Blog

Misbruik maken van vertrouwen: de moderne cyberdreiging

Moderne cyberaanvallen hoeven niet langer in te breken – ze loggen simpelweg in. Aanvallers maken misbruik van vertrouwde identiteiten, tools en software toeleveringsketens. Ontdek waarom vertrouwen vandaag de grootste aanvalsvector is en hoe MDR, context en continue validatie organisaties helpen zich hiertegen te verdedigen.

Vertrouwen is een van de belangrijkste fundamenten van het bedrijfsleven. We vertrouwen medewerkers dat zij toegang hebben tot de systemen die ze nodig hebben. We vertrouwen beheerders met kritieke infrastructuur. We vertrouwen leveranciers om onze bedrijfsvoering te ondersteunen. En we vertrouwen softwareleveranciers dat zij code leveren die doet wat wordt beloofd.

Hoewel cybersecurity vertrouwen traditioneel probeert te controleren, zien moderne dreigingsactoren het steeds vaker als iets om uit te buiten.

Ze hoeven niet langer “in te breken” als ze kunnen inloggen en geen maatwerk‑malware meer te ontwikkelen als ze goedgekeurde tools kunnen gebruiken. Ook hoeven ze niet elke organisatie direct aan te vallen als ze een vertrouwde leverancier, SaaS‑provider, developer account of software‑dependency kunnen compromitteren.

Dit is het kenmerkende patroon van veel moderne aanvallen: aanvallers misbruiken niet alleen technische kwetsbaarheden, maar ook de relaties, identiteiten, tools en afhankelijkheden waarop organisaties al vertrouwen.

Vertrouwde identiteiten: de makkelijkste ingang

Het compromitteren van credentials is een van de meest effectieve manieren geworden om toegang te krijgen tot bedrijfsomgevingen, omdat aanvallers zich hiermee legitiem kunnen voordoen. Uit het Verizon 2025 DBIR‑rapport blijkt dat misbruik van credentials en het uitbuiten van kwetsbaarheden de belangrijkste initiële aanvalsvectoren blijven, waarbij credentialmisbruik verantwoordelijk is voor 22% en kwetsbaarheidsexploitatie voor 20% van de geanalyseerde datalekken. Hetzelfde rapport toont ook aan dat de betrokkenheid van derde partijen bij datalekken is verdubbeld tot 30%, wat benadrukt dat vertrouwensrelaties buiten de eigen organisatie steeds meer onderdeel worden van het aanvalsvlak. (Verizon)

Deze trend wordt bevestigd in andere dreigingsrapporten. IBM X‑Force rapporteerde dat misbruik van gebruikersidentiteiten in 2024 het voorkeursingangspunt voor aanvallers bleef en in 30% van de gevallen voorkwam, terwijl gestolen credentials op grote schaal worden verhandeld op ondergrondse marktplaatsen. (IBM) Het M‑Trends 2026‑rapport van Mandiant benadrukt daarnaast dat verdedigers verder moeten gaan dan statische beveiligingsmaatregelen en het gedrag van identiteiten continu moeten monitoren, zeker nu interactieve social engineering, compromittatie van SaaS‑omgevingen, gestolen credentials en misbruik van sessies traditionele verdedigingsmechanismen blijven omzeilen. (Google Cloud)

De reden is eenvoudig: een geldige login ziet er op het eerste gezicht niet uit als een inbraak. Een gebruiker logt in vanaf een plausibele locatie. Een beheerder opent een remote management tool. Een script draait onder een goedgekeurde service account. Een cloudtoken wordt gebruikt richting een API. Vanuit het perspectief van veel securitysystemen lijken deze acties in eerste instantie geautoriseerd.

Hier wordt vertrouwen gevaarlijk. Niet omdat vertrouwen verkeerd is, maar omdat het vaak als statisch wordt behandeld. Zodra een identiteit, tool, leverancier of workflow is goedgekeurd, stoppen organisaties vaak met de vraag of het huidige gedrag nog steeds logisch is.

Wanneer moderne aanvallen normaal gedrag imiteren

Aanvallers stappen bewust af van opvallende, luidruchtige technieken en bewegen zich richting activiteiten die opgaan in het normale bedrijfsproces. Volgens het Global Threat Report 2026 van CrowdStrike was 82% van de detecties in 2025 malware‑vrij, waarbij tegenstanders gebruikmaakten van geldige credentials, vertrouwde identiteitsstromen, goedgekeurde SaaS‑integraties en bestaande software‑toeleveringsketens om zich door omgevingen te verplaatsen. (CrowdStrike)

Dit betekent een grote verschuiving voor verdedigers. Traditionele detectie richt zich vaak op kwaadaardige bestanden, verdachte binaries of bekende indicatoren van compromittering. Maar wat gebeurt er wanneer een aanvaller legitieme tools gebruikt? Wat als de activiteit afkomstig is van een echt account? Wat als de aanvaller opereert tijdens reguliere werktijden en patronen volgt die lijken op IT‑beheer?

