De kloof tussen ransomware-bedreigingen en de verdedigingsmiddelen die bedoeld zijn om deze te stoppen wordt steeds groter, niet kleiner. Uit Ivanti’s State of Cybersecurity Report 2026 blijkt dat de kloof in paraatheid steeds groter wordt gemiddeld 10 punten per jaar in elke bedreigingscategorie die door het bedrijf wordt gevolgd. Ransomware heeft de grootste verspreiding: 63% van de beveiligingsprofessionals beoordeelt het als een ernstige of kritieke bedreiging, maar slechts 30% zegt dat ze “zeer bereid” zijn om zich ertegen te verdedigen. Het verschil bedraagt 33 punten, vergeleken met 29 punten vorig jaar.
CyberArk’s Identity Security Landscape 2025 beantwoordt dat probleem: 82 machine-identiteiten voor ieder mens in organisaties over de hele wereld. Tweeënveertig procent van deze machine-identiteiten had bevoorrechte of gevoelige toegang.
De meest gezaghebbende begeleidingskaders hebben ook soortgelijke blinde vlekken
Gartner voorbereidingsgids voor ransomware, onderzoeksnota van april 2024 “Hoe u zich kunt voorbereiden op een ransomware-aanval” Waar het beveiligingsteam van het bedrijf naar verwijst bij het opstellen van incidentresponsprocedures, wordt specifiek opgeroepen tot de noodzaak om de “getroffen gebruikers-/hostreferenties” tijdens de insluiting opnieuw in te stellen. De bijbehorende Ransomware Playbook Toolkit leidt teams door vier fasen: inperking, analyse, herstel en herstel. De stap voor het opnieuw instellen van de inloggegevens geeft het team de opdracht ervoor te zorgen dat alle betrokken gebruikersaccounts en apparaten opnieuw zijn ingesteld.
Het serviceaccount bestaat niet. Dat geldt ook voor API-sleutels, tokens en certificaten. Het meest gebruikte raamwerk op het gebied van bedrijfsbeveiliging stopt bij de inloggegevens van mensen en apparaten. De organisaties die volgden erfden die blinde vlek zonder het te beseffen.
In dezelfde onderzoeksaantekeningen worden problemen geïdentificeerd zonder deze aan oplossingen te koppelen. Gartner waarschuwt dat “slechte identiteits- en toegangsbeheerpraktijken (IAM)” een belangrijk startpunt blijven voor ransomware-aanvallen, en dat eerder gecompromitteerde inloggegevens worden gebruikt om toegang te krijgen via early access brokers en datadumps op het dark web. In het herstelgedeelte zijn de richtlijnen duidelijk: het bijwerken of verwijderen van gecompromitteerde inloggegevens is van cruciaal belang omdat de aanvaller zonder deze stap weer toegang krijgt. De machine-identiteit is IAM. Het serviceaccount dat werd aangetast, waren de inloggegevens. De controleprocedures in deze handleiding behandelen echter niet beide.
Gartner beschrijft deze urgentie in een aantal van dezelfde bronnen: “Ransomware is anders dan andere beveiligingsincidenten”, merkt het onderzoek op. “Hierdoor moeten de getroffen organisaties aftellen. Elke vertraging in het besluitvormingsproces zal extra risico’s met zich meebrengen.” In dezelfde gids wordt benadrukt dat de herstelkosten tot tien keer het losgeld zelf kunnen bedragen, en dat ransomware bij meer dan 50% van de gevallen binnen een dag na de eerste toegang wordt ingezet. De tijd dringt, maar de inperkingsprocedures voldoen niet aan de urgentie – niet wanneer de snelst groeiende groep van geloofsbrieven niet wordt aangepakt.
Dit tekort aan gereedheid is ernstiger dan welk onderzoek dan ook
Het Ivanti-rapport onderzoekt de leemten in de paraatheid in elke grote bedreigingscategorie: ransomware, phishing, softwarekwetsbaarheden, API-gerelateerde kwetsbaarheden, supply chain-aanvallen en zelfs slechte encryptie. Elk van hen wordt van jaar tot jaar groter.
