Nieuwe branchegegevens die zojuist zijn vrijgegeven suggereren van niet.
Op 19 mei 2026 heeft Orchid Security de resultaten vrijgegeven van onze Identity Gap: Snapshot 2026. Onder de bevindingen overschaduwt “identiteit donkere materie” (de onzichtbare, onbeheerde elementen van identiteit) nu de zichtbare elementen 57% versus 43%. En het had niet op een slechter moment kunnen gebeuren, toen bedrijven Agent AI met beide armen omarmden (en helaas, zoals medeoprichter van Orchid Robert Wiseman uitlegt, met meer dan één oog gesloten).
Waarom deze zorg, vraagt u zich misschien af?
AI-agenten zijn van nature sluipzoekers. Wanneer ze een taak krijgen, worden ze getraind om de meest efficiënte manier te vinden om deze te voltooien, met de snelheid van machines en de creativiteit van mensen. Toegang tot een noodzakelijk systeem geweigerd? Gebruik een hardgecodeerde referentie die in platte tekst is opgeslagen in de applicatie. Heeft u informatie nodig die zij niet mogen lezen? “Leen” een referentie met hogere privileges. Wordt u voortdurend uitgedaagd in veel verschillende systemen? Grijp een breed geaccepteerd token. De creativiteit van Agent AI is werkelijk opmerkelijk. Het snijdt gewoon aan twee kanten.
Het feit dat een AI-agent een manier kan vinden om toegang te krijgen tot een applicatie, een systeem of een database, betekent niet dat hij dat ook zou moeten doen. Maar waar codering een traditionele niet-menselijke actor zou beperken en het geweten een menselijke pauze zou moeten geven, hebben AI-agenten in de meeste gevallen dergelijke beperkingen of bezwaren niet.
Daarom is goed beheerd identiteits- en toegangsbeheer een cruciale basis om de activiteit van Agent AI binnen de toegestane grenzen te houden. Om dit belang te begrijpen hoeft u niet verder te zoeken dan de cloudstoringen die aan het begin van het jaar werden gemeld.
Natuurlijk zijn er in de loop der jaren IAM-snelkoppelingen, hiaten en uitzonderingen ontstaan. Zelfs tientallen jaren. Het is dus niet redelijk om te verwachten dat alles in één keer wordt opgeruimd. Daarom zijn de bevindingen uit de Identity Gap Snapshot van dit jaar – de blootstellingen die het meest voorkomen bij Noord-Amerikaanse en Europese ondernemingen – zo belangrijk en actueel.
Top 3 bevindingen
- Onzichtbare niet-menselijke accounts: Twee op de drie niet-menselijke accounts worden lokaal in de applicatie zelf aangemaakt. Dat maakt ze onzichtbaar en onbeheerd door het centrale IAM-programma. Begrijpelijk voor machine- en serviceaccounts. Gevaarlijk voor autonome AI-agenten.
- Overmatige machtigingen: Zeventig procent van alle applicaties heeft een buitensporig aantal geprivilegieerde accounts. Veel meer dan verwacht op het gebied van ‘least privilege’-toegang en een groot risico gezien de hedendaagse dreigingsactoren, evenals de hierboven genoemde AI-agenten.
- Weesaccounts: Veertig procent van alle accounts, in bedrijfsomgevingen, bleek de geautoriseerde gebruiker te hebben overleefd. Deze ‘wees’-accounts zijn duidelijk onbeheerd en waarschijnlijk ongezien, en liggen klaar om te worden opgepikt door bedreigingsactoren en AI-agenten.
Dit zijn slechts enkele hoogtepunten uit de volledige Identity Gap Snapshot. Wij raden u aan het volledige rapport te lezen.
Wat u kunt doen
Als u niet zeker weet hoe u deze (en soortgelijke) problemen binnen uw organisatie moet aanpakken, of zelfs hoe vaak ze in uw omgeving voorkomen, heeft ons team van beveiligingsonderzoekers ook een Identity Security Readiness Checklist gepubliceerd. Als uw organisatie zich voorbereidt op (of al deelneemt aan) de Agent AI-transformatie, is het nu tijd om actie te ondernemen.
