De top 10 blootstellingen aan aanvalsoppervlakken in 2026

Cyberbeveiliging
De top 10 blootstellingen aan aanvalsoppervlakken in 2026

Inbreuken beginnen niet altijd met een zero-day. Een zichtbaar beheerderspaneel kan bruut worden geforceerd, of de inloggegevens van een eerdere aanval kunnen worden hergebruikt. Maar als er toch een kwetsbaarheid wegvalt – zoals MongoBleed eerder dit jaar, waarbij aanvallers inloggegevens en sessietokens zonder authenticatie uit het servergeheugen kunnen halen – loopt alles wat met het internet te maken heeft onmiddellijk gevaar.

Nu de time-to-exploit nog maar één dag bedraagt, is de vraag niet alleen hoe snel je kunt patchen. Dat is de reden waarom de dienst in de eerste plaats aan het licht kwam.

Het team van Intruder heeft 3.000 aanvalsoppervlakken geanalyseerd om erachter te komen hoeveel van het aanvalsoppervlak van een typische organisatie bestaat uit services die geen reden hebben om daar te zijn. We hebben wat we hebben gevonden in vier categorieën gegroepeerd: HTTP-panelen, risicovolle poorten en services, databases en openbaar toegankelijke bestanden en informatie.

De volledige bevindingen, inclusief uitsplitsingen naar bedrijfsgrootte en sector, staan ​​in onze Attack Surface Management Index 2026.

Hoe wijdverspreid is het probleem?

  • 60% van de organisaties had ten minste één HTTP-paneel beschikbaar: beheerdersconsoles, beheer-UI’s, inlogpagina’s voor interne tools die niet openbaar toegankelijk zijn.
  • Bijna de helft (49%) had te maken met een risicovolle haven of dienst.
  • 42% beschikte over een database die rechtstreeks via internet bereikbaar was.
  • 30% had bestanden of informatie die openbaar toegankelijk was en die niet openbaar toegankelijk zouden moeten zijn: API-documentatie, configuratiebestanden, gegevens die nooit bedoeld waren om vindbaar te zijn.

De tien meest voorkomende blootstellingen

Dit zijn de meest voorkomende blootstellingen aan aanvalsoppervlakken die organisaties in de afgelopen twaalf maanden hebben getroffen.

  1. MySQL-database zichtbaar – 26%
  2. Postgres-database zichtbaar — 16%
  3. API-documentatie blootgelegd — 15%
  4. WordPress-beheerderspaneel zichtbaar – 15%
  5. Extern bureaublad-service blootgesteld: 11%
  6. SNMP-service blootgesteld — 9%
  7. phpMyAdmin-beheerderspaneel zichtbaar — 8%
  8. UPnP-service zichtbaar — 8%
  9. NTP-service blootgesteld – 7%
  10. RPC Portmapper-service zichtbaar — 7%

Databases domineren de bovenste twee plaatsen

Blootgestelde databases nemen de twee hoogste plaatsen in, waarbij meer dan een kwart van de organisaties MySQL en Postgres blootlegt, wat 1 op de 6 betreft. Internetgerichte databases zijn lange tijd een doelwit geweest voor opportunistische aanvallers. De PLEASE_READ_ME ransomware-campagne in 2020 bracht meer dan 250.000 MySQL-databases in gevaar door brute forcering van zwakke inloggegevens. MongoDB en Elasticsearch hebben met hetzelfde te maken gehad.

API-documentatie is meer zichtbaar dan RDP

API-documentatie stond op de derde plaats, vóór RDP, wat ons verraste. Sommige API-documenten zijn opzettelijk openbaar, maar organisaties zien vaak documentatie over het hoofd die verband houdt met privé- of beheerders-API’s en die nooit bedoeld waren om vindbaar te zijn. Openbare API-documenten kunnen anders moeilijk te vinden kwetsbaarheden omzetten in gedocumenteerde aanvalspaden.

RDP blijft een toegangspunt voor ransomware

RDP op nummer vijf is een punt van zorg gezien zijn geschiedenis als initiële toegangsvector bij ransomware-aanvallen. BlueKeep zorgde er in 2019 voor dat bijna een miljoen systemen onmiddellijk exploiteerbaar waren. Het raden van inloggegevens tegen blootgestelde RDP blijft een van de meest betrouwbare manieren waarop ransomware-exploitanten binnenkomen.

De rest van de lijst was nooit bedoeld om op internet te worden gericht

De rest van de lijst – SNMP, UPnP, NTP, RPC – zijn oudere services die zijn ontworpen voor interne netwerken en die nooit bedoeld waren om op het internet te worden aangesloten.

Ontvang de volledige bevindingen

De meeste teams beschouwen patchen als prioriteit. Maar voor veel van wat op deze lijst staat (databases, beheerderspanelen, oudere services) is de betere vraag waarom ze überhaupt bereikbaar zijn. Dat is waar het verkleinen van het aanvalsoppervlak om de hoek komt kijken – en voor de meeste organisaties krijgt dit niet dezelfde aandacht als kwetsbaarheidsbeheer.

De volledige bevindingen, inclusief uitsplitsingen naar bedrijfsgrootte en sector, staan ​​in de Attack Surface Management Index 2026.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Validatie van blootstelling aan tegenstanders verandert zichtbaarheid van beveiliging in zelfverzekerde prioriteitstelling

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]