De kloof tussen ransomware-bedreigingen en de verdedigingsmiddelen die bedoeld zijn om deze te stoppen wordt steeds groter, niet kleiner. Uit het State of Cybersecurity Report van Ivanti uit 2026 bleek dat de kloof in paraatheid groter werd door een gemiddeld 10 punten per jaar in elke dreigingscategorie die het bedrijf opspoort. Ransomware is het meest verspreid: 63% van de beveiligingsprofessionals beoordeelt het als een grote of kritieke bedreiging, maar slechts 30% zegt dat ze “zeer bereid” zijn om zich ertegen te verdedigen. Dat is een verschil van 33 punten, vergeleken met 29 punten een jaar geleden.
CyberArk’s Identity Security Landscape voor 2025 zet het probleem in cijfers: 82 machine-identiteiten voor ieder mens in organisaties over de hele wereld. Tweeënveertig procent van deze machine-identiteiten heeft bevoorrechte of gevoelige toegang.
Het meest gezaghebbende draaiboekraamwerk heeft dezelfde blinde vlek
Gartner’s richtlijnen voor voorbereiding op ransomware, de onderzoeksnota van april 2024 “Hoe u zich kunt voorbereiden op ransomware-aanvallen” Waar bedrijfsbeveiligingsteams naar verwijzen bij het ontwikkelen van incidentresponsprocedures, wordt specifiek gewezen op de noodzaak om “geïmpacteerde gebruikers-/hostreferenties” tijdens de insluiting opnieuw in te stellen. De bijbehorende Ransomware Playbook Toolkit leidt teams door vier fasen: inperking, analyse, herstel en herstel. De stap voor het opnieuw instellen van de inloggegevens instrueert teams om ervoor te zorgen dat alle betrokken gebruikers- en apparaataccounts worden gereset.
Serviceaccounts ontbreken. Dat geldt ook voor API-sleutels, tokens en certificaten. Het meest gebruikte playbook-framework op het gebied van bedrijfsbeveiliging stopt bij de inloggegevens van mensen en apparaten. De organisaties die het volgen, erven die blinde vlek zonder het te beseffen.
In dezelfde onderzoeksnota wordt het probleem geïdentificeerd zonder het aan de oplossing te koppelen. Gartner waarschuwt dat “slechte identiteits- en toegangsbeheerpraktijken (IAM)” een primair startpunt blijven voor ransomware-aanvallen, en dat eerder gecompromitteerde inloggegevens worden gebruikt om toegang te krijgen via initiële toegangsmakelaars en datadumps op het dark web. In het herstelgedeelte zijn de richtlijnen expliciet: het bijwerken of verwijderen van gecompromitteerde inloggegevens is essentieel omdat de aanvaller zonder deze stap weer toegang krijgt. Machine-identiteiten zijn IAM. Gecompromitteerde serviceaccounts zijn inloggegevens. Maar de inperkingsprocedures van het draaiboek pakken geen van beide aan.
Gartner formuleert de urgentie in termen die maar weinig andere bronnen matchen: “Ransomware is anders dan elk ander beveiligingsincident”, aldus de onderzoeksnota. “Het zet de getroffen organisaties op een afteltimer. Elke vertraging in het besluitvormingsproces brengt extra risico’s met zich mee.” In dezelfde richtlijnen wordt benadrukt dat de herstelkosten kunnen oplopen tot tien keer het losgeld zelf, en dat ransomware bij meer dan 50% van de gevallen binnen één dag na de eerste toegang wordt ingezet. De klok loopt al, maar de inperkingsprocedures voldoen niet aan de urgentie – niet wanneer de snelst groeiende categorie van geloofsbrieven niet wordt aangepakt.
Het gereedheidstekort gaat dieper dan enig ander onderzoek
Het rapport van Ivanti brengt de kloof in paraatheid in kaart in elke grote bedreigingscategorie: ransomware, phishing, softwarekwetsbaarheden, API-gerelateerde kwetsbaarheden, supply chain-aanvallen en zelfs slechte encryptie. Ieder jaar werd het groter.
