De kloof tussen ransomware-bedreigingen en de verdedigingsmiddelen om deze te stoppen wordt steeds groter, niet kleiner. Uit Ivanti’s State of Cybersecurity Report 2026 blijkt dat de kloof in paraatheid groter is geworden met: gemiddeld 10 punten per jaar in alle dreigingscategorieën die het bedrijf volgt. Ransomware treft de grootste verspreiding: 63% van de beveiligingsprofessionals beoordeelt het als een grote of kritieke bedreiging, maar slechts 30% zegt dat ze “zeer bereid” zijn om zich ertegen te verdedigen. Het is een voorsprong van 33 punten tegen 29 punten een jaar geleden.
CyberArk’s Identity Security Landscape 2025 legt de cijfers bij het probleem: 82 machine-identiteiten voor ieder mens in organisaties over de hele wereld. Tweeënveertig procent van deze machine-identiteiten heeft bevoorrechte of gevoelige toegang.
Het meest gezaghebbende draaiboekraamwerk heeft dezelfde blinde vlek
Gartner’s Ransomware Preparation Guidance, onderzoeksnota van april 2024 “Hoe u zich kunt voorbereiden op ransomware-aanvallen” waar bedrijfsbeveiligingsteams naar verwijzen bij het opzetten van incidentresponsprocedures benadrukken specifiek de noodzaak om de ‘getroffen gebruikers-/hostreferenties’ tijdens de insluiting opnieuw in te stellen. De bijbehorende Ransomware Playbook Toolkit leidt teams door vier fasen: inperking, analyse, herstel en herstel. De stap voor het opnieuw instellen van de inloggegevens instrueert teams om ervoor te zorgen dat alle betrokken gebruikers- en apparaataccounts opnieuw worden ingesteld.
Serviceaccounts ontbreken. Dat geldt ook voor API-sleutels, tokens en certificaten. Het meest gebruikte playbook-framework op het gebied van bedrijfsbeveiliging stopt bij de inloggegevens voor mensen en apparaten. De organisaties die het volgen, erven de blinde vlek zonder het te beseffen.
In dezelfde onderzoeksnota wordt het probleem geïdentificeerd zonder het aan de oplossing te koppelen. Gartner waarschuwt dat ‘slechte praktijken op het gebied van identiteits- en toegangsbeheer’ (IAM) een primair startpunt blijven voor ransomware-aanvallen, en dat eerder gecompromitteerde inloggegevens worden gebruikt om toegang te krijgen via initiële toegangsmakelaars en datadumps op het dark web. In het herstelgedeelte zijn de richtlijnen expliciet: het bijwerken of verwijderen van gecompromitteerde inloggegevens is essentieel omdat de aanvaller zonder deze stap weer toegang krijgt. Machine-identiteiten zijn IAM. Gecompromitteerde serviceaccounts zijn inloggegevens. Maar de inperkingsprocedures van het draaiboek pakken geen van beide aan.
Gartner verwoordt de urgentie in termen waar weinig andere bronnen aan voldoen: “Ransomware is anders dan elk ander beveiligingsincident”, aldus de onderzoeksnota. “Het zet de getroffen organisaties op een afteltimer. Elke vertraging in het besluitvormingsproces brengt extra risico’s met zich mee.” In dezelfde richtlijnen wordt benadrukt dat de herstelkosten kunnen oplopen tot tien keer het losgeld zelf, en dat ransomware bij meer dan 50% van de gevallen binnen een dag na de eerste toegang wordt ingezet. De klok tikt al, maar de inperkingsprocedures voldoen niet aan de urgentie – niet wanneer de snelst groeiende categorie van geloofsbrieven niet wordt aangepakt.
Het tekort aan paraatheid gaat dieper dan welk onderzoek dan ook
Het rapport van Ivanti brengt de kloof in paraatheid in kaart in alle grote categorieën bedreigingen: ransomware, phishing, softwarekwetsbaarheden, API-gerelateerde kwetsbaarheden, supply chain-aanvallen en zelfs slechte encryptie. Ieder jaar werd ze uitgebreid.
