De jaarlijkse cybersecurity-voorspellingen van BeyondTrust wijzen op een jaar waarin oude verdedigingsmechanismen stilletjes zullen falen en nieuwe aanvalsvectoren zullen toenemen.
Invoering
De volgende grote inbreuk zal geen phishing-wachtwoord zijn. Het zal het resultaat zijn van een enorme, onbeheerde identiteitsschuld. Deze schuld neemt vele vormen aan: het is de ‘spookidentiteit’ van een inbreuk uit 2015 die op de loer ligt in uw IAM, de wildgroei van duizenden nieuwe AI-agenten die uw aanvalsoppervlak opblazen, of de geautomatiseerde accountvergiftiging die misbruik maakt van zwakke identiteitsverificatie in financiële systemen. Al deze vectoren – fysiek, digitaal, nieuw en oud – komen samen op één enkel punt van mislukking: identiteit.
Gebaseerd op een analyse van de cyberbeveiligingsexperts van BeyondTrust, zijn hier drie cruciale, op identiteit gebaseerde bedreigingen die het komende jaar zullen bepalen:
1. Agentic AI komt naar voren als de ultieme aanvalsvector
Tegen 2026 zal agentische AI verbonden zijn met vrijwel elke technologie die we gebruiken, waardoor het feitelijk de nieuwe middleware voor de meeste organisaties zal worden. Het probleem is dat deze integratie wordt aangedreven door een speed-to-market-drang, waarbij cyberbeveiliging een bijzaak blijft.
Deze stormloop creëert een enorm nieuw aanvalsoppervlak, gebouwd op een klassieke kwetsbaarheid: het verwarde plaatsvervangende probleem.
Een “plaatsvervanger” is elk programma met legitieme privileges. Het ‘verwarde plaatsvervangerprobleem’ doet zich voor wanneer een entiteit met weinig bevoegdheden, zoals een gebruiker, account of een andere applicatie, die plaatsvervanger ertoe verleidt zijn macht te misbruiken om hoge rechten te verkrijgen. De plaatsvervanger, die de context mist om de kwade bedoelingen te zien, voert het bevel uit of deelt resultaten die verder gaan dan het oorspronkelijke ontwerp of de oorspronkelijke bedoelingen.
Pas dit nu toe op AI. Aan een agent AI-tool kan toegang met de minste bevoegdheden worden verleend om de e-mail van een gebruiker te lezen, toegang te krijgen tot een CI/CD-pijplijn of een productiedatabase te doorzoeken. Als die AI, die optreedt als een vertrouwde plaatsvervanger, ‘in de war’ raakt door een slim vervaardigde prompt van een andere bron, kan deze worden gemanipuleerd om gevoelige gegevens te exfiltreren, kwaadaardige code in te zetten of namens de gebruiker hogere rechten te escaleren. De AI voert taken uit waarvoor hij toestemming heeft, maar namens een aanvaller die dat niet heeft, en kan bevoegdheden verhogen op basis van de aanvalsvector.
Tip voor verdedigers:
Deze dreiging vereist dat AI-agenten worden behandeld als potentieel geprivilegieerde machine-identiteiten. Beveiligingsteams moeten strikte minimumprivileges afdwingen en ervoor zorgen dat AI-tools alleen de absoluut minimale machtigingen hebben die nodig zijn voor specifieke taken. Dit omvat het implementeren van contextbewuste toegangscontroles, opdrachtfiltering en realtime auditing om te voorkomen dat deze vertrouwde agenten kwaadwillende actoren worden via proxy.
2. Accountvergiftiging: de volgende evolutie van financiële fraude
Verwacht het komende jaar een aanzienlijke toename van het aantal ‘accountvergiftigingen’, waarbij bedreigingsactoren nieuwe manieren vinden om frauduleuze factuurafzenders en begunstigden op grote schaal in de financiële rekeningen van consumenten en bedrijven te stoppen.
Dit ‘gif’ wordt aangestuurd door automatisering die het mogelijk maakt begunstigden en factureerders aan te maken, geld op te vragen en te koppelen aan andere online betalingsverwerkingsbronnen. Deze aanvalsvector is bijzonder gevaarlijk omdat hij misbruik maakt van zwakke punten in online financiële systemen, gebruik maakt van slecht geheimbeheer om grootschalige aanvallen uit te voeren, en automatisering gebruikt om de transacties te verdoezelen.
