Elke MFA-controle is geslaagd. Elke login was legitiem. Het compliance-dashboard was bij elke identiteitscontrole groen. En de aanvaller was al binnen en bewoog zich zijwaarts door Active Directory met een geldig sessietoken, waardoor de rechten escaleerden op een traject richting de domeincontroller.
Dit is het scenario dat zich afspeelt binnen bedrijven die zwaar hebben geïnvesteerd in authenticatie en ervan uitgingen dat de klus geklaard was. De legitimatie was echt. De multi-factor uitdaging werd correct beantwoord. Het systeem presteerde precies zoals ontworpen. Het authenticeerde de gebruiker bij de voordeur en keek nooit meer. De inbreuk heeft MFA niet omzeild. Het begon nadat MFA succesvol was.
Authenticatie bewijst identiteit op een bepaald moment. Dan wordt het blind. Alles wat volgt, de zijwaartse beweging, de escalatie van bevoegdheden, de stille exfiltratie via Active Directory, valt buiten wat MFA ooit wilde zien.
Een CIO ontdekte het gat in de productie
Alex Philips, CIO bij NOV, identificeerde de kloof door middel van operationele tests. “We hebben een gat ontdekt in ons vermogen om legitieme identiteitssessietokens op bronniveau in te trekken. Het opnieuw instellen van een wachtwoord is niet meer voldoende. Je moet sessietokens onmiddellijk intrekken om de laterale beweging te stoppen”, vertelde hij aan VentureBeat.
Wat Philips ontdekte was geen verkeerde configuratie. Het was een architecturale blinde vlek die in vrijwel elke zakelijke identiteitsstapel voorkomt. Zodra een gebruiker zich met succes heeft geverifieerd, draagt het resulterende sessietoken dat vertrouwen over zonder herbeoordeling. Het token wordt een dragerreferentie. Degene die deze in zijn bezit heeft, aanvaller of medewerker, erft alle toestemmingen die aan de sessie zijn gekoppeld. Het onderzoek van NOV bevestigde dat diefstal van identiteitssessietokens de vector is achter de meest geavanceerde aanvallen die ze volgen, wat het team ertoe aanzet het identiteitsbeleid aan te scherpen, voorwaardelijke toegang af te dwingen en vanaf de basis een snelle intrekking van tokens op te bouwen.
Gemiddelde uitbraaktijd van e-criminaliteit gedaald tot 29 minuten in 2025, met de snelste geregistreerde uitbraak geklokt op 27 seconden, volgens CrowdStrike’s Global Threat Report 2026. Bij 82% van de detecties in 2025 werd helemaal geen malware ingezet. Aanvallers hebben geen exploits nodig als ze sessietokens hebben.
Aanvallers zijn gestopt met het schrijven van malware omdat gestolen identiteiten beter werken
“Tegenstanders zijn erachter gekomen dat een van de snelste manieren om toegang te krijgen tot een omgeving het stelen van legitieme inloggegevens of het gebruik van social engineering is”, vertelde Adam Meyers, Senior Vice President van Counter Adversary Operations bij CrowdStrike, aan VentureBeat. De economische situatie is grimmig: moderne eindpuntdetectie heeft de kosten en het risico van het inzetten van malware verhoogd. Een gestolen inloggegevens veroorzaken daarentegen geen waarschuwing, komen niet overeen met een handtekening en nemen de toegang over die de echte gebruiker had.
Volgens CrowdStrike’s 2025 Global Threat Report zijn de Vishing-aanvallen tussen de eerste en de tweede helft van 2024 met 442% toegenomen, terwijl pogingen tot deepfake-fraude in 2024 met meer dan 1.300% zijn gestegen, volgens cijfers van CrowdStrike. Pindrop’s Voice Intelligence & Security Report 2025. Volgens gegevens uit hetzelfde rapport zijn face-swap-aanvallen in 2023 met 704% toegenomen. Uit een onderzoek uit 2024, geciteerd in CrowdStrike’s 2025 Global Threat Report, bleek dat door AI gegenereerde phishing-e-mails overeenkwamen met door experts vervaardigde menselijke phishing met een klikfrequentie van 54%, die beide met 12% ruimschoots beter presteerden dan generieke bulkphishing.
De dreiging is niet dat AI één aanvaller gevaarlijker maakt. De dreiging is dat AI elke aanvaller social engineering op expertniveau biedt tegen bijna nul marginale kosten. De toeleveringsketen voor diploma’s opereert nu op industriële schaal.