“Hoewel verdedigers optimistisch zijn over het potentieel van AI op het gebied van cyberbeveiliging, laten de bevindingen van Ivanti ook zien dat bedrijven steeds meer achterop raken in hun paraatheid om zich tegen bedreigingen te verdedigen”, zegt Daniel Spicer, Chief Security Officer bij Ivanti. “Dit is wat ik het ‘Cybersecurity Readiness Deficit’ noem, een aanhoudend en jaarlijks groeiend onevenwicht in het vermogen van organisaties om hun data, mensen en netwerken te verdedigen tegen een steeds evoluerend dreigingslandschap.”
CrowdStrike State of Ransomware-onderzoek 2025 schetst hoe het tekort er per sector uitziet. Van de fabrikanten die zichzelf als ‘zeer voorbereid’ beoordeelden, herstelde slechts 12% binnen 24 uur en ondervond 40% aanzienlijke operationele verstoringen. Organisaties in de publieke sector deden het slechter: een herstel van 12% ondanks een betrouwbaarheidsniveau van 60%. In alle sectoren heeft slechts 38% van de organisaties die getroffen werden door ransomware-aanvallen de specifieke problemen opgelost waardoor de aanvallers binnen konden komen. De rest investeerde in algemene beveiligingsverbeteringen zonder de daadwerkelijke toegangspunten te sluiten.
Volgens het rapport uit 2026 zei 54 procent van de organisaties dat ze zouden of waarschijnlijk zouden betalen als ze vandaag door ransomware zouden worden getroffen, ondanks de FBI-richtlijnen om niet te betalen. De bereidheid om te betalen weerspiegelt het gebrek aan controle-alternatieven, precies zoals geboden door machine-identiteitsprocedures.
Waar richtlijnen voor machine-identiteit falen
Vijf controlestappen definiëren tegenwoordig de meeste responsprocedures voor ransomware. De identiteit van de machine gaat voor alles verloren.
Het opnieuw instellen van de inloggegevens is niet bedoeld voor machines
Het opnieuw instellen van het wachtwoord van elke medewerker na een incident is een standaardpraktijk, maar dit stopt de zijwaartse beweging via gecompromitteerde serviceaccounts niet. Gartners eigen richtlijnsjabloon laat de blinde vlekken duidelijk zien.
Op het voorbeeld van het Ransomware Playbook-insluitingsblad staan drie stappen voor het opnieuw instellen van de inloggegevens: forceer het uitloggen van alle getroffen gebruikersaccounts via Active Directory, forceer wachtwoordwijzigingen voor alle getroffen gebruikersaccounts via Active Directory en reset apparaataccounts via Active Directory. Drie stappen, allemaal Active Directory, geen niet-menselijke inloggegevens. Geen serviceaccount, geen API-sleutel, geen token, geen certificaat. Machinereferenties vereisen hun eigen commandostructuur.
Niemand inventariseerde de identiteit van de machine voordat het incident plaatsvond
U kunt geen inloggegevens resetten waarvan u niet weet dat ze bestaan. Voor serviceaccounts, API-sleutels en tokens is eigendomstoewijzing vereist die vóór de gebeurtenis in kaart is gebracht. Het kostte dagen om ze te midden van de bres te vinden.
Volgens het Ivanti-rapport heeft slechts 51% van de organisaties een score voor blootstelling aan cyberbeveiliging, wat betekent dat bijna de helft het bestuur niet kan vertellen over de identiteitsblootstelling van hun machine als dit morgen wordt gevraagd. Slechts 27% beoordeelde hun beoordeling van de risicoblootstelling als “zeer goed”, hoewel 64% investeert in risicobeheer. De kloof tussen investering en uitvoering is het verlies van machine-identiteit.
Netwerkisolatie elimineert de vertrouwensketen niet
Door een machine uit het netwerk te halen, worden de API-sleutels die zijn uitgegeven aan downstream-systemen niet ingetrokken. Insluiting die stopt bij de netwerkperimeter gaat ervan uit dat vertrouwen wordt beperkt door de topologie. Machine-identiteit respecteert deze beperking niet. Zij authenticeren het.
