niet weg. En in 26% van de chantagegevallen richtten aanvallers zich specifiek op back-upsystemen.

De dreiging van datablootstelling creëert wettelijke en regelgevende verplichtingen, ongeacht of systemen waren versleuteld. Onder de GDPR, staatsprivacywetten en sectorspecifieke regelgeving leidt ongeautoriseerde exfiltratie van persoonsgegevens tot meldplicht, toezicht en mogelijke boetes — ook als de aanvaller nooit ransomware heeft ingezet.

Het data-centrische beveiligingsmodel van Kiteworks is hierop gebouwd. Door encryptie, toegangscontrole en dataclassificatie af te dwingen op contentniveau, zorgt Kiteworks ervoor dat zelfs als aanvallers netwerktoegang krijgen, de data zelf beschermd blijft. Als data wordt geëxfiltreerd, documenteren uitgebreide audittrails exact wat, wanneer en via welk kanaal is meegenomen — waarmee het forensische bewijs wordt geleverd dat toezichthouders eisen en de omvang van meldingsplicht wordt beperkt.

Van Blootstelling tot Uitvoering: Wat Securityleiders Nu Moeten Doen

Het Unit 42-rapport geeft specifieke aanbevelingen, gegroepeerd rond drie prioriteiten: blootstelling verminderen, de impact beperken en response-capaciteit bouwen die op machinesnelheid kan opereren. Voor leiders in data security en compliance zijn de volgende acties het meest urgent.

Zet phishing-resistente MFA in en handhaaf least-privilege access. Geef prioriteit aan FIDO2/WebAuthn voor bevoorrechte rollen. Elimineer vaste adminrechten ten gunste van just-in-time bevoorrechte toegang. Kiteworks handhaaft least-privilege access op dataniveau, zodat elk verzoek wordt getoetst aan het actuele beleid, ongeacht de netwerkrechten van de gebruiker.

Inventariseer en roteer machine-identiteiten. Zorg voor continue ontdekking van serviceaccounts, automatiseringsrollen en API-sleutels. Roteer statische inloggegevens voor elke bevoorrechte serviceaccount die 90 dagen niet is gewijzigd. De uitgebreide audittrails van Kiteworks vormen hiervoor de basis door elke data-interactie over elk kanaal te loggen.

Implementeer continue monitoring voor toegang door leveranciers en derden. Ga verder dan momentopnames. Kiteworks monitort toegangspatronen van leveranciers continu over e-mail, bestandsoverdracht, API’s, SFTP en managed file transfer. Wanneer het gedrag van leveranciers verandert, signaleert Kiteworks de afwijking en documenteert het bewijs.

Consolideer telemetrie tot één overzicht. Gefragmenteerde zichtbaarheid was een belangrijke oorzaak van aanvallersucces in 2025. Het uniforme platform van Kiteworks consolideert audit logging over alle gevoelige contentkanalen, waardoor de gescheiden tools verdwijnen die respondenten dwingen aanvallen handmatig te reconstrueren uit losse bronnen.

Investeer in preventie, niet alleen in reactie. Verschuif investeringen naar volwassenheid in governance, asset management, dataclassificatie en toezicht op de supply chain. Kiteworks levert de preventieve infrastructuur — geautomatiseerde beleidsafdwinging, dataclassificatie, toegangscontrole en leveranciersmonitoring — die datalekken voorkomt in plaats van ze achteraf te documenteren.

Bereid u voor op exfiltratietijdlijnen van minder dan een uur. Nu de snelste aanvallen data in 72 minuten exfiltreren, moeten detectie en containment realtime werken. De geautomatiseerde waarschuwingen en containment-mogelijkheden van Kiteworks detecteren abnormale databewegingen terwijl ze plaatsvinden, niet pas na forensische review.

Het Blootstellingsgat Sluit Zich Niet Vanzelf

Het Unit 42 Global Incident Response Report 2026 maakt één ding onontkoombaar duidelijk: identiteit is het strijdtoneel, en de meeste organisaties verliezen. Niet omdat de aanvallers briljant zijn, maar omdat de basis niet consequent wordt uitgevoerd. Rechten stapelen zich op. Integraties worden niet gemonitord. Zichtbaarheid blijft gescheiden. En als de aanvaller inlogt met een geldige inloggegevens, wordt het venster tussen toegang en datadiefstal nu in minuten gemeten, niet in dagen.

