Contents

Waar de klap nu valt

Een productielijn valt stil. De schermen blijven groen en de servers draaien, maar de fabriek komt niet meer op gang. Er is geen brand en ook geen stroomstoring. Het probleem zit dieper, in een stukje code dat er uitzag alsof het er gewoon thuishoorde.

Aanvallers breken niet langer met geweld binnen. Ze mengen zich in de processen waar organisaties dagelijks op vertrouwen, in automatische updates en ontwikkeltools die zonder argwaan worden uitgevoerd. Zo verandert de softwareketen zelf in de plek waar de aanval begint.

 

“De dreiging zit niet meer aan de poort, maar in de pipeline.”

Leon Smit, General Manager bij Acora

 

De kwetsbaarheid zit niet meer aan de buitenkant van het netwerk. Ze schuilt in de mechanismen die we zelf hebben geautomatiseerd. Juist dat maakt deze dreiging zo moeilijk te herkennen.

Aanvallen die zich verspreiden via de keten

Wat één ontwikkelaar toevoegt, kan zich binnen minuten verspreiden over honderden organisaties. In de afgelopen periode kwamen aanvallen aan het licht met een opvallend patroon. Een ogenschijnlijk betrouwbare component, een kleine wijziging en een reeks processen die dat ongemerkt doorzetten.

Onderzoekers zagen onder meer:

Een worm die meer dan vijfhonderd open-sourcepakketten besmette en tokens van ontwikkelaars stal.

Build-systemen waardoor duizenden GitHub-repositories onbedoeld openbaar werden.

Workflowbestanden die duizenden API-sleutels en cloudtokens lekte.

Voor wie er middenin zit lijkt alles gewoon te werken. De automatische processen lopen door, meldingen blijven stil en dashboards tonen alleen groen. Tot iemand merkt dat er data ontbreekt of wachtwoorden opduiken op forums.

Die schijn van normaliteit maakt deze aanvallen gevaarlijk. Ze verschuilen zich in de dagelijkse routines die bedoeld waren om tijd te besparen. Wie niet begrijpt wat er door zijn keten beweegt, merkt pas laat dat de aanval al onderdeel van het proces was geworden.

Identity is de nieuwe sleutel

In veel organisaties is toegang nog altijd gebaseerd op vertrouwen. Wie eenmaal is aangemeld, kan vaak overal bij. Accounts behouden rechten die nooit worden ingetrokken en tokens blijven geldig, ook als ze allang niet meer nodig zijn.

Dat maakt identiteit tot een doelwit op zich. Aanvallers hoeven geen servers meer te breken als ze zich kunnen voordoen als iemand die al binnen is. Ze kapen sessies, gebruiken gestolen tokens en bewegen zich door cloudomgevingen zonder dat iemand het merkt.

Onderzoekers ontdekten een kwetsbaarheid in oudere Microsoft-systemen die dit pijnlijk zichtbaar maakt. Met zogenoemde actor-tokens konden aanvallers zich voordoen als willekeurige gebruikers, zelfs als globale beheerder. De activiteit verscheen niet in logbestanden en bleef daardoor onzichtbaar. Pas toen de patch uitkwam, zagen organisaties hoeveel schaduwtoegang (toegang die nooit officieel is verleend of geregistreerd) er in hun omgeving bestond.

Voor bestuurders voelt dat ongemakkelijk. Je weet niet meer of de identiteit achter een login echt is of alleen lijkt op iemand van je eigen team.

Identity is daarmee de nieuwe sleutel van beveiliging. Zolang je niet kunt aantonen wie toegang heeft, kun je ook niet zeker weten of je omgeving veilig is. Organisaties verkleinen dit risico door over te stappen op Microsoft Graph, de levensduur van tokens te beperken en elke aanmelding automatisch te loggen.

Toegang verlenen is eenvoudig. Weten of die toegang nog legitiem is, dat bepaalt of een organisatie echt weerbaar is.

Misleiding als aanvalstactiek

Cyberaanvallen richten zich steeds vaker op mensen in plaats van op systemen. Waar vroeger slordige phishingmails de deur openden, ontstaat nu een digitale werkelijkheid die zo echt lijkt dat zelfs experts zich laten misleiden.

Deepfakes zijn daarin het krachtigste wapen. Met een paar minuten beeldmateriaal en een AI-model kan iedereen een geloofwaardige kopie maken van een leidinggevende, een bekende belegger of zelfs een collega. Die persoon belt, praat, knippert, lacht en overtuigt medewerkers om geld over te maken of toegang te geven tot gevoelige data.

