Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CrowdStrike publiceert zijn Global Threat Report 2026 — en het is een wake-up call voor elk beveiligingsteam
CrowdStrike publiceert zijn Global Threat Report 2026 — en het is een wake-up call voor elk beveiligingsteam

CrowdStrike publiceert zijn Global Threat Report 2026 — en het is een wake-up call voor elk beveiligingsteam

by Patrick Spencer updated februari 26, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

Er is een uitdrukking die zo vaak wordt gebruikt in security-briefings dat deze zijn betekenis heeft verloren: “aanvallers worden sneller”. Het is zo’n uitspraak waar je tijdens een conferentieknop bij knikt en vervolgens alweer vergeten bent zodra je de expo binnenloopt.

CrowdStrike’s 2026 Global Threat Report maakt het onmogelijk om dit te vergeten.

Het opvallendste cijfer: de gemiddelde eCrime breakout time — het interval tussen de eerste inbreuk van een aanvaller en hun eerste laterale beweging — daalde naar 29 minuten in 2025. In 2024 was dit nog 48 minuten. In 2021 zelfs 98 minuten. De snelste gemeten breakout was 27 seconden. In één geval begon data-exfiltratie al binnen vier minuten na de initiële toegang.

Laat dat even bezinken. Vier minuten van inbreuk tot datadiefstal. De meeste organisaties krijgen in vier minuten nog geen Slack-gesprek op gang, laat staan dat ze een actieve inbraak kunnen indammen.

Dit rapport bestempelt 2025 als het “jaar van de ontwijkende tegenstander”. De bepalende kenmerken: snelheid, misbruik van identiteiten en directe aanvallen op AI-systemen zelf. En de data achter deze beweringen is niet theoretisch. Ze zijn gebaseerd op echte inbraken, incident response-trajecten en Threat Intelligence bij duizenden organisaties wereldwijd.

5 Belangrijkste Bevindingen

  1. Breakout Time is Ingestort tot 29 Minuten — en Dat is het Gemiddelde. De gemiddelde eCrime breakout time daalde naar 29 minuten in 2025, van 48 minuten in 2024, met de snelste op 27 seconden. Als je incident response-proces in uren wordt gemeten, ben je nu al te laat.
  2. 82% van de Inbraken is Nu Malwarevrij. Aanvallers loggen in met gestolen inloggegevens en native admin-tools, niet met kwaadaardige code. Signature-based verdediging is niet langer de frontlinie — identiteitsmonitoring en cross-domein correlatie zijn dat wel.
  3. AI is Nu Zowel Wapen als Doelwit. AI-gestuurde aanvallen stegen met 89% op jaarbasis. Statelijke actoren zetten LLM-gestuurde malware in; eCrime-groepen automatiseerden diefstal van inloggegevens. CrowdStrike reageerde ook op incidenten bij meer dan 90 organisaties waar tegenstanders AI-ontwikkeltools en dataplatforms direct aanvielen.
  4. China-Nexus Actoren Voeren Geïndustrialiseerde Exploitatie van Randapparaten Uit. Activiteit gelinkt aan China steeg met 38%, waarvan 40% gericht was op randapparaten — VPN’s, firewalls, routers — buiten het bereik van de meeste EDR-oplossingen. Exploits werden binnen twee dagen na bekendmaking ingezet. Zero-day misbruik steeg met 42%.
  5. Ransomware Heeft het Endpoint Verlaten — en een Crypto-diefstal van $1,46 Miljard Bewijst de Schaal. Ransomwaregroepen opereren over cloud-, identiteits- en virtualisatielagen heen. Cloudgerichte inbraken stegen met 37%, 266% voor statelijke actoren. Een supply chain-aanval door de DPRK resulteerde in de grootste financiële diefstal ooit gemeld.

Het Snelheidsprobleem is Nu een Rekensom — en Defenders Verliezen

De instorting van breakout time is geen trend. Het is een structurele verschuiving in hoe inbraken verlopen.

Toen breakout time nog in uren werd gemeten, hadden verdedigers een realistisch tijdsvenster om te detecteren, onderzoeken en indammen. Nu dit is gedaald naar 29 minuten — met de voorhoede in seconden — verandert het hele concept van “detecteren en reageren”. Je reageert niet meer op een lopende inbraak. Je reageert op een inbraak die al lateraal is gegaan, persistentie heeft opgebouwd en mogelijk al data heeft geëxfiltreerd voordat je SOC-analist de alert heeft gelezen.