“Hoewel verdedigers optimistisch zijn over de belofte van kunstmatige intelligentie op het gebied van cyberbeveiliging, laten de bevindingen van Ivanti ook zien dat bedrijven steeds verder achterop raken in hoe goed ze voorbereid zijn om zich te verdedigen tegen een verscheidenheid aan bedreigingen”, zegt Daniel Spicer, Chief Security Officer van Ivanti. “Dit is wat ik het ‘Cybersecurity Readiness Deficit’ noem, een aanhoudende, jaar na jaar groeiende onbalans in het vermogen van een organisatie om haar data, mensen en netwerken te verdedigen tegen het evoluerende dreigingslandschap.”
CrowdStrike’s 2025 State of Ransomware-onderzoek geeft een overzicht van hoe dat tekort eruit ziet per bedrijfstak. Van de fabrikanten die zichzelf als ‘zeer goed voorbereid’ beoordeelden, herstelde slechts 12% binnen 24 uur en 40% ondervond aanzienlijke verstoringen. Organisaties in de publieke sector deden het slechter: 12% herstel ondanks 60% vertrouwen. In alle sectoren had slechts 38% van de organisaties die getroffen werden door een ransomware-aanval het specifieke probleem waardoor aanvallers binnen konden komen. De rest investeerde in algemene beveiligingsverbeteringen zonder het toegangspunt zelf te sluiten.
Volgens het rapport uit 2026 zei 54 procent van de organisaties dat ze zouden of waarschijnlijk zouden betalen als ze vandaag door ransomware zouden worden getroffen, ondanks de richtlijnen van de FBI over de betaling. Deze bereidheid om te betalen weerspiegelt een fundamenteel gebrek aan insluitingsalternatieven, precies het soort dat machinale identiteitsprocedures zouden bieden.
Waar draaiboeken voor machine-identiteit tekortschieten
Vijf inperkingsstappen definiëren tegenwoordig de meeste responsprocedures voor ransomware. Bij elk ervan ontbreken machine-identiteiten.
Het opnieuw instellen van de inloggegevens is niet ontworpen voor machines
Het opnieuw instellen van het wachtwoord van elke medewerker na een incident is een standaardpraktijk, maar het stopt niet de zijwaartse beweging via een gecompromitteerd serviceaccount. Gartners eigen playbook-sjabloon laat de blinde vlek duidelijk zien.
Het insluitingsblad van het Ransomware Playbook-voorbeeld toont drie stappen om de inloggegevens opnieuw in te stellen: forceer het uitloggen van alle getroffen gebruikersaccounts via Active Directory, dwing wachtwoordwijziging af voor alle getroffen gebruikersaccounts via Active Directory en reset het apparaataccount via Active Directory. Drie stappen, allemaal Active Directory, geen niet-menselijke inloggegevens. Geen serviceaccounts, geen API-sleutels, geen tokens, geen certificaten. Machinereferenties hebben hun eigen commandostructuur nodig.
Niemand registreert machine-identiteiten vóór een gebeurtenis
U kunt geen inloggegevens resetten waarvan u niet weet dat ze bestaan. Voor serviceaccounts, API-sleutels en tokens moeten vóór het evenement eigendomstoewijzingen in kaart zijn gebracht. Het kost dagen om ze halverwege te ontdekken.
Volgens het rapport van Ivanti heeft slechts 51% van de organisaties zelfs maar een score voor blootstelling aan cybersecurity. Dit betekent dat bijna de helft het bestuur niet zou kunnen vertellen over hun blootstelling aan machine-identiteiten als dit morgen wordt gevraagd. Slechts 27% beoordeelt hun beoordeling van de risicoblootstelling als “uitstekend”, ondanks dat 64% investeert in risicobeheer. In de kloof tussen investering en uitvoering verdwijnen machine-identiteiten.
Netwerkisolatie herroept de vertrouwensketens niet
Als u een machine uit het netwerk haalt, worden de API-sleutels die deze aan downstream-systemen heeft verstrekt niet ingetrokken. Insluiting die stopt bij de netwerkperimeter gaat ervan uit dat vertrouwen wordt beperkt door topologie. Machine-identiteiten respecteren die limiet niet. Ze authenticeren zich erover.