In de kloof tussen IAM en SecOps verdwijnen sessies
BIn 2026 30% van de ondernemingen niet meer zou overwegen Op gezichten gebaseerde oplossingen voor identiteitsverificatie en biometrische authenticatie zijn op zichzelf betrouwbaar dankzij door AI gegenereerde deepfakes, voorspelde Gartner in een rapport uit 2024. Riemer wees naar die van Ivanti Rapport over de stand van zaken op het gebied van cyberbeveiliging uit 2026 om de kloof te kwantificeren. Uit het rapport, waarin meer dan 1.200 beveiligingsprofessionals werden ondervraagd, bleek dat de kloof in paraatheid tussen bedreigingen en verdedigingen in één jaar met gemiddeld 10 punten groter werd.
Kayne McGladrey, IEEE Senior Member, vatte het falen van de organisatie in zakelijke termen. “Alles wat een cybersecurity-smaak lijkt te hebben, wordt over het algemeen in de categorie cybersecurity-risico’s geplaatst, wat een complete fictie is. Ze moeten zich richten op bedrijfsrisico’s, want als het de onderneming niet beïnvloedt, zoals een financieel verlies, zal niemand er aandacht aan besteden, en ze zullen het niet op de juiste manier budgetteren, noch zullen ze voldoende controles invoeren om het te voorkomen”, vertelde McGladrey aan VentureBeat. Deze logica verklaart waarom sessiebeheer, tokenlevenscyclusbeheer en identiteitscorrelatie tussen domeinen in een kloof tussen IAM en SecOps vallen. Niemand is eigenaar ervan, omdat niemand het als een zakelijk verlies heeft beschouwd.
“Misschien zie je alleen delen van de inbraak aan de identiteitskant, aan de cloudkant en aan de eindpuntkant. Je hebt cross-domein zichtbaarheid nodig, omdat je in het beste geval ongeveer 29 minuten de tijd hebt om deze inbraken te stoppen”, vertelde Meyers aan VentureBeat.
Mike Riemer, Ivanti’s Field CISO, heeft gezien hoe deze ontkoppeling zich gedurende twintig jaar van veranderende paradigma’s afspeelde. “Ik ken je pas nadat ik je heb gevalideerd. Totdat ik weet wat het is en ik weet wie er aan de andere kant van het toetsenbord zit, ga ik er niet mee communiceren totdat ze me de mogelijkheid geven om te begrijpen wie het is”, vertelde Riemer aan VentureBeat.
Die vraag is rechtstreeks van toepassing op sessies na authenticatie. Als aanvallers AI gebruiken om de identiteit te fabriceren die MFA opruimt, hebben verdedigers AI nodig die in de gaten houdt wat die identiteit daarna doet. Het bredere punt van Riemer is dat het plaatsen van de beveiligingsperimeter op een enkele inloggebeurtenis elke aanvaller die de poort vrijmaakt, uitnodigt om de vrije loop te laten.
NOV heeft het gat gedicht. De meeste ondernemingen zijn nog niet begonnen.
“Het geeft ons een gateway voor gedwongen handhaving van het beveiligingsbeleid. Gebruikers en aanvallers op een plat netwerk kunnen gestolen identiteitssessietokens gebruiken, maar met zero-trust gateways dwingt het voorwaardelijke toegang en hervalidatie van vertrouwen af”, vertelde Philips aan VentureBeat.
NOV verkortte de levensduur van tokensvoorwaardelijke toegang gebouwd waarvoor meerdere voorwaarden nodig zijn, en scheiding van taken afgedwongen, zodat geen enkele persoon of serviceaccount een wachtwoord kan resetten, multi-factor toegang kan omzeilen of voorwaardelijke toegang kan opheffen. “We hebben drastisch verminderd wie wachtwoord- of multi-factor resets kan uitvoeren. Niemand zou deze controles moeten kunnen omzeilen”, vertelde Philips aan VentureBeat. Ze hebben AI ingezet tegen SIEM-logboeken om incidenten bijna in realtime te identificeren en hebben speciaal een startup ingeschakeld om snelle tokenintrekking voor hun meest kritieke bronnen op te bouwen.
Philips signaleerde ook een kwetsbaarheid in de vertrouwensketen die de meeste teams over het hoofd zien. “Aangezien je met de vooruitgang op het gebied van AI geen stem, video of zelfs schrijfstijlen kunt vertrouwen, moet je vooraf gedeelde geheimen hebben of een vraag kunnen valideren die alleen jij en zij weten”, vertelde hij aan VentureBeat. Als de reactie op incidenten afhankelijk is van een telefoontje of een Slack DM om een gecompromitteerd account te bevestigen, kunnen aanvallers die deepfake-stem of -tekst gebruiken ook dat bevestigingskanaal misbruiken.
