Waarom hackers zelden nieuwe trucs nodig hebben

Cyberaanvallen zijn doorgaans geen gevolg van geavanceerde technieken, maar van structurele tekortkomingen in basisbeveiliging. Dat blijkt althans uit het Trend Report 2026 van Hunt & Hackett, gebaseerd op 54.400 SOC- en incidentresponse-analyses uit 2025.

In de praktijk slagen cyberaanvallen zelden dankzij technisch vernieuwende methoden. Meestal benutten aanvallers bekende zwaktes waar organisaties al jaren mee worstelen: gebrekkig patchbeheer, onvoldoende bescherming van identiteiten en beperkte logging.

De cijfers laten een consistent patroon zien. Toegang wordt vooral verkregen via gestolen inloggegevens, kwetsbaarheden in publiek bereikbare systemen en langdurig achterstallig onderhoud. De gebruikte technieken zijn doorgaans goed gedocumenteerd en met bestaande beveiligingsmaatregelen te detecteren. In complexe IT- en OT-omgevingen blijkt het echter moeilijk om dergelijke controles organisatiebreed en over langere perioden effectief te borgen.

Het rapport beschrijft hoe kwetsbaarheden zich in omvangrijke omgevingen opstapelen door legacy-systemen, ingebedde componenten en afhankelijkheden die slechts deels in kaart zijn gebracht. Door de gelaagde architectuur kan het oplossen van één probleem elders onbedoelde gevolgen hebben. Aanvallers maken gebruik van deze organisatorische en technische frictie.

Tegelijk groeit de complexiteit van het dreigingslandschap. Aanvallen worden geraffineerder en moeilijker waarneembaar, terwijl organisaties volgens de onderzoekers structureel achterblijven. Nieuwe wet- en regelgeving kan naleving afdwingen, maar overbrugt de fundamentele kloof tussen dreiging en weerbaarheid niet vanzelf. Zonder gerichte versterking van basismaatregelen ligt een toename van incidenten de komende jaren meer voor de hand dan een afname.

Naast het benutten van bekende kwetsbaarheden verbreedt het speelveld zich. De nadruk verschuift verder naar identiteitsgerichte aanvallen, terwijl (generatieve) AI wordt ingezet om phishing te verfijnen en social engineering op te schalen. Dat verhoogt de druk op detectie- en responsprocessen.

Van de in 2025 afgehandelde incidentresponszaken had 71 procent een financieel motief. Ransomware vormde met 43 procent de grootste categorie, gevolgd door e-mailfraude met 29 procent. Toegang werd veelal verkregen via kwetsbare remote services, edge-apparaten of hergebruikte inloggegevens.

Een terugkerend probleem is het gebrek aan zicht. In 86 procent van de onderzochte incidenten werd detectie bemoeilijkt door onvolledige logging en monitoring. Ontbrekende auditlogs, korte bewaartermijnen en systemen buiten het bereik van securitytools beperkten zowel tijdige signalering als forensische analyse.

Cloudomgevingen, internetgerichte apparaten en afhankelijkheden van externe leveranciers vergroten het aanvalsoppervlak verder. Volgens het rapport zijn succesvolle aanvallen vooral het gevolg van ontbrekende preventieve maatregelen, beperkt inzicht en gebrekkige regie; werkelijk nieuwe technieken spelen vooralsnog een ondergeschikte rol.

Het rapport signaleert een terugkerend patroon: basisvoorwaarden voor effectieve beveiliging ontbreken vaak. Consistente monitoring, toereikende logretentie en beproefde incidentresponsprocedures zijn niet vanzelfsprekend. Het knelpunt ligt minder bij bewustzijn dan bij uitvoering. Organisaties investeren in securitytools, maar onderschatten het belang van governance, onderhoud en voortdurende controle om die middelen daadwerkelijk effectief in te zetten.

Effectieve bescherming vraagt om inzicht in het volledige aanvalspad, van initiële toegang via laterale beweging tot data-exfiltratie, in plaats van een verzameling geïsoleerde oplossingen. Zonder samenhangend overzicht blijven lacunes bestaan die aanvallers benutten.

Het rapport plaatst de bevindingen in de context van een groeiende afhankelijkheid van cloudplatforms en externe leveranciers. Daarnaast wijst het op geopolitieke spanningen en een toenemende verwevenheid van methoden tussen hacktivisten, statelijke actoren en cybercriminelen. Deze convergentie maakt dreigingsanalyse en attributie complexer.

Digitale soevereiniteit wordt daarbij opgevat als controle en verifieerbaarheid, niet als fysieke opslaglocatie van data. Organisaties zonder onafhankelijk en betrouwbaar zicht op hun securitydata zijn beperkt in hun vermogen om incidenten tijdig te detecteren en adequaat te reageren. Het rapport pleit daarom voor inzicht in en toegang tot securitydata los van het onderliggende cloudplatform, zodat meldingen en analyses controleerbaar blijven.

Als concrete prioriteiten noemt het rapport vier maatregelen die het risico direct kunnen verlagen: versterking van identiteitsbeveiliging door beperking van toegangsrechten en afdwingbare multifactorauthenticatie; beperking van blootstelling via snelle patching en het uitschakelen van onnodige publieke diensten; vergroting van zichtbaarheid door volledige en langdurige logging, bij voorkeur platformonafhankelijk; en het periodiek testen van incidentrespons, inclusief het veiligstellen van forensisch bewijs.

De analyse maakt duidelijk dat structurele tekortkomingen in uitvoering en beheer zwaarder wegen dan een gebrek aan technologische middelen. Zolang basismaatregelen niet consistent worden geïmplementeerd en getoetst, blijven bekende aanvalstechnieken effectief, ook in een dreigingslandschap dat technisch steeds complexer wordt.

Mocht je het hele rapport willen inzien, dan kan dat via deze link.