In de financiële wereld leidde dit al tot grote schade. AI-gedreven beleggingsscams en deepfake-video’s beïnvloedden duizenden volgers om te investeren in waardeloze aandelen. De video’s zagen er echt uit, stemmen klonken vertrouwd en de timing was perfect. Wat ooit een simpele pump-and-dump-zwendel was, is uitgegroeid tot een beïnvloedingscampagne waarin waarheid en misleiding door elkaar lopen.

 

“Deepfakes breken geen systemen, ze breken vertrouwen.”

Leon Smit, General Manager bij Acora

 

Deze aanvallen raken niet de technologie, maar het oordeel van mensen. Nieuwe standaarden zoals digitale oorsprongscertificaten en cryptografische watermerken helpen om te bewijzen waar beelden vandaan komen. Grote platforms werken eraan om content automatisch te controleren op manipulatie, zodat de herkomst van video’s zichtbaar blijft.

Toch blijft de eerste verdedigingslinie menselijk. Organisaties moeten hun teams trainen om twijfel toe te laten, juist bij informatie die te overtuigend lijkt. Want hoe geloofwaardiger het verhaal, hoe groter de kans dat het is gemaakt om te misleiden.

Operationele impact wordt het nieuwe doel

Aanvallen draaien steeds minder om datadiefstal of losgeld. De nieuwe inzet is ontwrichting. De keten zélf is nu het drukmiddel waarmee criminelen bedrijven onder druk zetten.

Het incident bij Jaguar Land Rover liet dat duidelijk zien.

Een aanval op hun IT-infrastructuur legde wereldwijd de productie stil. Fabrieken stonden wekenlang stil, dealers wachtten op onderdelen, en de logistiek liep vast. Het ging niet om een datalek, maar om bedrijfsstilstand.

Aanvallers weten inmiddels dat één uur uitval meer schade veroorzaakt dan duizend gestolen documenten. Door de keten te raken, dwingen ze organisaties om snel te beslissen: productie hervatten of miljoenen verlies accepteren.

 

“We zien dat ransomware zich ontwikkelt van gijzeling naar verstoring.”

Leon Smit, General Manager bij Acora

 

Die verschuiving zagen we ook bij recente aanvallen op netwerkleveranciers. Bij Cisco misbruikten criminelen een fout in IOS-software waardoor routers uitvielen en delen van het netwerk onbereikbaar werden.

Rond dezelfde periode werd SonicWall getroffen door een aanval op de cloud-back-updienst. Firewalls vielen tijdelijk uit, waardoor bedrijven hun beveiliging deels kwijtraakten en systemen onbeschermd bleven.

In beide gevallen stond de continuïteit op het spel. Het ging niet om losgeld of datadiefstal, maar om verstoring van kritieke processen – precies waar organisaties het meest van afhankelijk zijn.

Ransomware en supply-chain-aanvallen groeien zo naar elkaar toe. De één blokkeert de toegang, de ander tast het vertrouwen aan in de tools waarmee je werkt. Samen veroorzaken ze een kettingreactie die de hele operatie kan stilzetten.

Weerbaarheid gaat verder dan back-ups of herstelplannen. Het draait om veerkracht: weten hoe processen blijven draaien, zelfs als de technologie hapert.

Wie dat onder controle heeft, blijft rustig bij het volgende incident. Die weet wat doorloopt en wat even mag stilstaan.

AI versnelt de aanvaller

Aanvallers werken tegenwoordig in een tempo dat nauwelijks meer bij te houden is. Waar onderzoekers vroeger weken de tijd hadden tussen ontdekking en misbruik van een kwetsbaarheid, gaat het nu soms binnen één dag mis. De oorzaak ligt in een nieuwe generatie AI-gestuurde aanvalstools.

Software die ooit bedoeld was om organisaties te helpen hun weerbaarheid te testen, wordt nu gebruikt om exploits te ontwikkelen en direct op duizenden doelen uit te proberen.

Een treffend voorbeeld is HexStrike AI. Het begon als hulpmiddel voor red-teaming, maar criminelen gebruiken het inmiddels om kwetsbaarheden in onder andere Citrix NetScaler-systemen te vinden en te benutten.De tool koppelt met meer dan honderdvijftig andere beveiligings- en scanplatformen en kan zelfstandig opnieuw proberen tot een aanval slaagt.

Ook de AI-tool Villager liet zien hoe snel misbruik kan ontstaan. Binnen enkele weken werd hij meer dan elfduizend keer gedownload. Onderzoekers zagen hoe aanvallers hem gebruikten om bekende lekken automatisch te wapenen en te verspreiden, zonder één regel code zelf aan te raken.

