Het duistere geheim van bedrijfsbeveiligingsoperaties is dat verdedigers stilletjes de praktijk van niet kijken hebben geïnstitutionaliseerd. Dit is niet alleen maar anekdotisch, maar wordt eerder ondersteund door een recent rapport dat meer dan 25 miljoen beveiligingswaarschuwingen onderzoekt, inclusief informatieve en lage ernst, in live bedrijfsomgevingen.
De dataset achter deze bevindingen omvat 10 miljoen bewaakte eindpunten en identiteiten, 82.000 forensische eindpuntonderzoeken inclusief live geheugenscans, 180 miljoen geanalyseerde bestanden en telemetrie van 7 miljoen IP-adressen, 3 miljoen domeinen en URL’s, en meer dan 550.000 phishing-e-mails.
De patronen die uit deze gegevens naar voren komen, vertellen een consistent verhaal. Bedreigingsactoren maken misbruik van de voorspelbare gaten die ontstaan door beperkte, op ernst gebaseerde beveiligingsoperaties, en ze doen dit systematisch. Om te begrijpen waar deze gaten zich feitelijk bevinden, moet naar het volledige waarschuwingsbeeld worden gekeken, te beginnen met de categorie die de meeste teams zijn geconditioneerd te negeren.
Het 1%-probleem dat neerkomt op één gemiste inbreuk per week
In deze analyse van 25 miljoen waarschuwingen was bijna 1% van de bevestigde incidenten afkomstig van waarschuwingen die aanvankelijk als licht ernstig of informatief waren geclassificeerd. Specifiek op de eindpunten steeg dat cijfer tot bijna 2%.
Op bedrijfsschaal zijn dit soort percentages geen ruis. De gemiddelde organisatie genereert ongeveer 450.000 waarschuwingen per jaar. Eén procent daarvan is grofweg 54 reële bedreigingen per jaar, ongeveer één per week, die nooit worden onderzocht onder een traditioneel SOC- of MDR-model. Detectie mislukte niet. Triage-economie maakte onderzoek gewoon onmogelijk.
Dit zijn geen theoretische risico’s die aan de rand van het verlanglijstje van een aanvaller staan. Het zijn echte compromissen die zich verstoppen in de categorie waarschuwingen waarvan operationele teams zijn getraind om minder prioriteiten te stellen.
EDR “verzacht” betekent niet schoon
De eindpuntbevindingen uit het rapport verdienen speciale aandacht omdat ze een fundamentele aanname in de meeste beveiligingsprogramma’s ter discussie stellen: dat EDR-herstel op het eerste gezicht kan worden vertrouwd.
Van de 82.000 waarschuwingen die live forensische geheugenscans ondergingen, hadden er 2.600 actieve infecties. Van de bevestigde gecompromitteerde eindpunten was 51% al gemarkeerd als ‘verzacht’ door de bron-EDR-leverancier.
Bij meer dan de helft van de bevestigde eindpuntcompromissen die door forensische analyse werden ontdekt, had de EDR het ticket gesloten en verklaard dat de dreiging opgelost was. Zonder forensisch onderzoek op geheugenniveau blijven deze infecties onzichtbaar. De tools waar de meeste organisaties op vertrouwen als hun eindpuntvangnet rapporteren schoon op machines die niet schoon zijn.
De malwarefamilies die tijdens deze scans in het geheugen werden aangetroffen, zijn onder meer Mimikatz, Cobalt Strike, Meterpreter en StrelaStealer. Dit zijn geen obscure proof-of-concept-tools, maar de werkpaarden van actieve criminele en natiestaatoperaties.
Phishing heeft uw e-mailgateway achtergelaten
De phishing-gegevens in het rapport weerspiegelen een fundamentele verschuiving in de methodologie van aanvallers, waar de meeste e-mailbeveiligingsarchitecturen niet op zijn ontworpen.
Minder dan 6% van de bevestigde kwaadaardige phishing-e-mails bevatte bijlagen. De meeste vertrouwden op links en taal. Belangrijker nog is dat aanvallers hun infrastructuur hebben gemigreerd naar platforms die standaard worden vertrouwd: Vercel, CodePen, OneDrive en zelfs het eigen facturatiesysteem van PayPal.
Eén campagne die in het rapport wordt gedocumenteerd, maakt gebruik van de legitieme betalingsverzoekinfrastructuur van PayPal om bedreigings-e-mails te verzenden, met terugbelnummers ingebed in de betalingsnota’s en Unicode-homogliefen om op handtekeningen gebaseerde detectie te omzeilen. Het verzendende domein doorstaat alle standaard authenticatiecontroles omdat de e-mail daadwerkelijk afkomstig is van PayPal.
Cloudflare Turnstile CAPTCHA is een betrouwbaar signaal van kwaadwillige bedoelingen geworden: sites die het gebruikten waren steeds vaker phishing-pagina’s, terwijl Google reCAPTCHA correleerde met legitieme infrastructuur. Aanvallers gebruiken de mechanismen die zijn gebouwd om bots tegen te houden om in plaats daarvan geautomatiseerde beveiligingsscanners te stoppen.