In zulke gevallen is de vraag niet langer alleen: “is dit bestand kwaadaardig?”, maar eerder:
“is dit gedrag verwacht voor deze identiteit, dit systeem, dit bedrijfsproces en dit specifieke moment?”

Die vraag kan niet uitsluitend met tools worden beantwoord. Daarvoor is context nodig.

Vertrouwde software: je verborgen aanvalsvlak

Vertrouwen beperkt zich niet tot de menselijke gebruikers. Elke moderne organisatie vertrouwt ook op de toeleveringsketens.

Applicaties worden zelden vanaf nul opgebouwd. Ze zijn samengesteld uit frameworks, libraries, packages, containers, CI/CD‑workflows en diensten van derden. Dit zorgt voor enorme efficiëntie, maar introduceert ook risico’s. Eén gecompromitteerd admin‑account, gemanipuleerd package of aangepaste build‑workflow kan duizenden downstream‑omgevingen beïnvloeden.

In 2025 had de compromittering van de populaire tj-actions/changed-files GitHub Action impact op meer dan 23.000 repositories. Aanvallers pasten versietags aan zodat deze verwezen naar kwaadaardige code die CI/CD‑secrets blootlegde in workflow‑logs. Dit creëerde het risico op ongeautoriseerde toegang tot broncode, infrastructuur en productieomgevingen. (Bron: GitHub)

De Nx “s1ngularity” supply‑chain aanval liet een vergelijkbaar patroon zien. Volgens de eigen postmortem van het project maakten aanvallers misbruik van een GitHub Actions‑injectiekwetsbaarheid om een NPM‑token te stelen. NVD beschreef het incident later als kwaadaardige code die werd geïnjecteerd in Nx‑packages en gerelateerde plugins, waarbij getroffen versies bestandssystemen scanden, credentials verzamelden en deze publiceerden in GitHub‑repositories onder gebruikersaccounts. (Bron: Nx)

Deze incidenten zijn belangrijk omdat ze een ongemakkelijke waarheid blootleggen: vertrouwde software kan kwaadaardig worden zonder dat de naam, reputatie of plaats in de dependency‑structuur verandert.

Een organisatie hoeft niet direct doelwit te zijn geweest, ontwikkelaars hoeven geen duidelijke fout te hebben gemaakt en de perimeter hoeft niet te zijn doorbroken. Toch kan kwaadaardige code binnenkomen via een vertrouwd component dat gisteren nog veilig was, maar vandaag een risico vormt.

Waarom Zero Trust niet het volledige antwoord is

Op het eerste gezicht lijkt de logische oplossing om Zero Trust toe te passen.

En laat duidelijk zijn: Zero Trust is een essentieel beveiligingsprincipe. NIST definieert Zero Trust als een model waarbij vertrouwen niet impliciet wordt toegekend op basis van netwerklocatie of eigenaarschap, en waarbij toegang tot resources continu wordt geëvalueerd. (Bron: NIST Computer Security Resource Center)

Maar Zero Trust is geen magisch schild tegen elke vorm van misbruik van vertrouwen.

Zero Trust kan impliciete toegang beperken. Het kan sterkere authenticatie afdwingen, least privilege, device posture checks, segmentatie en conditionele toegang implementeren. Deze maatregelen zijn belangrijk. Ze maken compromittering moeilijker en beperken laterale beweging.

Maar Zero Trust weet niet automatisch of een beheerder zich ongebruikelijk gedraagt als niemand heeft gedefinieerd wat “normaal” is. Het herkent niet vanzelf of een leverancierintegratie wordt misbruikt als deze technisch gezien is toegestaan. En het detecteert niet automatisch of een software‑dependency is gemanipuleerd, tenzij supply‑chain‑telemetrie, package governance en threat intelligence zijn geïntegreerd in detectie en respons.

Met andere woorden: Zero Trust vermindert blind vertrouwen, maar vervangt geen operationeel inzicht.

Gestolen beheerdercredentials, een gecompromitteerde SaaS‑token en een gemanipuleerd softwarepakket blijven allemaal gevaarlijk. Dat geldt ook voor een vertrouwde remote management tool die door een aanvaller wordt misbruikt.

De echte uitdaging is niet alleen om vertrouwen weg te nemen, maar om het continu te beheren.

