Identiteitsaanvallen stijgen met 178%, terwijl oude kwetsbaarheden massaal worden misbruikt

Het Cisco Talos 2025 Year in Review rapport laat zien dat het dreigingslandschap in hoog tempo verandert en een opvallende verschuiving in aanvalstrategieën zichtbaar wordt. Ten eerste ziet Cisco Talos een brede exploitatie van kwetsbaarheden, variërend van gloednieuwe lekken tot verouderde problemen van meer dan tien jaar oud. Daarnaast ligt de focus van cybercriminelen steeds vaker op de ‘architectuur van vertrouwen’, oftewel identiteit en authenticatie. Tot slot maken zij op grote schaal misbruik van veelgebruikte, gecentraliseerde frameworks om de impact van hun aanvallen te maximaliseren.

“Cybercriminelen handelen in een razend tempo om kwetsbaarheden te misbruiken, vaak binnen enkele uren. Dit laat securityteams vrijwel geen tijd om te reageren tussen de bekendmaking van een lek en grootschalig misbruik,” zegt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Het is een gevaarlijke race tegen de klok. We zien een afhankelijkheid van verouderde, end-of-life infrastructuur die grenst aan roekeloosheid. Het is in feite een open deur voor cybercriminelen. Als je dit combineert met de stijging van 178% in identiteitsgebaseerde aanvallen, wordt duidelijk dat het oude, reactieve patchmodel dood is. De noodzaak voor organisaties om een proactieve, identiteitscentrische beveiligingsstrategie te hanteren is groter dan ooit.”

Identiteit als het nieuwe aanvalsoppervlak
In 2025 richtten cybercriminelen zich specifiek op de systemen die authenticatie en autorisatie beheren. Door inloggegevens te stelen, konden cybercriminelen ongemerkt hun bereik vergroten via interne phishing en misbruik van identiteitscontroles. Deze controle over identiteit gaf cybercriminelen in feite de macht over de gehele omgeving, wat hen in staat stelde om zich persistent en lateraal door het netwerk te bewegen.

Exploitatie over het gehele spectrum van kwetsbaarheden
Het rapport signaleert een scherp contrast in exploitatiegedrag, terwijl cybercriminelen snel inspelen op nieuwe, veelbesproken kwetsbaarheden. Denk hierbij aan React2Shell, dat binnen drie weken na bekendmaking de meest aangevallen kwetsbaarheid van het jaar werd. Bovendien blijven cybercriminelen ook steevast kwetsbaarheden misbruiken die al meer dan tien jaar oud zijn. Bijna 40% van de meest aangevallen kwetsbaarheden in 2025 trof systemen die niet langer worden ondersteund, waardoor organisaties kwetsbaar blijven met infrastructuur die geen securityupdates meer ontvangt.

Belangrijkste bevindingen van Cisco Talos:
• Identiteit is het primaire doelwit: Technieken voor apparaatcompromittering gericht op MFA en identiteitsinfrastructuur stegen met 178%.
• Aanhoudend risico van verouderde systemen: 32% van de top 100 meest aangevallen kwetsbaarheden was ouder dan tien jaar.
• Blootstelling door end-of-life systemen: Bijna 40% van de meest aangevallen kwetsbaarheden betreft systemen die geen securitypatches meer ontvangen.
• Risico van gedeelde frameworks: Ongeveer 25% van de top 100 aangevallen kwetsbaarheden trof veelgebruikte frameworks en libraries, waardoor cybercriminelen één enkel lek konden inzetten in meerdere sectoren tegelijk.
• Geïndustrialiseerde ransomware: Qilin was in 2025 de meest waargenomen ransomware-variant, met gemiddeld 40 slachtoffers per maand. De productie branche blijft de meest aangevallen sector.

Aanbevelingen
Heijdra benadrukt dat securityteams verder moeten kijken dan reactieve maatregelen en zich moeten concentreren op de basisprincipes die cybercriminelen daadwerkelijk stoppen: “Om een veerkrachtige verdediging op te bouwen, moeten organisaties prioriteit geven aan drie zaken. Ze moeten nieuwe kwetsbaarheden snel patchen om de steeds korter wordende exploitatietijd voor te zijn. Daarnaast is het versterken van de identiteitsinfrastructuur cruciaal, bijvoorbeeld door phishing-bestendige multi-factor authentication (MFA) in te voeren. Tot slot is het noodzakelijk end-of-life systemen agressief uit te faseren, omdat deze anders fungeren als permanente achterdeuren voor cybercriminelen.”

Door zich op deze drie pijlers te richten, kunnen security-leiders de cyclus van constante reactie doorbreken en een robuustere, proactieve architectuur bouwen die cybercriminelen de middelen ontzegt om zich lateraal door het netwerk te bewegen.