(Blog) Elk jaar worden duizenden organisaties getroffen door een cyberincident. Dat kan beginnen met een melding vanuit het Security Operations Center (SOC), een zero-daykwetsbaarheid, een losgeldeis of grootschalige verstoring van de bedrijfsvoering. Wanneer dat gebeurt komt ons wereldwijde incident response-team direct in actie om de aanval in kaart te brengen, verdere schade te voorkomen en de dreiging volledig te verwijderen.
Voor het Unit 42® 2026 Global Incident Response Report onderzochten we meer dan 750 grote cyberincidenten in vrijwel alle sectoren, verspreid over meer dan 50 landen waaronder Nederland. Op basis daarvan brengt het rapport opkomende patronen in kaart en biedt het belangrijke lessen voor organisaties die zich beter willen wapenen tegen de dreigingen van vandaag.
De data laat een duidelijke verschuiving zien in de manier waarop aanvallen zich ontwikkelen. Criminelen werken sneller dan ooit, maken steeds vaker misbruik van gestolen identiteiten en vertrouwde connectie, en breiden hun activiteiten uit over meerdere aanvalsoppervlakken tegelijk. Hierdoor wordt de tijd tussen het eerste moment van binnendringen en de daadwerkelijke schade voor een organisatie steeds korter. Toch slagen de meeste datalekken nog altijd door vermijdbare zwakke plekken in zichtbaarheid en beveiligingsmaatregelen.
Aanvallers zijn sneller, veelzijdiger en moeilijker in te dammen
Aanvallers blijven hun werkwijze constant aanpassen. Het rapport laat een aantal duidelijke trends zien die het dreigingslandschap van 2026 bepalen:
- AI verkort de tijdlijn van aanvallen: In de snelste gevallen die we onderzochten, hadden aanvallers slechts 72 minuten nodig om van eerste toegang over te gaan naar het buitmaken van data, vier keer sneller dan vorig jaar. AI wordt hierbij ingezet voor verkenning, phishing, het schrijven van scripts en de uitvoering van aanvallen, waardoor cybercriminelen op grote schaal met bijna machinale snelheid kunnen opereren.
- Identiteit is het belangrijkste aanvalsmiddel geworden: In bijna 90% van de onderzoeken speelden zwakke plekken in identiteit een belangrijke rol. Aanvallers breken niet meer in, maar loggen simpelweg in met gestolen inloggegevens of tokens. Vervolgens maken ze misbruik van versnipperde identiteitsomgevingen om hun rechten uit te breiden en zich ongemerkt door de organisatie te verplaatsen.
- Risico in de softwareketen leidt tot operationele verstoring: In 23% van de incidenten maakten aanvallers misbruik van externe SaaS-applicaties. Door vertrouwde koppelingen, leverancierssoftware en afhankelijkheden binnen applicaties te misbruiken, omzeilden zij traditionele beveiligingsgrenzen en vergrootten zij de impact tot buiten één enkel systeem.
- Aanvallen worden complexer: In 87% van de inbraken was er sprake van activiteit over verschillende onderdelen van de IT-omgeving. Een aanval blijft zelden beperkt tot één omgeving. In plaats daarvan is er sprake van gecoördineerde activiteit over endpoints, netwerken, cloudomgevingen, SaaS-applicaties en identiteit, wat van organisaties vraagt om overal tegelijk zicht en controle te hebben.
- De browser is een cruciale schakel: Bijna 48% van de incidenten bevatte browsergerelateerde activiteiten.Dat laat zien hoe aanvallen steeds vaker aansluiten op dagelijkse werkzaamheden, zoals e-mail, webgebruik en werken met online applicaties. Gewoon gebruikersgedrag wordt zo onderdeel van de aanvalsketen.
- Afpersing verschuift van versleuteling naar datadiefstal: Het aantal aanvallen waarbij data wordt versleuteld, daalde met 15% ten opzichte van het jaar ervoor. In plaats daarvan kiezen steeds meer criminelen direct voor datadiefstal en verstoring. Dat is sneller en minder opvallend, en zet organisaties onmiddellijk onder druk zonder de klassieke signalen van ransomware.
