Twee op de drie securityincidenten terug te leiden naar identiteitsgerelateerde aanvallen

Dit blijkt uit het Sophos Active Adversary Report 2026 van cybersecuritybedrijf Sophos. 67% van alle incidenten die vorig jaar door de Incident Response (IR) en Managed Detection and Response (MDR)-teams van Sophos zijn onderzocht, vonden hun oorsprong in identiteitsgerelateerde aanvallen. Aanvallers maken hierbij gebruik van gecompromitteerde inloggegevens, zwakke of ontbrekende multifactorauthenticatie (MFA) en slecht beveiligde identiteitssystemen – vaak zonder dat ze nieuwe tools of technieken hoeven in te zetten.

Van kwetsbaarheden uitbuiten naar brute force-aanvallen

De analyse van 661 incidenten bij organisaties in 70 landen en 34 sectoren toont een duidelijke verschuiving: brute-force-aanvallen (15,6%) komen bijna even vaak voor als het misbruik van kwetsbaarheden (16%) als initiële toegangsmethode. Daarnaast blijkt dat aanvallers sneller toegang krijgen tot kritieke systemen zoals Active Directory (AD). Eenmaal binnen een organisatie duurt het gemiddeld slechts 3,4 uur voordat ze de AD-server bereiken.

De mediane detectietijd van incidenten daalde naar drie dagen, mede dankzij snellere reacties van verdedigers, met name in omgevingen met Managed Detection and Response (MDR). Toch blijft ransomware een terugkerend probleem: 88 procent van deze aanvallen vindt plaats buiten kantooruren, net als 79 procent van de data-exfiltratie.

Een groeiend probleem is het gebrek aan telemetrie. Het aantal ontbrekende logboeken als gevolg van beperkte gegevensretentie is verdubbeld ten opzichte van vorig jaar. Firewalls met een standaard bewaartermijn van slechts zeven dagen en in sommige gevallen zelfs 24 uur dragen hieraan bij.

Meer identiteitsfraude

Het rapport signaleert een stijging van aanvallen gebaseerd op identiteitsfraude, zoals gestolen inloggegevens, brute-force-aanvallen en phishing. Hoewel kwetsbaarheden nog steeds worden misbruikt, vertrouwen aanvallers steeds vaker op geldige accounts om toegang te krijgen, waardoor traditionele beveiligingsmaatregelen worden omzeild. In 59 procent van de gevallen ontbrak MFA, wat het misbruik van gecompromitteerde inloggegevens vergemakkelijkt.

"De meest zorgwekkende bevinding in het rapport is eigenlijk al jaren aan de gang: de dominantie van identiteitsgerelateerde oorzaken voor succesvolle initiële toegang. Gecompromitteerde inloggegevens, brute-force-aanvallen, phishing en andere tactieken maken gebruik van zwakke punten die niet kunnen worden verholpen met eenvoudige patches. Organisaties moeten een proactieve aanpak hanteren voor identiteitsbeveiliging", aldus John Shier, Field CISO en hoofdauteur van het rapport.

Het aantal dreigingsgroepen groeit

Sophos-onderzoekers registreerden het hoogste aantal actieve dreigingsgroepen sinds het begin van dit onderzoek. Dit maakt het moeilijker om daders te identificeren. Akira (GOLD SAHARA) en Qilin (GOLD FEATHER) waren de meest actieve ransomwaremerken, waarbij Akira in 22 procent van de incidenten betrokken was. Van de 51 geïdentificeerde ransomwaremerken waren er 27 terugkerend en 24 nieuw. Slechts vier merken of technieken (LockBit, MedusaLocker, Phobos en misbruik van BitLocker) zijn sinds 2020 continu actief gebleven.

“De acties van de wetshandhaving blijven de ransomware-ecosystemen ontwrichten. Hoewel we nog steeds activiteit van LockBit zien, is de dominantie en reputatie die het ooit had duidelijk aangetast. Dit betekent echter dat we een reeks andere groepen zien die strijden om dominantie en dat er veel meer groepen opduiken. Voor verdedigers is het belangrijk om de groepen en hun TTP's te begrijpen om hun organisatie zo goed mogelijk te beschermen”, aldus Shier.

AI: beperkte impact op aanvalstechnieken

Ondanks verwachtingen vond Sophos geen bewijs voor een grote door AI gedreven verandering in het gedrag van aanvallers. Generatieve AI heeft wel de snelheid en verfijning van phishing en social engineering vergroot, maar heeft nog geen fundamenteel nieuwe aanvalsmethoden voortgebracht.

"AI voegt schaal en ruis toe, maar vervangt aanvallers nog niet. Hoewel GenAI in de toekomst de volgende versneller zou kunnen zijn, blijven de basisprincipes nu van belang: sterke identiteitsbescherming, betrouwbare telemetrie en het vermogen om snel te reageren wanneer er iets misgaat", aldus Shier.

Sophos adviseert organisaties om phishingbestendige MFA in te voeren en de configuratie ervan te valideren. Daarnaast is het belangrijk om de blootstelling van identiteitsinfrastructuur en internetgerichte services te beperken, bekende kwetsbaarheden direct te patchen – met name op edge-apparaten – en 24/7 monitoring via MDR of vergelijkbare systemen te waarborgen. Het bewaren van beveiligingslogboeken blijft essentieel voor snelle detectie en onderzoek.

Het Sophos Active Adversary Report 2026 is gebaseerd op 661 IR- en MDR-cases die tussen 1 november 2024 en 31 oktober 2025 zijn behandeld. Het rapport is hier beschikbaar.