Voor elke leider verantwoordelijk voor data security, compliance of privacy is de boodschap hetzelfde: het gat tussen uw identiteitsbeheerprogramma op papier en de realiteit van uw identiteitslandschap in productie is waar uw volgende datalek ontstaat. Sluit het voordat iemand anders het vindt.

Kiteworks biedt de operationele infrastructuur die dit gat dicht. Uitgebreide audittrails die aantonen dat controles worden gehandhaafd. Continue monitoring die gedragsveranderingen detecteert voordat ze compliance-overtredingen worden. Least-privilege toegangscontrole die voorkomt dat gecompromitteerde identiteiten data bereiken buiten hun toegestane doel. En de schaalbare, geautomatiseerde infrastructuur die enterprise-grade gegevensbeheer toegankelijk maakt voor organisaties van elke omvang.

De organisaties die het volgende datalek voorkomen, zijn degenen die verder gingen dan beleidsdocumenten naar operationele handhaving. Die de infrastructuur bouwden om hun governance-ambities waar te maken. Die data security niet als compliance-vinkje zagen, maar als een zakelijke noodzaak — en de platforms inzetten om dat waar te maken.

Wilt u weten hoe Kiteworks kan helpen? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Misbruik van OAuth-tokens en ongeoorloofde grant-aanvallen behoren tot de meest effectieve identiteitsgebaseerde technieken omdat ze zich richten op de autorisatielaag in plaats van de authenticatielaag — waardoor MFA ze niet stopt. In een typische aanval misleidt een dreigingsactor een gebruiker om een kwaadaardige applicatie te autoriseren via een legitieme OAuth-consentflow, of wordt een leveranciersplatform gecompromitteerd dat al geldige OAuth-tokens heeft voor onderliggende SaaS-omgevingen. Zodra de aanvaller een geldig toegangstoken heeft, kan hij API’s bevragen, gevoelige data lezen en lateraal bewegen zonder authenticatiewaarschuwingen te activeren — want vanuit het systeem gezien is elk verzoek legitiem geautoriseerd. Uit het onderzoek van Unit 42 bleek dat bijna 100 slapende, ongemonitorde integraties van derden aan één Salesforce-instance waren gekoppeld. Dit stoppen vereist drie controles die onafhankelijk van MFA werken: continue inventarisatie en beoordeling van alle OAuth-grants en integraties van derden, met intrekking van slapende grants; gedragsmonitoring die basislijnen vaststelt voor elke integratie en afwijkingen in hoeveelheid, querypatronen of benaderde dataclassificatie signaleert; en audittrails die elke API-call en data access event via elke integratie documenteren, zodat ongeautoriseerde toegang direct zichtbaar wordt in plaats van pas weken later bij forensisch onderzoek.

De bevinding van Unit 42 dat 99% van de cloudgebruikers, rollen en services overmatige rechten heeft — sommige al 60 dagen of langer ongebruikt — weerspiegelt een structureel probleem dat point-in-time toegangsreviews niet kunnen oplossen. Rechten stapelen zich op door rol-erfenis, uitzonderingsgoedkeuringen die nooit verlopen en legacy-rechten van vertrokken medewerkers of uitgefaseerde systemen. Effectief herstel op schaal vereist drie zaken. Ten eerste, continue ontdekking in plaats van periodieke audits: geautomatiseerde tooling die elke IAM-identiteit — menselijke gebruikers, serviceaccounts, API-sleutels, automatiseringsrollen — identificeert en in kaart brengt wat elk in de afgelopen 30, 60 en 90 dagen daadwerkelijk heeft benaderd versus wat de rechten toestaan. Ten tweede, handhaving op dataniveau als compenserende controle: zelfs waar IAM-opruiming onvolledig is, dwingen op attributen gebaseerde toegangscontroles op dataniveau af wat een identiteit daadwerkelijk kan bereiken binnen een systeem, los van infrastructuurrechten. Ten derde, just-in-time privilege: vaste adminrechten elimineren ten gunste van tijdsgebonden verhoogde toegang die automatisch verloopt. Dit verwijdert de opgestapelde privileges die gecompromitteerde inloggegevens zo waardevol maken voor aanvallers — een gestolen inloggegevens voor een account met JIT-toegang biedt geen blijvende escalatie.