Cyber Security

Referentie

Het UMC Utrecht kiest voor Conscia Managed Security Services

Oplossing Resultaten Conscia Managed NOC/SOC met Cisco IPS Firewall – Inzicht in IPS bescherming– Flexibel gebruik van apparatuur– Minder beheer– Lagere kosten De zorg voor pat…

Lees meer

AI kan het onderzoeken versnellen maar het vertrouwen niet vervangen

Artificial intelligence wordt steeds belangrijker binnen security operations: het kan helpen bij het samenvatten van alerts, het correleren van grote hoeveelheden telemetry, het verrijken van onderzoeken, het identificeren van terugkerende patronen en het verminderen van de tijd die analisten besteden aan repetitief werk.

Dat is essentieel. Securityteams staan onder druk om meer signalen te analyseren, verspreid over meer systemen, met minder tijd. In deze context kan AI uitgroeien tot een krachtige assistent.

Maar een volledig autonome, agent‑gedreven AI‑SOC is op dit moment nog geen volledig antwoord.

De reden is dat moderne aanvallen niet alleen technische puzzels zijn. Ze zijn ook gedragsmatig, operationeel en contextueel van aard. Een aanvaller die gebruikmaakt van een gestolen beheerderaccount zal niet altijd direct als “kwaadaardig” worden bestempeld. Een legitieme remote management tool kan zowel worden gebruikt voor regulier onderhoud als voor een hands‑on‑keyboard aanval. Een developer die een nieuw package downloadt, kan bezig zijn met normaal ontwikkelwerk — of de eerste stap zetten naar het introduceren van een gemanipuleerde dependency in de omgeving.

Het verschil tussen normaal en verdacht gedrag hangt vaak af van context. Om dat te bepalen, moet je vragen kunnen beantwoorden zoals:

• Is deze actie verwacht voor deze gebruiker?
• Wordt dit systeem normaal gesproken op dit moment benaderd?
• Voert deze beheerder een taak uit die past binnen het bedrijfsproces van de klant?
• Zou automatische containment een kritieke dienst verstoren?
• Wordt deze software‑dependency daadwerkelijk in productie gebruikt, of alleen in een testomgeving?
• Is deze alert relevanter vanwege de sector, geografische locatie, exposure of het actuele dreigingslandschap van de klant?

Dit zijn vragen die beoordelingsvermogen vereisen en niet simpelweg binair te beantwoorden zijn. AI kan dit beoordelingsproces ondersteunen, maar kan niet betrouwbaar het menselijke inzicht vervangen dat nodig is om securitybeslissingen te nemen binnen een specifieke bedrijfscontext. Verkeerd toegepast kan AI juist meer ruis veroorzaken. Blind vertrouwen in AI kan ervoor zorgen dat nuance verloren gaat — nuance die het verschil maakt tussen kwaadaardige activiteit en afwijkend maar legitiem gedrag.

AI kan helpen bij het uitvoeren van onderzoek, maar het kan de relatie tussen een klant en een securityteam dat de omgeving begrijpt niet volledig vervangen. Het weet niet automatisch welke assets bedrijfskritisch zijn, welke gebruikers afwijkende maar legitieme workflows hebben, welke leveranciers essentieel zijn, of welke responsacties acceptabel zijn binnen specifieke bedrijfsomstandigheden.

Daarom zou de toekomst van MDR niet moeten draaien om “AI in plaats van analisten”, maar om analisten die worden versterkt door AI binnen een transparant, intelligence‑gedreven operating model.

Bij Conscia zien we AI als een middel om onze analisten sneller te laten werken, ruis te verminderen en meer focus te leggen op de beslissingen die er echt toe doen. Maar de kwaliteit van die beslissingen blijft afhankelijk van menselijke expertise, klantspecifieke kennis en een betrouwbare samenwerking.

Want wanneer aanvallers misbruik maken van vertrouwen, kunnen verdedigers niet uitsluitend vertrouwen op automatisering. Ze hebben context, verantwoordelijkheid en beoordelingsvermogen nodig.

Het defensieve antwoord: bouw vertrouwen op, ga er niet blind van uit

Het antwoord op misbruik van vertrouwen is niet wantrouwen, maar nog meer vertrouwen.

Voor cybersecurity‑providers betekent dit dat zij verder moeten gaan dan transactionele dienstverlening. Een managed detection and response‑provider moet meer zijn dan alleen een externe partij die alerts afhandelt. De relatie moet uitgroeien tot een securitypartnerschap, gebaseerd op gedeelde context, continue feedback en wederzijds begrip.

Dat soort vertrouwen is niet blind, maar actief.

Een vertrouwde MDR‑partner leert de omgeving van de klant kennen: kritieke assets, normaal gebruikersgedrag, geprivilegieerde workflows, blootgestelde diensten, bedrijfsprocessen, de technologie‑stack, afhankelijkheden van derde partijen en geaccepteerde operationele patronen. Deze kennis kan vervolgens worden vertaald naar betere detecties, nauwkeurigere triage, sterkere threat hunting en een snellere respons.

• Wanneer we begrijpen wat normaal is, wordt afwijkend gedrag makkelijker te herkennen.

