Uit het Unit 42 Global Incident Response Report 2026 van Palo Alto Networks blijkt dat cyberaanvallen sneller en complexer worden. AI, zwakke plekken in identiteitsbeheer en complexe IT-omgevingen spelen volgens het bedrijf een centrale rol bij datalekken. Het aanvalstempo is in een jaar tijd verviervoudigd.
Palo Alto Networks heeft het Unit 42 Global Incident Response Report 2026 gepubliceerd. Het rapport is gebaseerd op een analyse van meer dan 750 cyberincidenten met grote impact. Volgens de onderzoekers zetten aanvallers AI in gedurende de volledige aanvalsketen, waardoor de tijd tussen eerste toegang en data-exfiltratie bij de snelste aanvallen is teruggebracht tot 72 minuten. Dat betekent een verviervoudiging van het tempo ten opzichte van een jaar eerder.
Uit het onderzoek blijkt dat complexiteit binnen IT-omgevingen een belangrijke factor is. In 89 procent van de onderzochte incidenten werden zwakke plekken in identiteitsbeheer misbruikt. Daarnaast strekte 87 procent van de aanvallen zich uit over meerdere aanvalsvlakken, waaronder endpoints, cloudomgevingen, SaaS-applicaties en identiteitssystemen. In enkele gevallen opereerden aanvallers gelijktijdig op tien verschillende fronten.
Identiteitsgerelateerde technieken vormen in 65 procent van de gevallen het startpunt van een aanval. Daarbij gaat het onder meer om social engineering en het misbruiken van inloggegevens. Kwetsbaarheden liggen aan de basis van 22 procent van de aanvallen. De browser speelt volgens het rapport in 48 procent van de incidenten een centrale rol, waarbij reguliere websessies worden ingezet om inloggegevens te verkrijgen en beveiligingsmaatregelen te omzeilen.
Het aantal aanvallen via externe SaaS-applicaties is sinds 2022 met een factor 3,8 toegenomen en vertegenwoordigt 23 procent van het totaal. Aanvallers maken daarbij gebruik van onder meer OAuth-tokens en API-sleutels om zich binnen netwerken te verplaatsen.
Volgens de onderzoekers is 90 procent van de datalekken terug te voeren op misconfiguraties of beveiligingslekken. Complexiteit, beperkte zichtbaarheid en een overmaat aan vertrouwen dragen volgens het bedrijf structureel bij aan het succes van aanvallen.
Het rapport adviseert om beveiliging integraal te organiseren in één geïntegreerde platformaanpak. Daarbij noemt het bedrijf onder meer het versterken van security operations met AI en automatisering, het integreren van beveiliging in software- en AI-ontwikkelprocessen, het centraliseren van identiteitsbeheer en het toepassen van een zero trust-benadering waarbij interacties continu worden geverifieerd. Volgens het bedrijf is dat nodig om de steeds kortere aanvalscyclus effectief te kunnen beheersen.