CrowdStrike schrijft deze versnelling toe aan een combinatie van factoren: aanvallers zijn beter geworden in het gebruik van legitieme inloggegevens en vertrouwde tools, ze automatiseren post-exploitatie-activiteiten met AI-gegenereerde scripts, en ze richten zich systematisch op de gaten tussen beveiligingstools. Het rapport merkt op dat 82% van de detecties in 2025 malwarevrij was — wat betekent dat de meeste inbraken geen traditionele kwaadaardige code bevatten. Aanvallers gebruikten geldige inloggegevens, native beheertools en commerciële remote access-tools om op te gaan in normale bedrijfsactiviteiten.

Dit is het praktische gevolg van wat het WEF Global Cybersecurity Outlook 2026 omschrijft als toenemende organisatorische complexiteit, waarbij onderlinge afhankelijkheden, legacy-technologieën en gefragmenteerd zicht leiden tot systemisch risico dat zich in de loop van de tijd opstapelt. Als je beveiligingsstack is geoptimaliseerd voor het vangen van malware, en 82% van de inbraken gebruikt geen malware, heb je een architectonisch probleem, geen tuningprobleem.

De AI-wapenwedloop is Niet Langer Theoretisch — Maar Operationeel

AI-gestuurde operaties van tegenstanders stegen met 89% op jaarbasis in 2025. Maar het CrowdStrike-rapport maakt een belangrijk onderscheid: AI versnelt bestaande tactieken in plaats van volledig nieuwe te creëren. Threat actors integreren generatieve AI in de hele kill chain — van social engineering tot malwareontwikkeling en ontwijking van verdediging — en de operationele impact is aanzienlijk, zelfs als de onderliggende technieken bekend zijn.

De details zijn het waard om op te letten. De aan Rusland gelinkte actor FANCY BEAR zette LLM-gestuurde malware in, bekend als LAMEHUG, die prompt-gebaseerde logica gebruikte om verkenning en documentverzameling op gecompromitteerde systemen te automatiseren. eCrime-actor PUNK SPIDER gebruikte AI-gegenereerde scripts om het dumpen van inloggegevens te versnellen en forensisch bewijs te wissen. De aan DPRK gelinkte FAMOUS CHOLLIMA gebruikte AI-tools om frauduleuze insider-werkregelingen op te schalen — waarbij agenten werden geplaatst binnen doelorganisaties door het sollicitatieproces te manipuleren met AI-gegenereerde cv’s, interviewantwoorden en identiteitsbewijzen.

Maar de scherpste waarschuwing in het rapport gaat over AI als doelwit, niet alleen als hulpmiddel. CrowdStrike reageerde op incidenten bij meer dan 90 organisaties waar tegenstanders kwaadaardige prompts injecteerden in legitieme AI-ontwikkeltools, lokale AI-commandline-interfaces misbruikten om commando’s te genereren die inloggegevens en cryptovaluta stalen. Elders exploiteerden aanvallers kwetsbaarheden in AI-platforms zoals Langflow om persistentie te vestigen en ransomware te implementeren. Kwaadaardige klonen van legitieme Model Context Protocol (MCP)-servers werden gebruikt om gevoelige data te onderscheppen die door AI-workflows stroomt.

De implicatie is ongemakkelijk maar onvermijdelijk: de AI-tools die jouw organisatie inzet om productiviteit en beveiliging te verbeteren, vergroten tegelijkertijd je aanvalsvlak. Zonder governance over modeltoegang, prompt-inputs, datastromen en integratiepunten is AI-adoptie gelijk aan risico-adoptie.

China-Nexus Actoren Voeren Randapparaatcampagne Uit op Grote Schaal

Buiten AI documenteert het rapport een scherpe toename in China-nexus activiteit, met een stijging van 38% in 2025. Logistieke doelwitten stegen met 85%, met ook zware impact op telecommunicatie en de financiële sector. Maar het belangrijkste tactische patroon is de systematische exploitatie van internetgerichte randapparaten.

VPN-apparaten. Firewalls. Routers. Mailservers. De infrastructuur aan de rand van het netwerk die vaak buiten het bereik van endpoint-detectietools valt. In 40% van de gevallen waarin China-nexus actoren een kwetsbaarheid uitbuitten, was het doelwit een randapparaat. En de snelheid is alarmerend: veel exploits werden binnen dagen na publieke bekendmaking ingezet, sommige zelfs in slechts twee tot zes dagen. Zero-day exploitatie steeg met 42% op jaarbasis.

