De kloof tussen ransomware-bedreigingen en de verdedigingsmechanismen die zijn ontworpen om deze te stoppen wordt steeds groter, niet kleiner. Uit Ivanti’s State of Cybersecurity-rapport uit 2026 blijkt dat de gereedheidskloof met één is toegenomen gemiddeld 10 punten per jaar in elke dreigingscategorie die door het bedrijf wordt gecontroleerd. Ransomware heeft de mainstream bereikt: 63% van de beveiligingsprofessionals beschouwt het als een grote of kritische bedreiging, maar slechts 30% zegt dat ze “zeer bereid” zijn om zich ertegen te verdedigen. Dit is een gat van 33 punten, vergeleken met 29 punten een jaar geleden.
CyberArk’s Identity Security Landscape 2025 legt de cijfers bij het probleem: 82 machine-identiteiten voor ieder mens in organisaties over de hele wereld. 42% van deze machine-identiteiten heeft bevoorrechte of gevoelige toegang.
Het meest gezaghebbende draaiboekraamwerk heeft dezelfde blinde vlek
Gartner Ransomware Preparedness Guide, april 2024 Onderzoeksnota “Hoe u zich kunt voorbereiden op ransomware-aanvallen” waar bedrijfsbeveiligingsteams naar verwijzen bij het maken van incidentresponsprocedures, gaat specifiek in op de noodzaak om “getroffen gebruikers-/hostreferenties” tijdens de insluiting opnieuw in te stellen. De bijbehorende Ransomware Playbook Toolkit leidt teams door vier fasen: inperking, analyse, herstel en herstel. De stap voor het opnieuw instellen van de inloggegevens zorgt ervoor dat teams ervoor zorgen dat alle getroffen gebruikers- en apparaataccounts opnieuw worden ingesteld.
Serviceaccounts ontbreken. Hetzelfde geldt voor API-sleutels, tokens en certificaten. Het meest gebruikte playbook-framework op het gebied van bedrijfsbeveiliging stopt bij de inloggegevens van mensen en apparaten. Organisaties die het volgen, erven die blinde vlek zonder het te beseffen.
De onderzoeksnota zelf identificeert het probleem zonder het aan de oplossing te koppelen. Gartner waarschuwt dat ‘slechte praktijken op het gebied van identiteits- en toegangsbeheer’ (IAM) een primair startpunt blijven voor ransomware-aanvallen, en dat eerder gecompromitteerde inloggegevens worden gebruikt om toegang te krijgen via initiële toegangsmakelaars en datadumps op het dark web. In het herstelgedeelte zijn de richtlijnen expliciet: het bijwerken of verwijderen van gecompromitteerde inloggegevens is essentieel omdat de aanvaller zonder deze stap weer toegang krijgt. Machine-identiteiten zijn IAM. Gecompromitteerde serviceaccounts zijn inloggegevens. Maar de inperkingsprocedures van het draaiboek pakken geen van beide aan.
Gartner formuleert de urgentie in termen die weinig andere bronnen evenaren: “Ransomware is anders dan elk ander beveiligingsincident”, aldus de onderzoeksnota. “Het zet de getroffen organisaties op een afteltimer. Elke vertraging in de besluitvorming brengt extra risico’s met zich mee.” Dezelfde richtlijnen wijzen erop dat de herstelkosten kunnen oplopen tot tien keer het losgeld zelf en dat ransomware in meer dan 50% van de gevallen binnen een dag na de eerste toegang wordt verspreid. De klok loopt al, maar de inperkingsprocedures voldoen niet aan de urgentie, niet wanneer de snelst groeiende klasse van diploma’s niet wordt aangepakt.
Het voorbereidingstekort gaat dieper dan welk enkel onderzoek dan ook
Het rapport van Ivanti brengt de gereedheidskloof in kaart in alle grote bedreigingscategorieën: ransomware, phishing, softwarekwetsbaarheden, API-kwetsbaarheden, supply chain-aanvallen en zelfs slechte encryptie. Elk van hen is jaar na jaar uitgebreid.
