Overweeg een in de cache opgeslagen toegangssleutel op één Windows-machine. Het kwam daar terecht zoals de meeste in de cache opgeslagen inloggegevens: een gebruiker logde in en de sleutel werd automatisch opgeslagen. Standaard AWS-gedrag. Niemand heeft iets verkeerd geconfigureerd of een beleid overtreden. Toch had die ene sleutel, die gemakkelijk toegankelijk was voor een kleine aanvaller, de weg kunnen openen naar zo’n 98% van de entiteiten in de cloudomgeving van het bedrijf – bijna elke kritieke werklast waar het bedrijf van afhankelijk was.
Deze blootstelling aan de echte wereld werd vastgelegd voordat een aanvaller er gebruik van kon maken. Maar de conclusie is duidelijk: identiteit zelf, en elke toestemming die deze met zich meebrengt, is het aanvalspad geworden.
Jouw omgeving draait op identiteit. Active Directory, cloud-identiteitsproviders, serviceaccounts, machine-identiteiten en AI-agents: deze hebben allemaal machtigingen die systemen en vertrouwensgrenzen omspannen. Eén enkele gestolen inloggegevens geeft de aanvaller een legitieme identiteit, samen met alle daaraan verbonden toestemmingen.
Desondanks behandelen de meeste beveiligingsprogramma’s identiteit nog steeds als een perimetercontrole – iets dat moet worden beschermd door middel van authenticatie- en toegangsbeleid. Toch begint het echte risico bij de voordeur. Zodra een aanvaller voet aan de grond heeft, is het de identiteit die hem in staat stelt verder te gaan, grenzen te overschrijden en kritieke activa te bereiken. Omdat identiteit geen perimeter is – het is een snelweg die door elke laag van je omgeving loopt.
In dit artikel bekijken we hoe in de cache opgeslagen inloggegevens, buitensporige machtigingen en vergeten roltoewijzingen kunnen uitmonden in aanvalspaden in hybride omgevingen – en waarom de tools die zijn ontworpen om deze te onderscheppen, steeds ontbreken.
Het aanvalspad loopt door identiteit
De in de cache opgeslagen toegangssleutel uit dat openingsscenario is slechts een voorbeeld van een veel groter fenomeen. In hybride omgevingen, identiteit
Eén Active Directory-groepslidmaatschap dat door niemand is beoordeeld, geeft een aanvaller op een eindpunt in de detailhandel een direct pad naar het bedrijfsdomein. Een SSO-rol voor ontwikkelaars die is ingericht voor een cloudmigratie behoudt zijn rechten lang nadat het project is afgerond, waardoor iedereen die die identiteit in gevaar brengt een route in vier stappen krijgt: van ontwikkelaarstoegang tot productiebeheerder. Wat deze voorbeelden uit de echte wereld zo gevaarlijk maakt, is de manier waarop ze met elkaar in verband staan. Die in de cache opgeslagen referenties op het retail-eindpunt leidden tot een rol met overprivileges in Active Directory, wat leidde tot een cloudwerklast met een bijgevoegd beheerdersbeleid. Samen vormen de schakels in dit soort identiteitsblootstellingsketen één aanvalspad: van een eerste steunpunt tot een cruciaal bezit.
Hoe gangbaar is dit? Palo Alto ontdekte dat zwakke punten in de identiteit een serieuze rol speelden in bijna 90% van de incidentresponsonderzoeken in 2025. En gezien de prevalentie van AI-agenten die de werklast van ondernemingen op zich nemen, zullen deze aantallen waarschijnlijk stijgen. SpyCloud’s Identity Exposure Report 2026 markeerde niet-menselijke identiteitsdiefstal als een van de snelst groeiende categorieën in de criminele underground, waarbij een derde van de teruggevonden niet-menselijke inloggegevens gekoppeld was aan AI-tools.
Wat gebeurt er als een van die niet-menselijke identiteiten machtigingen op beheerdersniveau heeft? Overweeg een ontwikkelteam dat een MCP-server configureert met machtigingen op hoog niveau, zodat hun AI-tools op alle systemen kunnen werken. De AI-agent die de MCP-server gebruikt, erft deze bevoegdheden als zijn eigen identiteit. Een kwetsbaarheid in de open-sourcetool kan een aanvaller gemakkelijk de machtigingen geven die de agent bezit. Van daaruit loopt het pad rechtstreeks naar cloudbronnen, databases en productie-infrastructuur. De inloggegevens die dit mogelijk maken, zijn precies van het soort dat met miljoenen op criminele markten circuleert.
Waarom de tools blijven ontbreken
Het is duidelijk dat de dreiging van identiteitsontmaskering niet nieuw is. Toch zijn de identiteitsinstrumenten waar de meeste organisaties nog steeds op vertrouwen gebouwd om specifieke problemen geïsoleerd op te lossen – en in een ander tijdperk van dreigingen.
IGA-platforms beheren de levenscyclus van gebruikers: inrichting, uitschrijving, toegangsbeoordelingen en meer. PAM-oplossingen slaan bevoorrechte inloggegevens op en monitoren sessies. Elk van deze tools doet zijn werk afzonderlijk. Maar geen van hen kan in kaart brengen hoe identiteitsblootstellingen via eindpunten, Active Directory en cloudomgevingen samenkomen in één enkele exploiteerbare route.
Dit is de reden waarom het aantal op identiteit gebaseerde incidenten blijft stijgen, zelfs als de uitgaven voor beveiliging toenemen. Uit de IBM X-Force 2026 Threat Intelligence Index bleek dat gestolen of misbruikte inloggegevens verantwoordelijk waren voor 32% van de incidenten – de op een na meest voorkomende initiële toegangsvector. De aanvallers van vandaag hoeven echt geen malware of exploits te schrijven, ze kunnen gewoon inloggen.
De overgrote meerderheid van deze op identiteit gebaseerde blootstellingen zijn volledig te voorkomen. Palo Alto ontdekte zelfs dat meer dan 90% van de inbreuken die zijn teams in 2025 onderzochten, mogelijk werden gemaakt door blootstellingen die bestaande tools hadden moeten opsporen. De organisaties beschikten over de middelen en het personeel. Toch bleven de lacunes bestaan omdat geen enkel instrument inzicht had in de manier waarop identiteitsblootstellingen in verschillende omgevingen tot aanvalspaden werden samengevoegd.
Het dichten van de kloof
Totdat beveiligingsprogramma’s identiteit, machtigingen en toegangscontroles kunnen koppelen aan een uniform beeld van hoe een aanvaller zich daadwerkelijk beweegt, zal identiteit een van de gemakkelijkste manieren blijven om kritieke bedrijfsmiddelen in gevaar te brengen.
Elk scenario in dit artikel volgt dezelfde structuur: een referentie, machtiging of roltoewijzing die door geen enkel hulpmiddel als gevaarlijk wordt gemarkeerd, creëert een begaanbaar pad van een laag niveau naar een kritieke asset. Het pad wordt pas zichtbaar als identiteit, toegangsbeleid en omgevingscontext samen in kaart worden gebracht.
Beveiligingsprogramma’s die deze verbindingen in hybride omgevingen in kaart brengen, kunnen op identiteit gebaseerde aanvalspaden afsluiten voordat een aanvaller deze aaneenschakelt. Programma’s die identiteit blijven behandelen als een perimeterprobleem zullen terrein blijven verliezen aan aanvallers die al weten dat het een snelweg is.
Opmerking: Dit artikel is zorgvuldig geschreven en bijgedragen voor ons publiek door Alex Gardner, directeur Product Marketing bij XM Cyber