Dit is geen opportunistische scanning. Dit is geïndustrialiseerde kwetsbaarheidsexploitatie. Het Dragos 2026 OT/ICS Cybersecurity Report beschrijft een vrijwel identiek patroon in industriële omgevingen, waar threat groups systematisch internetgerichte Ivanti-, Fortinet-, Cisco- en F5-assets als toegangspunt tot OT-netwerken gebruiken. De mediane tijd van kwetsbaarheidsmelding tot publieke exploit daalde naar 24 dagen — en in sommige gevallen hadden tegenstanders werkende exploits voordat leveranciers patches hadden.

Voor security- en gegevensbeschermingsleiders creëert dit een structureel probleem. Randapparaten bieden directe systeemtoegang, missen vaak robuuste monitoring en patchcycli die in weken of maanden worden gemeten zijn fundamenteel niet opgewassen tegen weaponisatietijdlijnen van dagen. Als jouw gevoelige data via deze apparaten loopt of toegankelijk is — en dat is bij de meeste organisaties het geval — heb je een zichtbaarheidsgat dat tegenstanders actief uitbuiten.

Ransomware Heeft het Endpoint Verlaten — en Identiteit is de Nieuwe Voordeur

Het CrowdStrike-rapport beschrijft een significante evolutie in ransomware-operaties in 2025. De meest geavanceerde groepen zijn verder gegaan dan traditionele endpointgerichte inzet naar cross-domein campagnes die cloud-, identiteits- en virtuele omgevingen omvatten.

SCATTERED SPIDER en BLOCKADE SPIDER bewogen zich lateraal over cloud- en identiteitsinfrastructuur, vaak met ransomware die exclusief werd ingezet op VMware ESXi-systemen — de virtualisatielaag die de meeste enterprise serveromgevingen ondersteunt, maar vaak niet dezelfde monitoringdekking heeft als gebruikersendpoints. PUNK SPIDER voerde 198 waargenomen inbraken uit, een stijging van 134%, met technieken zoals remote file-encryptie via SMB-shares, waarmee data werd versleuteld zonder ransomware direct op beheerde hosts uit te voeren.

De supply chain-component is minstens zo alarmerend. De aan DPRK gelinkte PRESSURE CHOLLIMA pleegde een cryptodiefstal van $1,46 miljard — de grootste financiële diefstal ooit gemeld — door SafeWallet en Bybit te compromitteren via een supply chain-aanval. Ze voegden kwaadaardige JavaScript en smart contract-logica toe aan vertrouwde financiële software, voerden de diefstal uit en draaiden daarna de codewijzigingen terug om hun sporen te wissen.

Cloudgerichte inbraken stegen met 37% in 2025, met een stijging van 266% door statelijke actoren. Misbruik van geldige accounts was goed voor 35% van de cloud-incidenten. Dit zijn geen brute force-aanvallen. Dit zijn tegenstanders die legitieme inloggegevens hebben verkregen — via phishing, infostealer-malware of aankopen op dark web-marktplaatsen — en deze gebruiken om via de voordeur cloud- en SaaS-omgevingen binnen te lopen.

Het Dragos-rapport bevestigt dit identiteitsgerichte aanvalspatroon in industriële omgevingen, en documenteert hoe ransomwarepartners steeds vaker vertrouwen op credential logs van infostealers, wachtwoordhergebruik tussen OT- en IT-systemen en gecompromitteerde leveranciersaccounts om de perimeterverdediging volledig te omzeilen. Het patroon is duidelijk: in alle sectoren is identiteitscompromittering de primaire toegangsvector, en cloud- en SaaS-platforms zijn het belangrijkste doelwit.

Wat Betekent Dit voor Security- en Gegevensleiders?

Het CrowdStrike 2026 Global Threat Report, samen gelezen met het WEF Global Cybersecurity Outlook 2026 en het Dragos OT/ICS-rapport, wijst op een dreigingslandschap dat de beveiligingsmodellen van de meeste organisaties fundamenteel heeft ingehaald. De convergentie is onmiskenbaar: aanvallers combineren identiteitscompromittering, misbruik van SaaS, exploitatie van randapparaten en AI-manipulatie tot campagnes die domeingrenzen sneller overschrijden dan gefragmenteerde beveiligingstools kunnen correleren.