“Hoewel verdedigers optimistisch zijn over de belofte van AI op het gebied van cyberbeveiliging, laten de bevindingen van Ivanti ook zien dat bedrijven nog verder achterlopen als het gaat om hoe goed ze voorbereid zijn om zich te verdedigen tegen een verscheidenheid aan bedreigingen”, zegt Daniel Spicer, Chief Security Officer bij Ivanti. “Dit is wat ik het ‘cybersecurity readiness tekort’ noem, een aanhoudend, jaar na jaar groter wordend onevenwicht in het vermogen van een organisatie om haar data, mensen en netwerken te verdedigen tegen het evoluerende dreigingslandschap.”
CrowdStrike 2025 State of Ransomware-onderzoek analyseert hoe dat tekort er per sector uitziet. Van de fabrikanten die zeiden dat ze “zeer goed voorbereid” waren, herstelde slechts 12% binnen 24 uur en ondervond 40% aanzienlijke operationele verstoringen. Organisaties in de publieke sector deden het slechter: 12% herstel ondanks 60% vertrouwen. In alle sectoren heeft slechts 38% van de organisaties die te maken kregen met een ransomware-aanval het specifieke probleem opgelost waardoor de aanvallers toegang kregen. De rest heeft geïnvesteerd in algemene beveiligingsverbeteringen zonder het eigenlijke toegangspunt te sluiten.
Volgens het rapport uit 2026 zei 54% van de organisaties dat ze zouden of waarschijnlijk zouden betalen als ze getroffen werden door ransomware, ondanks de FBI-richtlijnen om niet te betalen. Deze bereidheid om te betalen weerspiegelt een fundamenteel gebrek aan insluitingsalternatieven, precies het soort dat automatische identiteitsprocedures zouden bieden.
Waar handleidingen voor machine-identiteit tekortschieten
Vijf inperkingsfasen definiëren tegenwoordig de meeste responsprocedures voor ransomware. In elk van hen ontbreekt de identiteit van de machine.
Het opnieuw instellen van referenties is niet bedoeld voor machines
Het opnieuw instellen van het wachtwoord van elke medewerker na een incident is een standaardpraktijk, maar het voorkomt niet dat er zijwaartse bewegingen worden gemaakt via een gecompromitteerd serviceaccount. Het playbook-model van Gartner laat duidelijk de blinde vlek zien.
Het voorbeeldspiekbriefje van Ransomware Playbook vermeldt drie stappen voor het opnieuw instellen van de inloggegevens: forceer het uitloggen van alle getroffen gebruikersaccounts via Active Directory, forceer wachtwoordwijziging voor alle getroffen gebruikersaccounts via Active Directory en reset het apparaataccount via Active Directory. Drie stappen, allemaal Active Directory, geen niet-menselijke inloggegevens. Geen serviceaccounts, geen API-sleutels, geen tokens, geen certificaten. Machinereferenties hebben hun eigen commandostructuur nodig.
Niemand inventariseert de identiteit van auto’s vóór een ongeval
U kunt geen inloggegevens resetten waarvan u niet weet dat ze bestaan. Voor serviceaccounts, API-sleutels en tokens moeten eigendomstoewijzingen vóór het incident in kaart zijn gebracht. Het kost dagen om ze midden in een inbreuk te ontdekken.
Slechts 51% van de organisaties heeft een score voor blootstelling aan cyberbeveiliging, zo blijkt uit het rapport van Ivanti. Dit betekent dat bijna de helft de blootstelling aan hun machine-identiteit niet aan het bestuur zou kunnen onthullen als dit morgen wordt gevraagd. Slechts 27% beoordeelt hun beoordeling van de risicoblootstelling als ‘uitstekend’, ondanks dat 64% investeert in risicobeheer. In de kloof tussen investering en uitvoering verdwijnen machine-identiteiten.
Netwerkisolatie herroept de vertrouwensketens niet
Als u een machine van het netwerk verwijdert, worden de API-sleutels die aan downstream-systemen zijn uitgegeven niet ingetrokken. Bij insluiting die stopt bij de netwerkperimeter wordt ervan uitgegaan dat het vertrouwen wordt beperkt door de topologie. Machine-identiteiten respecteren die grens niet. Ze authenticeren zich erdoor.