Een mediane tijd van twee dagen tot bevestigde exfiltratie creëert acute meldplichtblootstelling omdat de meeste regelgevingskaders de meldklok starten op het moment dat men zich bewust wordt van een datalek — niet pas bij forensische zekerheid. Onder de GDPR moeten organisaties hun toezichthouder binnen 72 uur na kennisname van een datalek met persoonsgegevens informeren. Als exfiltratie op dag één plaatsvindt en detectie op dag twee, kan het 72-uursvenster al lopen. Amerikaanse staatsprivacywetten — waaronder die gebaseerd op het CCPA-model — leggen meldplicht op binnen 30 tot 72 uur voor bepaalde categorieën gevoelige data. Het complianceprobleem wordt verergerd door het telemetrie-gat: in 87% van de Unit 42-onderzoeken moesten respondenten gebeurtenissen reconstrueren uit twee of meer gescheiden bronnen. Zonder uniforme audittrails die elke data access event over e-mail, SFTP, API’s en managed file transfer-kanalen vastleggen, kunnen organisaties niet snel genoeg bepalen welke data is benaderd of geëxfiltreerd om aan meldingsdeadlines te voldoen — wat een secundaire overtreding oplevert bovenop het oorspronkelijke datalek.

Gefragmenteerde telemetrie stelt aanvallers in staat omdat verdedigers met een onvolledig beeld werken terwijl aanvallers volledige zichtbaarheid hebben op de gecompromitteerde omgeving. In 87% van de Unit 42-onderzoeken was reconstructie van het incident alleen mogelijk met bewijs uit twee of meer verschillende bronnen; complexe gevallen gebruikten er soms wel tien. Elke brongrens is een gat waar aanvallers onopgemerkt, zonder waarschuwing of zonder koppeling aan andere signalen konden opereren. Een uniforme auditinfrastructuur die dit gat dicht, vereist vijf capaciteiten: volledige dekking over elk kanaal waarlangs gevoelige data beweegt — e-mail, bestandsoverdracht, SFTP, API’s, MFT en webformulieren — zodat er geen exfiltratiepad buiten het forensisch record bestaat; realtime doorzoekbaarheid in plaats van batchverwerking, zodat forensische tijdlijnen binnen minuten beschikbaar zijn als een incident wordt vermoed; consistente dataclassificatie die records per gevoeligheid tagt over elk kanaal, zodat direct duidelijk is welke datacategorieën zijn benaderd; identiteitskoppeling die serviceaccounts, API-tokens en gebruikers aan een gemeenschappelijk identiteitsrecord verbindt; en DLP-integratie die beleidschendingen direct signaleert in plaats van achteraf te ontdekken. Zonder alle vijf zullen onderzoekers aanvallen altijd uit fragmenten reconstrueren — nadat deze al zijn geslaagd.

De verschuiving naar chantage zonder encryptie — aanwezig in slechts 78% van de gevallen in 2025, fors lager dan de 90%+ in eerdere jaren — maakt de aanname ongeldig dat back-up- en herstelmogelijkheden een volledige verdediging tegen ransomware vormen. Wanneer 41% van de slachtoffers kan herstellen vanaf back-up zonder te betalen, maar toch wordt gechanteerd op basis van gestolen data, is het primaire doel van de aanval al bereikt voordat het losgeld wordt geëist. Voor data privacy en compliance is de implicatie direct: ongeautoriseerde exfiltratie van persoonsgegevens leidt tot meldplicht onder GDPR, HIPAA, staatsprivacywetten en sectorspecifieke regels, ongeacht of ransomware is ingezet of systemen zijn versleuteld. Organisaties die ransomware vooral als herstelprobleem behandelen, missen de meldplicht, regelgevende en reputatieblootstelling die datadiefstal onafhankelijk van encryptie veroorzaakt. De benodigde verschuiving is van back-upgerichte verdediging naar data-centrische preventie: toegangscontrole en DLP afdwingen op contentniveau zodat een aanvaller, zelfs met netwerktoegang, geen data buiten het bereik van de gecompromitteerde identiteit kan bereiken, en uitgebreide audittrails die direct vastleggen wat is benaderd als exfiltratie toch plaatsvindt — waarmee een verdedigbare melding mogelijk is in plaats van worstcasescenario’s.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
  • Video Microsoft GCC High: Nadelen Die Defensie-aannemers Stimuleren Slimmere Voordelen te Zoeken
  • Blog Post Hoe Beveilig Je Geclassificeerde Data Zodra DSPM Het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust-aanpak
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Data voor IT-leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks