Veel organisaties investeren in endpoint security, netwerkbeveiliging en back-ups. Dat zijn logische keuzes, omdat deze lagen traditioneel het fundament vormen van IT-beveiliging. Maar ondertussen verschuift een groot deel van de aanvallen naar een plek waar nauwelijks actief naar wordt gekeken: identiteit.
Accounts, sessies en rechten vormen het nieuwe aanvalsvlak. Niet omdat systemen minder belangrijk zijn geworden, maar omdat toegang tot die systemen steeds vaker via identiteit loopt.
In omgevingen zoals Microsoft 365 wordt dat nog duidelijker. Toegang is daar volledig gebaseerd op accounts en rechten. Wie de juiste identiteit controleert, heeft direct toegang tot data, communicatie en vaak ook gekoppelde systemen.
Dat maakt dit aanvalsvlak niet alleen groter, maar ook minder zichtbaar dan veel organisaties denken.
De realiteit: je bent al afhankelijk van identiteit
In de meeste organisaties is Microsoft 365 geen tool meer, maar infrastructuur. Het vormt de basis voor e-mail, documenten, samenwerking en identity & access management. Daarmee is het direct verbonden met vrijwel alle kritieke processen binnen de organisatie.
Dat heeft een belangrijk gevolg.
Als een aanvaller controle krijgt over een account, verandert de aard van de aanval volledig. Er is geen complexe exploit nodig en vaak ook geen malware. Met één gecompromitteerde identiteit kan een aanvaller e-mail lezen en versturen, toegang krijgen tot gevoelige data, interne processen misbruiken en zelfs nieuwe accounts of rechten aanmaken.
Alles gebeurt binnen de grenzen van legitieme toegang. Zonder malware. Zonder exploit. Zonder alarm.
Waarom traditionele security hier tekortschiet
Veel beveiligingsmaatregelen zijn nog steeds gericht op endpoints, netwerken en bekende kwetsbaarheden. Dat is historisch logisch, omdat aanvallen lange tijd draaiden om het misbruiken van systemen.
Maar identity-aanvallen werken fundamenteel anders.
Ze maken gebruik van legitieme inlogmethodes, misbruiken bestaande rechten en laten nauwelijks klassieke indicatoren achter. Er is geen malware die opvalt en geen exploit die direct zichtbaar is. In veel gevallen is er technisch gezien niets “kapot”.
Een succesvolle login ziet er daarom vaak volledig normaal uit.
Dat verschuift de kernvraag van security. Het gaat niet langer om het herkennen van kwaadaardig verkeer, maar om het begrijpen van gedrag.
Niet: “is dit verkeer kwaadaardig?” Maar: “is dit gedrag logisch voor deze gebruiker?”
Loggen is geen monitoren
Veel organisaties hebben logging “aan staan” in Microsoft 365. Dat wordt vaak gezien als een belangrijke stap, en soms zelfs als voldoende.
Maar logs zonder analyse bieden alleen achteraf inzicht. Ze laten zien wat er gebeurd is, maar beschermen niet tegen wat er nog gebeurt.
In de praktijk betekent dit dat logs niet actief worden bekeken, dat correlatie tussen events ontbreekt en dat er geen duidelijke eigenaar is van monitoring. Data is er wel, maar er wordt niets mee gedaan.
Het gevolg is voorspelbaar. Verdachte logins blijven onopgemerkt, privilege changes worden niet geëvalueerd en afwijkend gedrag wordt pas ontdekt wanneer de impact al zichtbaar is.
Zonder interpretatie blijven logs slechts een archief, geen verdediging.
Hoe identity-aanvallen er echt uitzien
Het gaat zelden om spectaculaire hacks, maar om subtiele misbruikpatronen. Een succesvolle login vanuit een ongebruikelijke locatie. Het toevoegen van een mailboxregel om e-mail door te sturen. Het registreren van een OAuth-app met brede rechten. Het omzeilen van MFA via token misbruik. Het langzaam uitbreiden van rechten.
Op zichzelf lijken dit soort handelingen vaak onschuldig. Ze passen binnen normale functionaliteit en vallen daardoor nauwelijks op.
Maar juist in combinatie vormen ze een aanval.
Waarom ITDR noodzakelijk is
Identity Threat Detection & Response richt zich precies op dit probleem. Het draait om het detecteren van afwijkend gedrag, het correleren van identity-events en het snel ingrijpen bij misbruik.