• Wanneer we weten welke identiteiten bedrijfskritisch zijn, kunnen we verdachte activiteiten rondom deze accounts prioriteit geven.

• Wanneer we begrijpen welke systemen essentiële processen ondersteunen, kunnen we ongebruikelijke toegang anders beoordelen.

• Wanneer we weten welke leveranciers, SaaS‑platformen en softwarecomponenten belangrijk zijn voor de organisatie, kunnen we het externe dreigingslandschap relevanter monitoren in plaats van te verdrinken in ruis.

Op dat punt wordt MDR meer dan alleen monitoring. Het wordt vertrouwen, ondersteund door gedeelde context, transparante onderzoeken en continue samenwerken.

Vertrouwen vereist ook transparantie

Maar vertrouwen kan geen eenrichtingsverkeer zijn.

Een sterke MDR‑samenwerking ontstaat niet door alleen te vragen of klanten meer informatie delen met hun securityprovider. Het vereist ook transparantie van de provider richting de klant.

Bij Conscia vinden we dat klanten niet alleen moeten begrijpen wat we detecteren, maar ook hoe we werken. Ze moeten inzicht krijgen in wat onze analisten zien, hoe onderzoeken worden uitgevoerd, hoe conclusies tot stand komen en hoe beslissingen over respons worden genomen — allemaal in realtime.

Daarom is transparantie een integraal onderdeel van ons MDR‑operating model.

Via ons dedicated MDR Client Portal krijgen klanten inzicht in securitycases, bevindingen van analisten, responsacties, assetinformatie, indicator of compromise‑beheer en configureerbare responsbeleidregels. In plaats van MDR als een black box te benaderen, biedt het portal directe transparantie in hoe hun omgeving wordt gemonitord en beschermd. Daarnaast stelt het klanten in staat om actief mee te bepalen hoe respons plaatsvindt, in lijn met hun bedrijfsrisico’s, operationele behoeften en interne processen.

Dit is belangrijk, omdat vertrouwen makkelijker te behouden is wanneer beide partijen zicht hebben op wat er gebeurt.

Klanten delen kennis over hun assets, gebruikers, bedrijfsprocessen en prioriteiten. Wij delen inzicht in onze detectielogica, onderzoeksprocessen, afwegingen van analisten en onze responsaanpak. Deze tweerichtings‑transparantie creëert een sterkere securityrelatie dan het traditionele klant‑leveranciermodel.

Het maakt cybersecurity bovendien praktischer. Wanneer een klant kan zien waarom iets is geëscaleerd, waarom een bepaalde actie is uitgevoerd of hoe een conclusie tot stand is gekomen, wordt security minder abstract en juist een gezamenlijke operationele discipline.

En omdat securitybeslissingen vaak snel moeten worden genomen, mag deze zichtbaarheid niet beperkt blijven tot alleen een desktopervaring. Met onze MDR‑mobile app (MDR Go in de App Store en Google Play) hebben klanten eenvoudig toegang tot relevante informatie, kunnen ze securityactiviteiten beoordelen en verbonden blijven met hun MDR‑dienst — ook wanneer zij niet achter hun bureau zitten.

In een dreigingslandschap waarin aanvallers misbruik maken van verborgen aannames en blind vertrouwen, wordt transparantie een belangrijk defensief voordeel.

Vertrouwen is niet de zwakte. Blindelings vertrouwen is dat wel.

Vertrouwen zal altijd een onderdeel blijven van het bedrijfsleven en organisaties kunnen niet functioneren zonder betrouwbare medewerkers, betrouwbare beheerders, betrouwbare leveranciers, betrouwbare software en betrouwbare dienstverleners.

De fout zit echter in het beschouwen van vertrouwen als iets permanents.

Moderne dreigingsactoren begrijpen dit beter dan veel verdedigers. Zij weten dat een geldige credential soms krachtiger is dan malware. Ze beseffen dat een vertrouwde leverancier een snelle toegang kan bieden tot meerdere omgevingen. Ze weten dat legitieme softwarepackages kunnen worden misbruikt als distributiemechanisme. En ze begrijpen dat normale bedrijfsactiviteiten de beste camouflage vormen.

De toekomst van cybersecurity draait daarom niet om het elimineren van vertrouwen maar om het continu valideren ervan.

Zero Trust biedt organisaties een belangrijke architectonische basis. Maar een weerbare verdediging vraagt daarnaast ook om intelligence, context, partnerschap en een continu begrip van hoe de organisatie daadwerkelijk opereert.

Daar wordt vertrouwen opnieuw een kracht.

Geen verondersteld of blind vertrouwen, maar vertrouwen dat actief wordt opgebouwd, getest en aangestuurd op basis van intelligence — tussen organisaties en de securitypartners die hen helpen beschermen.

Over de schrijver