Acht dingen die je deze week moet doen
NOV heeft bewezen dat deze gaten te dichten zijn. Hier leest u waar u als eerste prioriteit aan moet geven.
-
Haal het tokenlevensduurrapport op voor elk bevoorrecht account, serviceaccount en API-sleutel. Verkort interactieve sessietokens tot uren, niet tot dagen. Plaats de serviceaccountreferenties in een gedefinieerd rotatieschema. API-sleutels zonder vervaldatum zijn open uitnodigingen die nooit sluiten.
-
Voer een sessie-intrekkingsoefening uit onder vuur. Geen wachtwoordreset. Een sessiemoord. Tijd. Als jouw team een live gecompromitteerde sessie niet binnen vijf minuten kan herroepen, is dat het gat dat een aanvaller die op 27 seconden sprint als eerste zal benutten. NOV kon het ook niet. Ze brachten specifieke middelen in en bouwden de capaciteit vanaf het begin op.
-
Breng uw cross-domein telemetrie van begin tot eind in kaart. Eén enkele analist zou een identiteitsafwijking in uw directoryservice moeten kunnen correleren met een login op het cloudcontrolevlak en een gedragsvlag voor het eindpunt zonder van console te wisselen. Als die workflow vier dashboards en een Slack-thread vereist, zal een breakout van 29 minuten je elke keer verslaan.
-
Breid de handhaving van voorwaardelijke toegang uit tot voorbij de voordeur. Elke escalatie van bevoegdheden en elk verzoek om gevoelige bronnen moet een hervalidatie activeren. Een identiteit die zich authenticeert vanuit Houston en twintig minuten later opduikt vanuit Boekarest zou automatische step-up authenticatie of sessiebeëindiging moeten activeren.
-
Vervang SMS en push-gebaseerde MFA overal waar mogelijk door phishing-resistente FIDO2 en op wachtwoord gebaseerde authenticatie. Elke pushmelding die een aanvaller kan bombarderen, is een sessie die hij kan stelen. Dit blijft de goedkoopste upgrade die het grootste gat dicht.
-
Controleer de scheiding van taken op het gebied van identiteitsworkflows. Als één persoon of één serviceaccount de inloggegevens opnieuw kan instellen, geprivilegieerde toegang kan goedkeuren en MFA kan omzeilen, is dat een enkel punt van falen dat aanvallers zullen vinden. NOV heeft die configuratie geëlimineerd.
-
Stel een out-of-band incidentverificatieprotocol op met vooraf gedeelde geheimen. Als uw team nog steeds gecompromitteerde accounts bevestigt via een telefoongesprek of een Slack-bericht, kunnen deepfake-spraak en -sms ook dat kanaal in gevaar brengen. Bouw het protocol voordat u het nodig hebt.
-
Maak een speciale budgetlijn voor het beheer van de identiteitslaag. Sessiebeheer, tokenlevenscyclusbeheer, continue identiteitsverificatie en standaarden zoals CAEP en het Shared Signals Framework hebben één eigenaar met één enkel budget nodig. Als die eigenaar niet bestaat, zijn aanvallers al eigenaar van het gat.
Het team van Philips ging van de ontdekking dat ze een gecompromitteerde sessie niet konden beëindigen tot het snel intrekken van tokens onder reële aanvalsomstandigheden. Ze verkortten de levensduur van tokens, elimineerden het opnieuw instellen van inloggegevens van één persoon, implementeerden AI-gestuurde loganalyses en bouwden een speciale intrekkingsmogelijkheid voor hun meest kritieke bronnen. Die transformatie duurde maanden, geen jaren.
Het gat dat NOV heeft gedicht bestaat binnen bijna elke onderneming die authenticatie als eindpunt beschouwt in plaats van als startschot. Philips zei het duidelijk: “Het opnieuw instellen van een wachtwoord is niet meer voldoende. Je moet sessietokens onmiddellijk intrekken om de zijwaartse beweging te stoppen.” Zijn team heeft het antwoord bedacht. De vraag voor elke andere CISO is of ze dat gat op hun eigen voorwaarden vinden, of dat een aanvaller die zich binnen 27 seconden beweegt, het voor hen vindt.