Maar het verschil zit niet in de tooling alleen. De waarde ontstaat pas bij de interpretatie.
Wat wijkt af van normaal gedrag? Wat is verdacht in de juiste context? En wanneer is het moment om in te grijpen?
Dit zijn geen technische vragen, maar operationele afwegingen.
Hier zie je dezelfde realiteit terug als bij endpoint security. Detectie zonder interpretatie is ruis.
Microsoft 365 is vaak “functioneel ingericht”
Veel omgevingen groeien organisch. Instellingen worden aangepast wanneer dat nodig is, rechten worden toegevoegd maar zelden verwijderd en security features blijven vaak op de standaardinstellingen staan.
Dat lijkt efficiënt, maar creëert structurele risico’s.
Na verloop van tijd ontstaan overprivileged accounts, ontbreken duidelijke restricties en wordt ownership diffuus. Niemand heeft nog volledig zicht op wie waar toegang toe heeft en waarom.
De omgeving blijft functioneren zoals verwacht. Totdat iemand diezelfde structuur misbruikt.
Dan blijkt dat alles werkte, maar niets echt gecontroleerd werd.
NIS2 raakt dit, maar adresseert het niet volledig
NIS2 legt nadruk op risicobeheer, monitoring en incident response. Dat helpt organisaties om structuur aan te brengen en verantwoordelijkheden vast te leggen.
Maar daarmee is het probleem niet opgelost.
De richtlijn zegt niets over hoe je identity-risico’s daadwerkelijk prioriteert, hoe je gedrag in de juiste context interpreteert of hoe je snel reageert op twijfelgevallen. Juist daar ontstaan de meeste blinde vlekken.
Daardoor zie je hetzelfde patroon terug als in andere securitydomeinen. De basis is ingericht en compliance is aantoonbaar, maar de operationele diepgang ontbreekt.
Met als gevolg: structuur zonder effect.
Wat je jezelf concreet moet afvragen
De belangrijkste vragen zijn vaak ook de meest confronterende.
Wie monitort actief identity-events in de omgeving? Hoe wordt afwijkend gedrag gedetecteerd, niet alleen mislukte logins? Hoe snel kan een account beperkt of geblokkeerd worden wanneer er twijfel is? En welke accounts hebben structureel meer rechten dan strikt noodzakelijk?
Dit zijn geen technische details, maar kernvragen over controle en weerbaarheid.
Als deze vragen niet scherp en concreet beantwoord kunnen worden, is het grootste aanvalsvlak onvoldoende beschermd.
Conclusie
De meeste aanvallen beginnen tegenwoordig niet meer met een exploit, maar met een login. In plaats van malware te gebruiken, maken aanvallers misbruik van bestaande rechten en legitieme toegang. Dat maakt de aanval minder zichtbaar, maar vaak effectiever.
Dit verandert de aard van cybersecurity fundamenteel.
Wanneer identiteit gecompromitteerd wordt, valt in feite alles. Toegang bepaalt wat mogelijk is, en in moderne omgevingen is die toegang volledig gekoppeld aan accounts en rechten. Wie de juiste identiteit controleert, heeft direct toegang tot systemen, data en processen.
Microsoft 365 is daarmee geen ondersteunende tool meer, maar kerninfrastructuur. Het vormt de basis van communicatie, samenwerking en toegang binnen de organisatie. Juist daarom vraagt deze omgeving om actieve verdediging.
Die verdediging kan niet achteraf plaatsvinden in logs. Het vereist continue monitoring, gecombineerd met context, interpretatie en besluitvorming op het juiste moment.
Organisaties die dit begrijpen, verschuiven hun focus van systemen naar identiteit. Ze kijken niet alleen naar wat er technisch gebeurt, maar beoordelen of gedrag logisch is binnen de context van de gebruiker en de organisatie.
Organisaties die dat niet doen, ontdekken het probleem vaak pas achteraf. Op het moment dat een ogenschijnlijk normale login uiteindelijk geen normale login bleek te zijn.
Klaar om je beveiliging te verbeteren of benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vrijblijvend contact op via kasper@kh-sec.nl of bel 0229 799 800. Je kunt je ook aanmelden voor de nieuwsbrief of direct een afspraak plannen. Je ontvangt maandelijks het laatste nieuws, advies, opinies en inzichten over IT-beveiliging voor bedrijven.
Liever versleuteld communiceren? Gebruik mijn openbare PGP-sleutel voor veilige communicatie—alleen ik kan je berichten lezen.