Gartners eigen onderzoeksnota waarschuwt dat tegenstanders dagen tot maanden kunnen besteden aan het graven en het verkrijgen van zijwaartse beweging in een netwerk, waarbij ze bewijsmateriaal verzamelen voor doorzettingsvermogen voordat ze ransomware inzetten. Tijdens die mining-fase zijn serviceaccounts en API-tokens de gemakkelijkste inloggegevens om op te halen zonder een waarschuwing te activeren. Volgens CrowdStrike maakt 76 procent van de organisaties zich zorgen over het stoppen van de verspreiding van ransomware van onbeheerde hosts via gedeelde MKB-netwerken. Beveiligingsleiders moeten in kaart brengen welke systemen de identiteit van elke machine vertrouwen, zodat ze de toegang voor de hele keten kunnen intrekken, en niet alleen voor het gecompromitteerde eindpunt.
Detectielogica is niet ingebouwd in het machinegedrag
Afwijkend gedrag van de machine-identiteit activeert niet op dezelfde manier een waarschuwing als een gecompromitteerd gebruikersaccount. Ongebruikelijke hoeveelheden API-aanroepen, tokens die buiten het automatiseringsvenster worden gebruikt en serviceaccounts die vanaf nieuwe locaties worden geverifieerd, vereisen detectieregels die de meeste SOC’s nog niet hebben geschreven. Uit een CrowdStrike-onderzoek blijkt dat 85% van de beveiligingsteams toegeeft dat traditionele detectiemethoden geen gelijke tred kunnen houden met moderne bedreigingen. Toch heeft slechts 53% AI-aangedreven detectie van bedreigingen geïmplementeerd. Detectielogica die misbruik van machine-identiteit kan detecteren, bestaat in de meeste omgevingen vrijwel niet.
Verouderde serviceaccounts blijven het gemakkelijkste toegangspunt
Accounts die al jaren niet meer zijn gerouleerd, waarvan sommige zijn aangemaakt door werknemers die al lang zijn vertrokken, zijn de zwakste plek voor een machinegebaseerde aanval.
De richtlijnen van Gartner roepen op tot sterke authenticatie voor “bevoorrechte gebruikers, zoals database- en infrastructuurbeheerders en serviceaccounts”, maar die aanbeveling staat in het preventiegedeelte en niet in het containment-playbook waar teams dit nodig hebben tijdens een actief incident. Verweesde accountaudits en rotatieschema’s vallen onder de voorbereiding vóór het incident, en niet onder het schudden na de inbreuk.
De economie maakt dit op dit moment urgent
AI-agenten zullen het probleem vermenigvuldigen. Volgens het Ivanti-rapport zegt 87 procent van de beveiligingsprofessionals dat het integreren van AI-agenten een prioriteit is, en 77 procent geeft aan zich op hun gemak te voelen bij het mogelijk maken van autonome AI om te handelen zonder menselijk toezicht. Slechts 55% maakt echter gebruik van formele vangrails. Elke autonome agent creëert een nieuwe machine-identiteit, een identiteit die autonoom authenticeert, beslissingen neemt en onafhankelijk handelt. Als organisaties de identiteiten van de machines die ze momenteel hebben niet kunnen beheren, zullen ze er meer toevoegen.
Gartner schat de totale herstelkosten op tien keer de ransomware zelf. CrowdStrike schat dat de gemiddelde kosten voor het stoppen van ransomware 1,7 miljoen dollar per incident bedragen, terwijl de gemiddelde kosten voor organisaties in de publieke sector 2,5 miljoen dollar bedragen. Betalen helpt niet. Drieënnegentig procent van de organisaties die betalingen doen, krijgt te maken met gegevensdiefstal, en 83% wordt opnieuw aangevallen. Bijna 40% kon de gegevens niet volledig herstellen uit een back-up na een ransomware-incident. De ransomware-economie is zo geëvolueerd dat vijandige groepen nu bestanden op afstand versleutelen via SMB-netwerkshares van onbeheerde systemen, zonder ooit ransomware-binaire bestanden naar beheerde eindpunten over te dragen.
Beveiligingsleiders die machine-identiteitsinventarissen, detectieregels en inperkingsprocedures in hun playbooks inbouwen, zullen nu niet alleen de mazen in de wet dichten die door de hedendaagse aanvallers worden uitgebuit – ze zullen ook in de positie zijn om de autonome identiteiten te besturen die daarna komen. De test is of de optelling de volgende tafeloefening overleeft. Als ze daar niet volhouden, zullen ze echte gebeurtenissen niet overleven.