“Hoewel verdedigers optimistisch zijn over de belofte van AI op het gebied van cyberbeveiliging, laten de bevindingen van Ivanti ook zien dat bedrijven verder achterop raken als het gaat om hoe goed ze voorbereid zijn om zich te verdedigen tegen een verscheidenheid aan bedreigingen”, zegt Daniel Spicer, Chief Security Officer van Ivanti. “Dit is wat ik het ‘Cybersecurity Readiness Deficit’ noem, een aanhoudend, jaar na jaar groter wordend onevenwicht in het vermogen van een organisatie om hun data, mensen en netwerken te verdedigen tegen het veranderende dreigingslandschap.”
CrowdStrike’s 2025 State of Ransomware-onderzoek geeft een overzicht van hoe dat tekort eruit ziet per bedrijfstak. Van de fabrikanten die zichzelf als ‘zeer goed voorbereid’ beoordeelden, herstelde slechts 12% binnen 24 uur en kreeg 40% te maken met aanzienlijke operationele verstoringen. Organisaties in de publieke sector deden het slechter: 12% herstel ondanks 60% vertrouwen. In alle sectoren heeft slechts 38% van de organisaties die te maken kregen met een ransomware-aanval het specifieke probleem opgelost waardoor aanvallers binnen konden komen. De rest investeerde in algemene beveiligingsverbeteringen zonder het daadwerkelijke toegangspunt te sluiten.
Volgens het rapport uit 2026 zei 54 procent van de organisaties dat ze zouden of waarschijnlijk zouden betalen als ze vandaag door ransomware zouden worden getroffen, ondanks de richtlijnen van de FBI tegen betaling. Die bereidheid om te betalen weerspiegelt een fundamenteel gebrek aan insluitingsalternatieven, precies het soort dat machinale identiteitsprocedures zouden bieden.
Waar draaiboeken voor machine-identiteit tekortschieten
Vijf inperkingsstappen definiëren tegenwoordig de meeste responsprocedures voor ransomware. Machine-identiteiten ontbreken bij elk van hen.
Het opnieuw instellen van referenties is niet bedoeld voor machines
Het opnieuw instellen van het wachtwoord van elke medewerker na een incident is een standaardpraktijk, maar het stopt niet de zijwaartse beweging via een gecompromitteerd serviceaccount. Gartners eigen playbook-sjabloon laat de blinde vlek duidelijk zien.
Het insluitingsblad van het Ransomware Playbook Sample vermeldt drie stappen voor het opnieuw instellen van de inloggegevens: forceer het uitloggen van alle getroffen gebruikersaccounts via Active Directory, forceer wachtwoordwijziging voor alle getroffen gebruikersaccounts via Active Directory en reset het apparaataccount via Active Directory. Drie stappen, allemaal Active Directory, geen niet-menselijke inloggegevens. Geen serviceaccounts, geen API-sleutels, geen tokens, geen certificaten. Machinereferenties hebben hun eigen commandostructuur nodig.
Niemand inventariseert machine-identiteiten vóór een incident
U kunt geen inloggegevens resetten waarvan u niet weet dat ze bestaan. Voor serviceaccounts, API-sleutels en tokens moeten eigendomstoewijzingen vóór het incident in kaart zijn gebracht. Het kost dagen om ze midden in de inbreuk te ontdekken.
Slechts 51% van de organisaties heeft zelfs een score voor blootstelling aan cyberbeveiliging, zo blijkt uit het rapport van Ivanti. Dit betekent dat bijna de helft het bestuur niet kan vertellen over hun blootstelling aan machine-identiteiten als dit morgen wordt gevraagd. Slechts 27% beoordeelt hun beoordeling van de risicoblootstelling als ‘uitstekend’, ondanks dat 64% investeert in risicobeheer. In de kloof tussen investering en uitvoering verdwijnen machine-identiteiten.
Netwerkisolatie trekt vertrouwensketens niet in
Als u een machine uit het netwerk haalt, worden de API-sleutels die deze aan downstream-systemen heeft verstrekt niet ingetrokken. Insluiting die stopt bij de netwerkperimeter gaat ervan uit dat vertrouwen wordt begrensd door topologie. Machine-identiteiten respecteren die grens niet. Ze authenticeren zich erover.