Aanvallen profiteren van zwakke plekken in de basisbeveiliging
Ondanks de snelheid en automatisering die we zien, beginnen de meeste incidenten waarop wij reageren niet met iets radicaal nieuws. Ze starten met kwetsbaarheden die telkens opnieuw terugkomen. In veel gevallen maakten aanvallers geen gebruik van geavanceerde exploits, maar van zwakke plekken die simpelweg over het hoofd waren gezien.
- Complexe IT-omgevingen ondermijnen de verdediging: In meer dan 90% van de onderzochte incidenten speelden foutieve configuraties of gaten in de beveiliging een doorslaggevende rol. Een belangrijke oorzaak is de wildgroei aan beveiligingstools. Veel organisaties gebruiken 50 of meer verschillende beveiligingsoplossingen. Dat maakt het bijzonder lastig om overal dezelfde beveiligingsstandaarden toe te passen en om duidelijk inzicht te houden in wat er echt gebeurt.
- Gebrek aan zichtbaarheid vertraagt detectie: In veel gevallen bleek achteraf dat de signalen er wel degelijk waren. Forensische analyse laat zien dat het bewijs in de logbestanden stond, maar tijdens de aanval moesten teams informatie uit meerdere, losstaande systemen samenvoegen. Dat kost veel kostbare tijd, juist in de eerste minuten waarin snel handelen cruciaal is.
- Te veel vertrouwen vergroot de impact: Zodra aanvallers eenmaal binnen zijn, zorgen te ruime toegangsrechten en onbeheerde tokens er vaak voor dat zij zich verder kunnen verspreiden dan nodig zou moeten zijn. Eén gecompromitteerd account kan zo uitgroeien tot een veel groter probleem, doordat systemen elkaar binnen identiteitsomgevingen automatisch vertrouwen.
Aanvallers blijven hun tools en tactieken verder ontwikkelen, maar winnen nog altijd vooral door misbruik te maken van complexe IT-omgevingen, beperkte zichtbaarheid en te ruime toegangsrechten binnen organisaties.
Prioriteiten voor beveiligingsleiders en verdedigers
Op basis van meer dan 750 onderzoeken komen in gesprekken met CISO’s en beveiligingsteams telkens drie prioriteiten naar voren.
- Beperk blootstelling: Veel aanvallen beginnen op plekken waarvan teams zich niet realiseerden dat ze toegankelijk waren, zoals koppelingen met derde partijen, onbeheerde SaaS-verbindingen of alledaags browsergebruik. Blootstelling verminderen betekent dat organisaties hun volledige digitale ecosysteem onder de loep nemen en vertrouwde verbindingen net zo kritisch beoordelen als hun eigen kernsystemen.
- Beperk de impact: Zodra aanvallers binnen zijn, bepaalt identiteit vaak het verschil tussen een beheersbaar incident en een grootschalige verstoring. Door identiteit- en toegangsbeheer aan te scherpen en onnodige vertrouwensrelaties te verwijderen, beperk je hoe ver een aanvaller zich kan verplaatsen en hoeveel schade kan worden aangericht.
- Verhoog de reactiesnelheid: Wat er in de eerste minuten na de initiële toegang gebeurt, kan bepalen of een incident uitgroeit tot een datalek. Beveiligingsteams hebben volledig zicht nodig op wat er in verschillende omgevingen gebeurt. Door AI in te zetten kunnen ze signalen sneller detecteren, duiden en prioriteren. Zo kan het SOC sneller handelen en aanvallen indammen voordat ze zich verder verspreiden.
Conclusie
Elk onderzoek vertelt een verhaal: hoe de aanvaller binnenkwam, hoe snel die zich verplaatste en wat de uiteindelijke schade vergrootte. Wanneer je honderden van dit soort zaken naast elkaar legt, worden duidelijke patronen zichtbaar. Unit 42 staat 24 uur per dag, 7 dagen per week organisaties bij in het bestrijden van cyberaanvallen. De lessen die we daaruit trekken, vertalen we jaarlijks naar concrete inzichten en praktische handvatten. Het doel van dit rapport is om lessen uit de praktijk om te zetten in gerichte beslissingen, zodat organisaties de kwetsbaarheden kunnen dichten waar aanvallers nog altijd op vertrouwen en incidenten kunnen stoppen voordat ze uitgroeien tot een datalek of grote verstoring.
Sam Rubin
SVP Consulting en Threat Intelligence
Unit 42 (Palo Alto Networks)