In de gegevens werden vier nieuwe technieken geïdentificeerd om e-mailgateways te omzeilen: Base64-payloads verborgen in SVG-afbeeldingsbestanden, links ingebed in PDF-annotatie-metagegevens die onzichtbaar zijn voor scanners op oppervlakteniveau, dynamisch geladen phishing-pagina’s die worden aangeboden via legitieme OneDrive-shares, en DOCX-bestanden die gearchiveerde HTML-inhoud verbergen die QR-codes bevat. Geen van deze is exotisch. Het zijn operationele technieken die op grote schaal worden gebruikt.
Cloudtelemetrie laat zien dat aanvallers lange games spelen
Cloudwaarschuwingsgegevens uit het rapport laten een uitgesproken concentratie zien rond verdedigingsontduiking en volhardingstactieken, waarbij relatief weinig gedrag met grote impact, zoals zijwaartse beweging of escalatie van privileges, in het signaal voorkomt.
Aanvallers zijn zowel voorzichtig als geduldig. Het dominante patroon is toegang op lange termijn. Tokenmanipulatie, misbruik van legitieme cloudfuncties en verduistering om te voorkomen dat detecties met een hogere ernst worden geactiveerd. Het doel is om aanwezig en onopgemerkt te blijven, niet om lawaai te maken.
Misconfiguraties van AWS vergroten dit risico stilletjes. S3 is verantwoordelijk voor grofweg 70% van alle schendingen van de cloudcontrole in de dataset, waarbij de meest voorkomende problemen te maken hebben met toegangsbeheer, serverlogboekregistratie en beperkingen voor meerdere accounts. Deze bevindingen leiden zelden tot waarschuwingen. De meeste zijn geclassificeerd als lage ernst. En ze worden herhaaldelijk uitgebuit zodra aanvallers voet aan de grond krijgen, waardoor hun vervolgstappen dramatisch worden versneld.
Waarom traditionele SOC’s en MDR’s deze kloof niet kunnen dichten
Dit is een operationeel en capaciteitsprobleem dat technologie alleen tot voor kort niet kon oplossen.
Menselijke analisten schalen niet mee met het waarschuwingsvolume. Naarmate telemetrie zich uitbreidt over eindpunten, cloud, identiteit, netwerk en SaaS, stuit elk SOC uiteindelijk op hetzelfde plafond. De enige manier om binnen het budget te opereren is agressieve triage: automatiseer de meeste sluitingen, onderzoek alleen wat er kritisch uitziet en vertrouw erop dat de ernstlabels de werkelijkheid weerspiegelen. Uit de gegevens uit 2026 blijkt dat vertrouwen op grote schaal misplaatst is.
MDR-aanbieders worden met identieke beperkingen geconfronteerd. Het bedrijfsmodel op menselijke schaal betekent dat ongeveer 60% van de waarschuwingen nog steeds niet wordt beoordeeld, ongeacht of deze intern of uitbesteed worden afgehandeld. Het toevoegen van meer analisten verplaatst het plafond, maar elimineert het niet. SOAR-platforms bieden u workflowautomatisering, maar vereisen dat uw team elk draaiboek ontwerpt en de uitvoering van onderzoeken nog steeds niet vervangen.
Het diepere probleem is de feedbacklus die nooit sluit. Wanneer waarschuwingen met een lage ernst nooit worden onderzocht, komen gemiste bedreigingen nooit aan het licht. Detectieregels die er niet in slagen echte aanvallen op te vangen, worden nooit gecorrigeerd. Het systeem verbetert zichzelf niet, omdat de input die het zou moeten verbeteren nooit wordt onderzocht.
Wat verandert er als je alles onderzoekt
Het onderzoeken van alle 25 miljoen waarschuwingen in het bovengenoemde rapport vereiste het wegnemen van de beperking die in het verleden volledige dekking onmogelijk maakte. Concreet is de capaciteit van menselijke analisten het knelpunt. In deze dataset werd Intezer AI SOC gebruikt voor triage en onderzoek, waarbij minder dan 2% van de waarschuwingen werd geëscaleerd naar een menselijke analist, een uitspraaknauwkeurigheid van 98% en een mediane triagetijd van minder dan een minuut over het volledige volume.
De effecten van volledig dekkingsonderzoek zijn meetbaar. Wanneer elke waarschuwing een forensische analyse krijgt, ongeacht de ernst, zijn de uitkomsten van de triage gebaseerd op bewijsmateriaal in plaats van op aannames over wat labels met een lage ernst betekenen. Bedreigingen in een vroeg stadium die slechts zwakke initiële signalen produceren, komen aan de oppervlakte voordat ze zich verder ontwikkelen. Detectie-engineering profiteert ook direct, omdat elk onderzoek feedback genereert die kan worden teruggekoppeld naar regelafstemming aan de bron.
Het praktische resultaat voor menselijke analisten is een verschuiving in de manier waarop zij hun tijd besteden. Escalaties komen minder vaak voor en er is meer vertrouwen, wat betekent dat analisten zich bezighouden met het nemen van beslissingen in plaats van hun capaciteit te besteden aan ontdekking en initiële classificatie.
Voor de bredere organisatie vertaalt dit zich in een beveiligingshouding die voortdurend verbetert, in plaats van een houding die stabiel blijft terwijl het dreigingslandschap er omheen beweegt.
Zie het 2026 AI SOC Report for CISOs van Intezer voor het volledige rapport en de onderzoeksresultaten.