Gartners eigen onderzoeksnota waarschuwt dat tegenstanders dagen tot maanden kunnen besteden aan het graven en het verwerven van zijwaartse beweging binnen netwerken, waarbij ze bewijsmateriaal verzamelen voor doorzettingsvermogen voordat ze ransomware inzetten. Tijdens die graaffase zijn serviceaccounts en API-tokens de inloggegevens die het gemakkelijkst kunnen worden verzameld zonder waarschuwingen te activeren. Volgens CrowdStrike maakt 76 procent van de organisaties zich zorgen over het voorkomen dat ransomware zich vanaf een onbeheerde host via MKB-netwerkshares verspreidt. Beveiligingsleiders moeten in kaart brengen welke systemen elke machine-identiteit vertrouwen, zodat ze de toegang voor de hele keten kunnen intrekken, en niet alleen voor het gecompromitteerde eindpunt.
Detectielogica is niet gebouwd voor machinegedrag
Afwijkend gedrag van de machine-identiteit activeert geen waarschuwingen zoals een gecompromitteerd gebruikersaccount dat doet. Ongebruikelijke API-aanroepvolumes, tokens die buiten automatiseringsvensters worden gebruikt en serviceaccounts die authenticeren vanaf nieuwe locaties vereisen detectieregels die de meeste SOC’s niet hebben geschreven. Uit het onderzoek van CrowdStrike blijkt dat 85% van de beveiligingsteams erkent dat traditionele detectiemethoden geen gelijke tred kunnen houden met moderne bedreigingen. Toch heeft slechts 53% AI-aangedreven detectie van bedreigingen geïmplementeerd. De detectielogica die machine-identiteitsmisbruik opmerkt, bestaat in de meeste omgevingen nauwelijks.
Verouderde serviceaccounts blijven het gemakkelijkste toegangspunt
Accounts die al jaren niet meer zijn gerouleerd, waarvan sommige zijn gemaakt door werknemers die lang geleden zijn vertrokken, vormen het zwakste oppervlak voor machinegebaseerde aanvallen.
De richtlijnen van Gartner roepen op tot sterke authenticatie voor “bevoorrechte gebruikers, zoals database- en infrastructuurbeheerders en serviceaccounts”, maar die aanbeveling staat in het preventiegedeelte en niet in het containment-playbook waar teams dit nodig hebben tijdens een actief incident. Audits van weesaccounts en rotatieschema’s horen thuis bij de voorbereiding vóór het incident, en niet bij de problemen na de inbreuk.
De economie maakt dit nu urgent
Agentische AI zal het probleem vermenigvuldigen. Volgens het Ivanti-rapport zegt 87 procent van de beveiligingsprofessionals dat het integreren van agentische AI een prioriteit is, en 77 procent geeft aan dat het prettig is om autonome AI te laten handelen zonder menselijk toezicht. Maar slechts 55% maakt gebruik van formele vangrails. Elke autonome agent creëert nieuwe machine-identiteiten, identiteiten die authenticeren, beslissingen nemen en onafhankelijk handelen. Als organisaties de machine-identiteiten die ze vandaag de dag hebben niet kunnen beheren, staan ze op het punt daar nog een orde van grootte aan toe te voegen.
Gartner schat de totale herstelkosten op tien keer het losgeld zelf. CrowdStrike schat de gemiddelde kosten voor downtime van ransomware op $1,7 miljoen per incident, waarbij organisaties in de publieke sector gemiddeld $2,5 miljoen kosten. Betalen helpt niet. Bij 93 procent van de organisaties die betaalden, werden de gegevens toch gestolen, en bij 83 procent werd opnieuw aangevallen. Bijna 40% kon gegevens uit back-ups niet volledig herstellen na ransomware-incidenten. De ransomware-economie is zo geprofessionaliseerd dat kwaadwillende groepen nu bestanden op afstand versleutelen via SMB-netwerkshares vanaf onbeheerde systemen, waarbij de binaire ransomware nooit wordt overgedragen naar een beheerd eindpunt.
Beveiligingsleiders die machine-identiteitsinventarisatie, detectieregels en inperkingsprocedures in hun playbooks inbouwen, zullen niet alleen de kloof dichten die aanvallers vandaag de dag uitbuiten; ze zullen in de positie zijn om de autonome identiteiten te besturen die als volgende zullen arriveren. De test is of deze toevoegingen de volgende tabletop-oefening overleven. Als ze het daar niet volhouden, zullen ze bij een echt incident ook niet standhouden.