Het WEF-rapport laat zien dat 61% van de organisaties snel veranderende dreigingslandschappen als hun grootste weerbaarheidsuitdaging ziet, terwijl 46% supply chain-kwetsbaarheden noemt. Dit zijn geen afzonderlijke problemen. Het zijn facetten van dezelfde structurele uitdaging: organisaties kunnen geen data beschermen die ze niet kunnen zien, geen toegang beheren die ze niet kunnen monitoren, of reageren op dreigingen die sneller bewegen dan hun processen toelaten.

Wat Iedere CISO Nu Moet Doen

Neem 29 minuten als uitgangspunt voor je planning, niet als uitzondering. Elk incident response-plan, tabletop-oefening en detectieworkflow moet worden getest op een breakoutscenario van minder dan 30 minuten. Als je gemiddelde detectie- en indammtijd in uren wordt gemeten, plan je voor een dreigingslandschap dat niet meer bestaat. De geautomatiseerde beleidsafdwinging en realtime monitoring van Kiteworks werken op de snelheid die de dreiging vereist, zodat toegangscontroles voor data actief en afdwingbaar zijn voordat handmatige processen kunnen ingrijpen.

Ga van malwaredetectie naar identiteitsgerichte verdediging. Met 82% van de inbraken zonder malware moet het zwaartepunt van detectie verschuiven naar identiteitsgedrag, toegangs- en cross-domeinpatronen. Dit betekent continue monitoring van authenticatiegebeurtenissen, privilege-escalatie en laterale bewegingen over endpoint-, cloud-, SaaS- en identiteitsinfrastructuur. Kiteworks handhaaft dit op het data layer: op attributen gebaseerde toegangscontrole beoordeelt gebruikersidentiteit, gevoeligheid van data en beoogd doel voordat toegang wordt verleend, en elke interactie wordt vastgelegd in één geconsolideerde audittrail.

Beheer je AI-tools voordat tegenstanders dat doen. De bevinding dat aanvallers AI-systemen bij meer dan 90 organisaties aanvielen, zou een directe inventarisatie van elke AI-tool, elk model en elke integratie in je omgeving moeten triggeren. Stel toegangscontroles in, monitor prompt-inputs en -outputs, en implementeer preventie van gegevensverlies afgestemd op AI-ondersteunde exfiltratie. De Secure MCP Server van Kiteworks handhaaft rolgebaseerde en op attributen gebaseerde controles over elke externe agentinteractie en biedt de governance-infrastructuur die AI-inzet vereist.

Sluit het zichtbaarheidsgat bij randapparaten. Randapparaten zijn de zwakke plek van enterprise security. Patch internetgerichte apparaten binnen dagen — niet weken — na bekendmaking. Implementeer netwerksegmentatie die laterale beweging vanaf gecompromitteerde randapparaten beperkt. Zet monitoring in die de apparaten dekt waar je EDR niet bij kan. De hardened virtual appliance-architectuur van Kiteworks met ingebouwde firewalls, inbraakdetectie en dubbele encryptie in rust zorgt ervoor dat het platform dat je meest gevoelige data verwerkt niet tot de ongemonitorde perimeter behoort.

Eis cross-domein zichtbaarheid, geen gescheiden dashboards. Wanneer ransomware-acteurs exclusief op ESXi inzetten, cloudinbraken vertrouwen op gestolen identiteitstokens en AI-tools laterale beweging mogelijk maken, dan is zichtbaarheid die stopt bij het endpoint simpelweg onvoldoende. Effectieve verdediging vereist correlatie over endpoint-, identiteits-, cloud-, SaaS- en AI-infrastructuur in één operationeel overzicht. Kiteworks biedt dit voor gevoelige data: uniforme governance over elk communicatiekanaal met een geconsolideerde auditlog die de gaten elimineert die gefragmenteerde tools creëren.

De 29-minuten Realiteit Vereist een Andere Architectuur

De centrale boodschap van het CrowdStrike 2026-rapport is dat de tegenstander zich sneller heeft aangepast dan de verdediger. Breakout-tijden storten in. Malware is optioneel. AI is zowel wapen als doelwit. Identiteit is de perimeter. Randapparaten zijn het breekpunt. En cross-domein campagnes zijn de norm, niet de uitzondering.

Voor organisaties die verantwoordelijk zijn voor het beschermen van gevoelige data — klantgegevens, financiële informatie, intellectueel eigendom, gereguleerde content — is de vraag niet langer of aanvallers je data bereiken. De vraag is of je governance-infrastructuur in staat is om te detecteren, indammen en compliance te bewijzen als dat gebeurt.