Deze automatisering verandert het speelveld volledig. De tijd tussen ontdekking en aanval is zo kort geworden dat traditionele patchrondes het tempo niet meer kunnen bijhouden. Beveiliging moet daarom gelijktijdig leren, testen en verbeteren. Steeds meer organisaties stappen over op continue validatie: hun omgeving voortdurend beproeven alsof een aanvaller al binnen is. Dat voorkomt niet alleen incidenten, maar laat ook zien hoe effectief bestaande maatregelen werkelijk zijn.

Wie zijn beveiliging regelmatig laat testen, houdt zicht op zijn zwakke plekken en blijft in controle. Dat is de enige manier om een tegenstander bij te benen die elke dag sneller leert dan gisteren.

Vier bouwstenen die standhouden

In een dreigingslandschap dat steeds sneller beweegt, houden losse maatregelen het niet lang vol.

Echte weerbaarheid ontstaat pas wanneer toegang, identiteit, cloud en validatie met elkaar samenwerken.

Volgens Leon Smit vormen vier bouwstenen samen de basis van die moderne aanpak.

  • SASE: veilige toegang voor elk apparaat en elke locatieSteeds meer werk gebeurt buiten het traditionele bedrijfsnetwerk.SASE brengt netwerkbeveiliging en toegangscontrole samen zodat medewerkers, waar ze ook werken, veilig verbinding kunnen maken met applicaties en data.
  • CNAPP: volledig zicht op wat er in de cloud gebeurtCloudomgevingen groeien razendsnel en bevatten vaak risico’s die niet direct zichtbaar zijn.CNAPP biedt overzicht van kwetsbaarheden, configuraties en workloads en laat precies zien wat zich afspeelt tussen containers en microservices.
  • ITDR: misbruik van accounts vroegtijdig herkennenIdentiteit is het nieuwe toegangspunt en een geliefd doelwit van aanvallers.ITDR monitort continu het gedrag van gebruikers en stopt verdachte sessies voordat er schade ontstaat.
  • AEV: continu testen vanuit het perspectief van de aanvallerWaar audits een momentopname geven, controleert AEV voortdurend of de verdediging nog sterk genoeg is.Het simuleert echte aanvallen, analyseert de reactie en maakt duidelijk waar versterking nodig is.

Deze vier bouwstenen vormen samen een raamwerk dat meebeweegt met het tempo van nieuwe dreigingen. Weerbaarheid is een levend systeem dat zich elke dag aanpast en sterker wordt door ervaring.

Wat je vandaag al kunt doen

Cyberweerbaarheid groeit niet door nieuwe tools, maar door kleine, gerichte stappen die je vandaag al kunt zetten. Deze maatregelen verkleinen risico’s direct en helpen je omgeving aantoonbaar veiliger te maken:

  • Controleer wie er bouwt en wat er draaitBeperk ontwikkelrechten en kijk of CI/CD-runners alleen uitvoeren wat ze moeten doen. Zo verklein je de kans dat schadelijke code ongemerkt in het buildproces meeloopt.
  • Voer secret-scanning uit op buildsControleer automatisch op API-sleutels, tokens en wachtwoorden die per ongeluk in code terechtkomen. Een eenvoudige scan voorkomt dat gevoelige gegevens openbaar worden.
  • Beperk toegang van externe applicatiesControleer regelmatig welke OAuth-apps of plug-ins toegang hebben tot je omgeving en trek oude of onbekende rechten in. Zo sluit je onopgemerkte achterdeuren.
  • Test je omgeving alsof de aanvaller al binnen isMet exposure-validatie ontdek je hoe effectief je huidige maatregelen echt zijn. Je ziet waar kwetsbaarheden ontstaan en kunt gericht verbeteren voordat er schade optreedt.

Elke stap vergroot de controle over je keten. Organisaties die voortdurend leren en bijsturen, worden sterker zonder te wachten op de volgende aanval.

Vooruitkijken

Het dreigingslandschap verschuift voortdurend. Aanvallen bewegen mee met nieuwe technologie, en verdediging moet dat ook doen.

Organisaties die continu testen, leren en verbeteren, bouwen niet alleen aan beveiliging, maar aan veerkracht.

Cyberweerbaarheid is geen project met een einddatum. Het is een proces dat groeit met elke evaluatie, elke les en elke verbetering.

Wie vandaag begint met inzicht in zijn keten, heeft morgen meer grip op zijn continuïteit. Wie zijn keten kent, heeft zijn organisatie in handen. Wie dat niet kan aantonen, verliest controle zonder dat er één alarm afgaat.

Wil je sparren over hoe jouw organisatie dit concreet kan aanpakken?

Plan een persoonlijke sessie met Leon Smit.

Je bereikt ons via netherlands@acora.com of via de contactpagina op acora.com/nl/contact.

Insights by Leon Smit