Het verborgen risico van weesaccounts

Cyberbeveiliging
Het verborgen risico van weesaccounts

Het probleem: de achtergebleven identiteiten

Naarmate organisaties groeien en evolueren, komen en gaan werknemers, opdrachtnemers, diensten en systemen, maar hun accounts blijven vaak bestaan. Deze verlaten of ‘wees’-accounts sluimeren in applicaties, platforms, assets en cloudconsoles.

De reden dat ze blijven bestaan ​​is geen nalatigheid; het is fragmentatie.

Traditionele IAM- en IGA-systemen zijn primair ontworpen voor menselijke gebruikers en zijn afhankelijk van handmatige onboarding en integratie voor elke applicatie: connectoren, schematoewijzing, rechtencatalogi en rolmodellering. Veel applicaties komen nooit zo ver. Ondertussen zijn niet-menselijke identiteiten (NHI’s): serviceaccounts, bots, API’s en agent-AI-processen van nature niet-beheerd, opereren ze buiten de standaard IAM-frameworks en vaak zonder eigendom, zichtbaarheid of levenscycluscontroles.

Het resultaat? Een schaduwlaag van niet-gespoorde identiteiten die deel uitmaken van de bredere identiteit van donkere materie – accounts die onzichtbaar zijn voor het bestuur, maar nog steeds actief zijn in de infrastructuur.

Waarom ze niet worden gevolgd

  1. Integratieknelpunten: Elke app vereist een unieke configuratie voordat IAM deze kan beheren. Onbeheerde en lokale systemen krijgen zelden prioriteit.
  2. Gedeeltelijke zichtbaarheid: IAM-tools zien alleen het ‘beheerde’ deel van de identiteit en laten lokale beheerdersaccounts, service-identiteiten en oudere systemen achter.
  3. Complex eigendom: Omzet, fusies en gedistribueerde teams maken het onduidelijk wie eigenaar is van welke applicatie of account.
  4. AI-agenten en automatisering: Agent-AI introduceert een nieuwe categorie semi-autonome identiteiten die onafhankelijk van hun menselijke operators handelen, waardoor het IAM-model verder wordt doorbroken.

Bezoek voor meer informatie over IAM-snelkoppelingen en de gevolgen die daarmee gepaard gaan.

Het risico in de echte wereld

Weesaccounts zijn de ontgrendelde achterdeuren van de onderneming.

Ze beschikken over geldige inloggegevens, vaak met verhoogde rechten, maar hebben geen actieve eigenaar. Aanvallers weten dit en maken er gebruik van.

  • Koloniale pijpleiding (2021) – aanvallers kwamen binnen via een oud/inactief VPN-account zonder MFA. Meerdere bronnen bevestigen het “inactieve/verouderde” accountdetail.
  • Productiebedrijf getroffen door Akira-ransomware (2025) – de inbreuk is ontstaan ​​door a “spook”-account van een externe leverancier die niet is gedeactiveerd (dwz een wees-/leveranciersaccount). SOC-artikel van Barracuda Managed XDR.
  • M&A-context – tijdens de consolidatie na de overname is het gebruikelijk om duizenden verouderde accounts/tokens te ontdekken; Bedrijven wijzen op verweesde (vaak NHI) identiteiten als een aanhoudende bedreiging na een fusie en overname, daarbij verwijzend naar zeer hoge aantallen nog steeds actieve tokens van voormalige werknemers.

Weesaccounts zorgen voor meerdere risico’s:

  • Blootstelling aan naleving: Schendt de vereisten voor minimale rechten en het beëindigen van de inrichting (ISO 27001, NIS2, PCI DSS, FedRAMP).
  • Operationele inefficiëntie: Te hoge licentieaantallen en onnodige auditoverhead.
  • Reactie op incidenten: Forensisch onderzoek en herstel vertragen als er onzichtbare accounts bij betrokken zijn.

De weg vooruit: continue identiteitsaudit

Bedrijven hebben bewijs nodig, geen aannames. Het elimineren van weesaccounts vereist volledige waarneembaarheid van de identiteit: de mogelijkheid om elk account, elke toestemming en elke activiteit te zien en te verifiëren, ongeacht of deze wordt beheerd of niet.

Moderne mitigatie omvat:

  • Identity Telemetry Collection: Haal activiteitssignalen rechtstreeks uit applicaties, beheerd en onbeheerd.
  • Unified Audit Trail: Correleer joiner/mover/leaver-gebeurtenissen, authenticatielogboeken en gebruiksgegevens om eigendom en legitimiteit te bevestigen.
  • Rolcontexttoewijzing: sla echte gebruiksinzichten en privilegecontext op in identiteitsprofielen – laat zien wie wat heeft gebruikt, wanneer en waarom.
  • Continue handhaving: automatisch markeren of buiten gebruik stellen van accounts zonder activiteit of eigendom, waardoor de risico’s worden verminderd zonder te wachten op handmatige beoordelingen.

Wanneer deze telemetrie wordt ingevoerd in een centrale identiteitscontrolelaag, wordt de zichtbaarheidskloof gedicht, waardoor weesrekeningen van verborgen verplichtingen worden omgezet in meetbare, beheerde entiteiten.

Ga voor meer informatie naar Audit Playbook: Continuous Application Inventory Reporting.

Het orchideeënperspectief

De Identity Audit-functie van Orchid levert deze basis. Door telemetrie op applicatieniveau te combineren met geautomatiseerde auditverzameling, biedt het verifieerbaar, continu inzicht in hoe identiteiten (menselijk, niet-menselijk en agent-AI) daadwerkelijk worden gebruikt.

Het is niet weer een IAM-systeem; het is het bindweefsel dat ervoor zorgt dat IAM-beslissingen gebaseerd zijn op bewijsmateriaal en niet op schattingen.

Opmerking: Dit artikel is geschreven en bijgedragen door Roy Katmor, CEO van Orchid Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De prijzen van RTX 5090 bereiken bijna de kosten van een volledige RTX 5090-pc

De nieuwe sensoren van Sony missen niets, zelfs niet bij 136 FPS

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]