Gartner’s onderzoeksnota waarschuwt dat tegenstanders dagen of maanden kunnen besteden aan het graven en het verkrijgen van zijwaartse beweging binnen netwerken, waarbij ze bewijsmateriaal verzamelen voor doorzettingsvermogen voordat ze ransomware inzetten. Tijdens deze verkenningsfase zijn serviceaccounts en API-tokens de gemakkelijkst te verzamelen inloggegevens zonder waarschuwingen te activeren. Volgens CrowdStrike maakt 76% van de organisaties zich zorgen over het voorkomen dat ransomware zich vanaf een onbeheerde host naar MKB-netwerkshares verspreidt. Beveiligingsleiders moeten in kaart brengen welke systemen de identiteit van elke machine vertrouwen, zodat ze de toegang tot de hele keten kunnen intrekken, en niet alleen tot het gecompromitteerde eindpunt.
De detectielogica is niet gemaakt voor machinegedrag
Abnormaal machine-identiteitsgedrag activeert geen waarschuwingen zoals een gecompromitteerd gebruikersaccount dat wel doet. Ongebruikelijke hoeveelheden API-aanroepen, tokens die buiten de automatiseringsvensters worden gebruikt en serviceaccounts die vanaf nieuwe locaties authenticeren, vereisen detectieregels die de meeste SOC’s niet hebben geschreven. Uit het onderzoek van CrowdStrike blijkt dat 85% van de beveiligingsteams erkent dat traditionele detectiemethoden geen gelijke tred kunnen houden met moderne bedreigingen. Slechts 53% heeft echter op AI gebaseerde detectie van bedreigingen geïmplementeerd. Detectielogica die misbruik van de machine-identiteit kan opsporen, bestaat in de meeste omgevingen nauwelijks.
Beëindigde serviceaccounts blijven het gemakkelijkste toegangspunt
Accounts die al jaren niet meer zijn gerouleerd, waarvan sommige zijn gemaakt door werknemers die lang geleden zijn vertrokken, vormen het zwakste oppervlak voor machinegebaseerde aanvallen.
De richtlijnen van Gartner vereisen sterke authenticatie voor ‘bevoorrechte gebruikers, zoals database- en infrastructuurbeheerders en serviceaccounts’, maar die aanbeveling is te vinden in het preventiegedeelte, niet in het containment-playbook waar teams deze nodig hebben tijdens een actief incident. Audits van weesaccounts en rotatieprogramma’s maken deel uit van de voorbereiding vóór het incident, en niet van de operaties na de inbreuk.
De economie maakt het nu urgent
Kunstmatige intelligentie zal het probleem vermenigvuldigen. Volgens het Ivanti-rapport zegt 87% van de beveiligingsprofessionals dat het integreren van AI van agenten een prioriteit is, en vindt 77% het prettig om autonome AI te laten handelen zonder menselijk toezicht. Maar slechts 55% maakt gebruik van formele vangrails. Elke autonome agent creëert nieuwe machine-identiteiten, identiteiten die authenticeren, beslissingen nemen en onafhankelijk handelen. Als organisaties de machine-identiteiten die ze nu hebben niet kunnen beheren, staan ze op het punt een nieuwe orde van grootte toe te voegen.
Gartner schat dat de totale herstelkosten tien keer hoger zijn dan het losgeld zelf. CrowdStrike schat dat de gemiddelde kosten van ransomware-downtime 1,7 miljoen dollar per incident bedragen, met een gemiddelde van 2,5 miljoen dollar voor organisaties in de publieke sector. Betalen helpt niet. Bij 93% van de organisaties die betaalden, werden de gegevens nog steeds gestolen, en bij 83% werd opnieuw aangevallen. Bijna 40% slaagde er niet in om gegevens uit back-ups volledig te herstellen na ransomware-incidenten. De ransomware-economie is zo geprofessionaliseerd dat kwaadwillende groepen nu bestanden op afstand versleutelen op SMB-netwerkshares vanaf onbeheerde systemen, zonder ooit het binaire ransomwarebestand naar een beheerd eindpunt over te dragen.
Beveiligingsleiders die machine-identiteitsinventarisatie, detectieregels en inperkingsprocedures in hun programma’s inbouwen, zullen niet alleen de kloof dichten die vandaag de dag door aanvallers wordt uitgebuit, maar zullen ook in een positie zijn om de autonome identiteiten van de toekomst te besturen. De test is of dergelijke toevoegingen de volgende tabletop-oefening zullen overleven. Als ze het daar niet volhouden, zullen ze ook niet standhouden bij een echte crash.