Tip voor verdedigers:
Beveiligingsteams moeten verder gaan dan het signaleren van individuele accountovernames en zich richten op snelle, geautomatiseerde wijzigingen in informatie over de begunstigde en de factuurafzender. De sleutel is het implementeren van strengere controles op het gebied van zorgvuldigheid en identiteitsvertrouwen voor elk geautomatiseerd proces dat vraagt om deze financiële velden te wijzigen.
3. Spoken in je IAM: historische identiteitscompromissen worden ingehaald
Veel organisaties moderniseren eindelijk hun identiteits- en toegangsbeheerprogramma’s (IAM) en adopteren nieuwe tools, zoals op grafieken gebaseerde analyses, om hun complexe identiteitslandschappen in kaart te brengen. In 2026 zullen deze inspanningen skeletten in de kast blootleggen: ‘spookidentiteiten’ van oplossingen uit lang vervlogen tijden en inbreuken die nooit zijn ontdekt.
Deze “achteraf gedateerde inbreuken” zullen frauduleuze accounts aan het licht brengen (enkele jaren oud) die nog steeds actief worden gebruikt. Omdat deze inbreuken ouder zijn dan de meeste beveiligingslogboeken, kan het voor teams onmogelijk zijn om de volledige omvang van de oorspronkelijke inbreuk te bepalen.
Tip voor verdedigers:
Deze voorspelling onderstreept het al lang bestaande falen van fundamentele joiner-mover-leaver (JML)-processen. De directe conclusie is om prioriteit te geven aan identiteitsbeheer en moderne identiteitsgrafieken te gebruiken om deze slapende accounts met een hoog risico te vinden en te elimineren voordat ze door aanvallers worden herontdekt.
Andere trends op de radar
De dood van de VPN
Jarenlang was de VPN het werkpaard van toegang op afstand, maar in de moderne toegang op afstand is VPN een kritieke kwetsbaarheid die wacht om te worden uitgebuit. Bedreigingsactoren hebben technieken voor VPN-exploitatie onder de knie, waarbij ze gebruikmaken van het verzamelen van inloggegevens en gecompromitteerde apparaten voor permanente toegang. Het gebruik van traditionele VPN’s voor geprivilegieerde toegang brengt een risico met zich mee dat organisaties zich niet langer kunnen veroorloven.
De opkomst van AI-veganisme
Als culturele tegenkracht zal 2026 getuige zijn van de opkomst van ‘AI-veganisme’, waarbij werknemers of klanten zich principieel onthouden van het gebruik van kunstmatige intelligentie. Deze beweging, gedreven door ethische zorgen over datasourcing, algoritmische vooringenomenheid en milieukosten, zal de veronderstelling ter discussie stellen dat de adoptie van AI onvermijdelijk is. Bedrijven zullen deze weerstand moeten overwinnen door transparant bestuur, mensgerichte alternatieven en duidelijke opt-outs aan te bieden. Als het echter om cyberbeveiliging gaat, is het afzien van AI-gestuurde verdediging wellicht minder een optie en kan de aansprakelijkheid zelfs worden teruggeschoven naar de gebruiker.
Een identiteitsgerichte veiligheidshouding is niet onderhandelbaar
De rode draad door deze voorspellingen voor 2026 is identiteit. Het nieuwe AI-aanvalsoppervlak is een identiteitsprivilegeprobleem, accountvergiftiging is een identiteitsverificatieprobleem, terwijl achterhaalde inbreuken een identiteitslevenscyclusprobleem zijn. Naarmate de grenzen groter worden, moeten organisaties een beveiligingshouding aannemen waarbij de identiteit voorop staat, door principes van ‘least privilege’ en ‘zero trust’ toe te passen op elke menselijke en niet-menselijke identiteit.
Wilt u een dieper inzicht krijgen in alle Cybersecurity-voorspellingen van BeyondTrust voor 2026? Lees hier het volledige rapport.
Opmerking: Dit artikel is geschreven en bijgedragen door Morey J. Haber, Chief Security Advisor; Christopher Hills, hoofdveiligheidsstrateeg; en James Maude, Field Chief Technology Officer bij BeyondTrust.