Gartners eigen onderzoeksnota waarschuwt dat kwaadwillenden dagen tot maanden kunnen besteden aan het graven en zijwaarts bewegen binnen netwerken, om bewijsmateriaal voor doorzettingsvermogen te verzamelen, voordat ze ransomware inzetten. Tijdens deze mining-fase zijn serviceaccounts en API-tokens de gemakkelijkst te verzamelen inloggegevens zonder waarschuwingen te activeren. Volgens CrowdStrike maakt 76 procent van de organisaties zich zorgen over het voorkomen dat ransomware zich vanaf een onbeheerde host over MKB-netwerkshares verspreidt. Beveiligingsmanagers moeten in kaart brengen welke systemen elke machine-identiteit vertrouwen, zodat ze de toegang voor de hele keten kunnen intrekken, en niet alleen voor het gecompromitteerde eindpunt.
Detectielogica is niet gebouwd voor machinegedrag
Abnormaal machine-identiteitsgedrag activeert geen waarschuwingen zoals een gecompromitteerd gebruikersaccount dat wel doet. Ongebruikelijke API-oproepvolumes, tokens die buiten de automatiseringsvensters worden uitgegeven en serviceaccounts die vanaf nieuwe locaties worden geverifieerd, vereisen registratieregels die de meeste SOC’s niet hebben geschreven. Uit het onderzoek van CrowdStrike blijkt dat 85% van de beveiligingsteams erkent dat traditionele detectiemethoden de moderne bedreigingen niet kunnen bijhouden. Toch heeft slechts 53% AI-aangedreven detectie van bedreigingen geïmplementeerd. De detectielogica die misbruik van machine-identiteit zou kunnen opsporen, bestaat in de meeste omgevingen nauwelijks.
Verouderde serviceaccounts blijven het gemakkelijkste toegangspunt
Accounts die al jaren niet meer zijn gerouleerd, waarvan sommige zijn gemaakt door werknemers die lang geleden zijn vertrokken, vormen het zwakste oppervlak voor machinegebaseerde aanvallen.
De richtlijnen van Gartner roepen op tot sterke authenticatie voor ‘bevoorrechte gebruikers, zoals database- en infrastructuurbeheerders en serviceaccounts’, maar die aanbeveling staat in het preventiegedeelte en niet in het containment-playbook, waar teams deze nodig hebben tijdens een actief incident. Audits en rotatieschema’s voor weeskantoren horen thuis in de voorbereiding vóór het incident, en niet in de problemen na de inbreuk.
De economie maakt dit nu urgent
Agentische AI zal het probleem vermenigvuldigen. Volgens het Ivanti-rapport zegt 87 procent van de beveiligingsprofessionals dat het integreren van agent-AI een prioriteit is, en 77 procent geeft aan dat het prettig is om autonome AI te laten handelen zonder menselijk toezicht. Maar slechts 55% maakt gebruik van formele vangrails. Elke autonome agent creëert nieuwe machine-identiteiten, identiteiten die authenticeren, beslissingen nemen en onafhankelijk handelen. Als organisaties de machine-identiteiten die ze nu hebben niet kunnen beheren, voegen ze daar nog een orde van grootte aan toe.
Gartner schat de totale herstelkosten op tien keer het daadwerkelijke losgeld. CrowdStrike schat de gemiddelde downtime van ransomware op $1,7 miljoen per incident, terwijl organisaties uit de publieke sector gemiddeld $2,5 miljoen bedragen. Het helpt niet om te betalen. Bij 93 procent van de organisaties die betaalden, werden de gegevens toch gestolen, en bij 83 procent werd opnieuw aangevallen. Bijna 40% kon de gegevens uit back-ups niet volledig herstellen na ransomware-incidenten. De ransomware-economie is zo geprofessionaliseerd dat verzetsgroepen nu op afstand bestanden versleutelen via SMB-netwerkshares vanaf onbeheerde systemen, waarbij de binaire ransomware nooit wordt overgedragen naar een beheerd eindpunt.
Beveiligingsleiders die machine-identiteitsinventarisatie, registratieregels en inperkingsprocedures in hun playbooks inbouwen, zullen nu niet alleen het gat dichten waar aanvallers vandaag de dag misbruik van maken – ze zullen in de positie zijn om de autonome identiteiten die daarna komen te beheren. De test is of deze toevoegingen de volgende tabletop-oefening overleven. Als ze daar niet stoppen, stoppen ze ook niet bij een echt incident.
