Cyberaanvallen slagen meestal niet door nieuwe of innovatieve technieken, maar door achterstallig onderhoud en gebrekkige basismaatregelen. Dat stelt Hunt & Hackett in zijn 2026 Trend Report, gebaseerd op 54.400 SOC- en incidentresponse-analyses uit 2025. Zwakke identiteitsbeveiliging, niet-gepatchte systemen en beperkte monitoring geven aanvallers structureel ruimte.
Uit het rapport komt naar voren dat aanvallers vooral misbruik maken van bekende kwetsbaarheden. Gestolen inloggegevens, openstaande patches in internetgerichte systemen en achterstallig IT-onderhoud vormen de belangrijkste toegangsroutes. De gebruikte technieken zijn volgens het bedrijf al geruime tijd gedocumenteerd en met passende controles detecteerbaar.
Toch lukt het veel organisaties niet om die controles structureel en op schaal in te richten. In complexe IT- en OT-omgevingen stapelen kwetsbaarheden zich in de loop van de tijd op. Legacysystemen, ingebedde componenten en onderlinge afhankelijkheden maken het lastig om consistent onderhoud en patchbeheer door te voeren. Omdat systemen gelaagd met elkaar verbonden zijn, kan een aanpassing in de ene laag gevolgen hebben voor andere onderdelen. Aanvallers maken volgens het rapport gebruik van die vertragingen en hiaten.
Complexiteit
Tegelijk groeit de complexiteit van het dreigingslandschap. Naast traditionele aanvalspaden verschuift de aandacht naar identiteitsgerichte aanvallen en het gebruik van generatieve AI. Dat vergroot het aanvalsoppervlak, terwijl veel basismaatregelen nog niet op orde zijn. Het rapport schetst daarmee een spanningsveld tussen toenemende dreiging en achterblijvende uitvoeringskracht.
Van alle incidentresponse-trajecten die het bedrijf in 2025 behandelde, had 71 procent een financieel motief. Ransomware kwam het vaakst voor met 43 procent, gevolgd door e-mailfraude met 29 procent. Toegang werd in veel gevallen verkregen via kwetsbare remote services, edgeapparaten of gestolen inloggegevens.
Opvallend is dat in 86 procent van de onderzochte zaken onvolledige logging en monitoring de detectie bemoeilijkten. Ontbrekende auditlogs, beperkte logretentie of systemen buiten het securitybereik zorgden ervoor dat aanvallers langere tijd onopgemerkt actief konden blijven. Zonder volledig zicht op wat er binnen de omgeving gebeurt, loopt ook incidentonderzoek vertraging op.
Aanvalsoppervlak
Cloudomgevingen, direct aan internet gekoppelde apparaten en afhankelijkheden van leveranciers vergroten volgens het rapport de blootstelling verder. Succesvolle aanvallen komen vooral door het ontbreken van samenhang tussen preventie, zicht en regie. Nieuwe, geavanceerde aanvalstechnieken spelen vooralsnog een kleinere rol dan vaak wordt verondersteld.
Volgens het bedrijf ligt het probleem niet bij kennis of bewustzijn. Veel organisaties investeren in securitytools, maar de randvoorwaarden voor effectief gebruik ontbreken geregeld. Governance, structureel onderhoud en continue controle krijgen in de praktijk minder aandacht dan de aanschaf van nieuwe oplossingen. Daarmee ontstaat een situatie waarin tooling aanwezig is, maar de basisvoorwaarden voor preventie, detectie en respons onvoldoende zijn ingevuld.
Het rapport past in een bredere ontwikkeling waarin regelgeving en compliance-eisen toenemen, terwijl operationele weerbaarheid achterblijft. De cijfers uit 54.400 analyses laten zien dat bekende aanvalstechnieken in combinatie met uitvoeringsproblemen nog altijd voldoende zijn om grote impact te veroorzaken.
