De kloof tussen de snelle opkomst van AI-dreigingen en de weerbaarheid van organisaties is zorgwekkend groot. Uit de eerste Annual Pulse 2026 van Identity Underground blijkt dat 54 procent van de security-executives AI-versterkte aanvallen als topprioriteit ziet. Dit terwijl bijna niemand (3 procent) zichzelf ‘zeer voorbereid’ noemt.
Het rapport van Identity Underground, een besloten netwerk van ruim 150 IAM-experts en CXO’s, schetst een beeld van een industrie in een pijnlijke transitie. Terwijl organisaties hun identity-beveiliging proberen te moderniseren voor het tijdperk van AI, houdt verouderde infrastructuur de voortgang tegen.
De ‘Triple Threat’ van Legacy-IT
Voor veel beveiligingsteamsteams fungeert de bestaande infrastructuur niet als fundament, maar als blok aan het been. De cijfers daarover liegen niet. Zo stelt 82 procent dat legacy-infrastructuur actief risico’s creëert. Logisch natuurlijk, want verouderde systemen brengen vaker veiligheidsrisico’s met zich mee. 61 Procent van de respondenten wijst specifiek naar NTLM-authenticatie als een primaire uitdaging. Dit vanwege de rol bij lateral movement en het gebrek aan native MFA-ondersteuning.
NTLM staat voor New Technology LAN Manager en is een verouderd authenticatieprotocol van Microsoft. Daarmee kunnen Windows-netwerken een mechanisme gebruiken om de identiteit van gebruikers te verifiëren. Daarbij hoeven geen wachtwoorden over het netwerk te worden verstuurd, maar het nadeel is dat het kwetsbaar is voor moderne aanvallen.
Volgens Simon Moffatt, oprichter van The Cyber Hut (een onderzoeks-, analyse- en adviesbureau uit het Verenigd Koninkrijk), zijn deze systemen nooit ontworpen voor het huidige dreigingslandschap. Zonder een eenduidig overzicht blijft het stelen van inloggegevens en het misbruik van toegangsrechten alsmaar toenemen.
Explosieve groei van Non-Human Identities (NHI)
Naast oude systemen zorgt de wildgroei aan service accounts, API-keys en AI-agents voor een onoverzichtelijk aanvalsoppervlak. Deze niet-menselijke identiteiten worden vaak over het hoofd gezien in traditionele beheermodellen. De wildgroei aan toegang door externe leveranciers maakt een toch al complexer wordend aanvalsoppervlak daarbij ook nog ingewikkelder.
Volgens het rapport is 5 procent van de organisaties overtuigd dat ze een volledig overzicht hebben van alle NHI’s. Meer dan een derde (37 procent) meldt dat 21 of meer organisaties toegang hebben tot hun systemen. Daardoor wordt het aanvalsoppervlak voor identiteitsfraude aanzienlijk groter. Hed Kovetz, CEO van Silverfort, waarschuwt dat defenders vaak nog in silo’s denken, terwijl aanvallers juist naar het volledige, gefragmenteerde oppervlak kijken.
Response-tijden: De ‘menselijke API’ verliest van de machine
Hoewel 68 procent van de executives vertrouwen heeft in hun detectiecapaciteiten, schort het aan de respons. Slechts 8 procent van de organisaties beschikt over de combinatie van real-time detectie en geautomatiseerde respons.
De meerderheid (53 procent) leunt nog op handmatige interventie. In een wereld waar AI-aanvallen op machine-snelheid opereren, fungeren identity-teams als ‘menselijke API’s’ die handmatig context moeten verzamelen. Dat is een situatie die volgens het rapport op de lange termijn onhoudbaar is.
Modernisering: Consolidatie en JIT
Om het tij te keren, vindt er momenteel een consolidatieslag plaats. Organisaties stappen af van losse en investeren in geïntegreerde platformen. Zo implementeert momenteel 55 procent van de organisaties een uniform platform. Bijna zeven op de tien (69 procent) gebruikt SIEM-platformen met specifieke analytics om afwijkingen sneller te kunnen ontdekken. Meer dan twee derde test of gebruikt JIT (Just-in-Time) om privileges alleen toe te kennen wanneer dat strikt noodzakelijk is.
De strijd tegen dreigingen mag de zaken niet verlammen. Volgens het onderzoek veroorzaken goedbedoelde approval workflows bij 58 orocent van de organisaties meer vertraging dan dat ze incidenten voorkomen. Het risico? Gebruikers die uit frustratie workarounds zoeken, wat de schaduw-IT en de kwetsbaarheid voor credential-aanvallen juist weer vergroot.