Kiteworks is het platform dat voor deze realiteit is gebouwd: uniforme gegevensgovernance over e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, webformulieren en API’s. Zero trust-architectuur waarbij alle IP-adressen standaard worden geblokkeerd. Op attributen gebaseerde toegangscontrole die beleid afdwingt op het data layer. Eén geconsolideerde auditlog die elke interactie over elk kanaal volgt. FIPS 140-3 gevalideerde encryptie met klantbeheerde sleutels. En compliance-rapportages op directieniveau over meer dan 50 regelgevingskaders.

Het 29-minuten breakout-venster is geen tijdelijke situatie. Het is de nieuwe operationele realiteit. De organisaties die hun data beschermen zijn degenen waarvan de governance-infrastructuur is gebouwd voor tegenstanders op machinesnelheid, niet voor processen op handmatige snelheid.

Het venster sluit zich. De vraag is of jouw verdediging er al binnen valt.

Wil je weten hoe Kiteworks kan helpen? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Signature-based tools detecteren alleen wat ze herkennen. Wanneer aanvallers geldige inloggegevens, native beheertools en commerciële remote access-tools gebruiken, is er niets om op signatures te matchen. De benodigde detectieverschuiving is gedragsmatig: monitoren op afwijkende identiteitsactiviteiten, ongebruikelijke privilege-escalatie en patronen van laterale beweging in plaats van kwaadaardige code. Audittrails die elk data-access event loggen worden het forensisch bewijs dat signature-based tools niet meer kunnen leveren.

FAMOUS CHOLLIMA-agenten dienen AI-gegenereerde cv’s in, coachen zichzelf door interviews met verborgen apparaten en gebruiken deepfake- of geleende identiteiten om videoscreening te doorstaan. Detectie vereist het verifiëren van door de overheid uitgegeven identiteitsbewijzen via validatiediensten van derden, het eisen van live, ongescripte video-interacties en het vergelijken van sollicitatiedetails met bekende DPRK-frontbedrijvenpatronen. Na indiensttreding beperken op attributen gebaseerde toegangscontroles de datascope tot gedefinieerde functieomschrijvingen en auditlogs van elke datainteractie beperken de impact als een agent toch binnenkomt.

De meeste EDR-tools draaien op gastbesturingssystemen, niet op de ESXi-hypervisorlaag zelf. Ransomware die direct op ESXi wordt ingezet, versleutelt alle gehoste VM’s zonder dat gastagents worden getriggerd. Compenserende controles zijn onder meer monitoring op hypervisorniveau, netwerksegmentatie die ESXi-beheerinterfaces isoleert van gebruikersnetwerken, restricties op bevoorrechte toegang tot ESXi-beheerdersaccounts en audittrails van data opgeslagen op ESXi-systemen — zodat de scope direct kan worden bepaald als encryptie plaatsvindt.

Klonen van kwaadaardige MCP-servers onderscheppen gevoelige data tussen LLM-applicaties en bedrijfsapplicaties, waarbij inloggegevens, persoonsgegevens en intellectueel eigendom worden buitgemaakt zonder conventionele alerts te triggeren. Governance vereist het verifiëren van de herkomst van MCP-servers vóór inzet, afdwingen van rolgebaseerde en op attributen gebaseerde toegangscontrole bij elke agentinteractie, toepassen van DLP-beleid op AI-prompt-inputs en -outputs en het loggen van elke LLM-toolinteractie in een onveranderlijke audittrail.

Onder de GDPR moet melding van een datalek aan toezichthouders plaatsvinden binnen 72 uur nadat je je bewust bent van het lek. Als breakout binnen 29 minuten plaatsvindt en detectie uren of dagen duurt, kan de meldklok al lopen voordat de forensische scope is vastgesteld. Organisaties zonder realtime audittrails die elk data-access event loggen, zullen moeite hebben te bepalen welke persoonsgegevens zijn ingezien — waardoor ze worstcasescenario’s moeten melden en risico lopen op secundaire overtredingen vanwege onvolledige of onjuiste meldingen.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
  • Video Microsoft GCC High: Nadelen die Defensie-aannemers Stimuleren tot Slimmere Voordelen
  • Blog Post Hoe je Geclassificeerde Data Beveiligt Zodra DSPM het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust-aanpak
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Data voor IT-Leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks