Zwakke plekken in hybride identiteitsomgevingen dichten uitdaging voor veel bedrijven

Dit blijkt uit het 2025 Purple Knight Report van Semperis, een leverancier van AI-gedreven identiteitsbeveiliging en cyberweerbaarheid. Opvallend is dat de gemiddelde score - 61 op 100- 11 punten lager ligt dan de gemiddelde score van 72 in het rapport van 2023. Gebruikers rapporteerden echter een gemiddelde verbetering van 21 punten—en tot wel 61 punten—na het toepassen van de herstelrichtlijnen van Purple Knight, ontwikkeld door de identiteitsbeveiligingsexperts van Semperis.

De gemiddelde Purple Knight-scores waren het hoogst bij de grootste organisaties (meer dan 10.000 werknemers), met een gemiddelde score van 73, en bij de kleinste bedrijven (0–500 werknemers), met een gemiddelde score van 68 op 100. “De grootste organisaties beschikken over meer middelen, terwijl de kleinste organisaties vaak minder complexe omgevingen hebben om te beveiligen", licht Sean Deuby, Principal Technologist Americas bij Semperis, toe. 

Uitdagingen bij middelgrote organisaties

Organisaties met tussen de 2.001 en 5.000 werknemers scoorden gemiddeld 52, het laagste van alle groepen, wat de uitdaging benadrukt waarmee middelgrote organisaties worden geconfronteerd: complexe systemen en beperkte middelen om AD-beveiligingsproblemen aan te pakken. “Bij middelgrote bedrijven moeten IT-professionals alles doen. Je hebt geen fulltime AD-specialisten,” zei Deuby.

Van de zes categorieën kwetsbaarheden die in Purple Knight zijn opgenomen, waren de scores het laagst in de categorie AD Infrastructure, gevolgd door Account Security, Kerberos, Group Policy, Entra ID en Okta.

'Hybride identiteitsomgevingen zijn complex'

“Hybride identiteitsomgevingen zijn complex, en kwaadwillenden weten dat. Over het algemeen kunnen organisaties niet beschermen wat ze niet kunnen zien. De lagere gemiddelde scores in het 2025 Purple Knight Report onderstrepen hoe cruciaal het is voor bedrijven om proactief kwetsbaarheden in hun hybride identiteitsomgevingen te beoordelen, zodat ze beveiligingslekken kunnen dichten voordat aanvallers hiervan misbruik maken,” aldus Deuby. “Purple Knight geeft organisaties van elke omvang de mogelijkheid om kwetsbaarheden te identificeren en te verhelpen voordat risico’s leiden tot schadelijke verliezen door compromittering.”

Binnen sectoren scoorde de overheid het laagst met een gemiddelde score van 46, gevolgd door retail met 51 op 100 en transport en onderwijs met 57 op 100. De gezondheidszorg scoorde gemiddeld 66, nog steeds laag, maar het hoogste van alle sectoren.

'Meerjarig project gestart'

Hoewel veel gebruikers teleurgesteld waren over hun aanvankelijk lage scores, pasten ze de herstelrichtlijnen van Purple Knight toe—ontwikkeld door Semperis AD-beveiligingsexperts—om hun beveiligingsscore gemiddeld met 21 punten te verbeteren ten opzichte van hun initiële score.

“Mijn bedrijf is een meerjarig project gestart om de omgeving te reorganiseren, die momenteel bestaat uit ongeveer 30 AD-forests. Purple Knight wordt gebruikt om die omgevingen te scannen en helpt ons te begrijpen wat er mogelijk misgaat in onze permissiestructuur of welke open beveiligingslekken we moeten oplossen", zegt Bob G., teamleider infrastructuur bij een wereldwijd scheepvaartbedrijf.

Jose G., global administrator bij een IT-dienstverlener: “We hebben een aanval meegemaakt waarbij sommige van onze systemen zijn gecompromitteerd, en we dachten dat we behoorlijk veilig waren qua Active Directory. We hebben veel geleerd van dat incident. Uit nieuwsgierigheid heb ik Purple Knight op de omgeving uitgevoerd, en ik ontdekte een hele nieuwe wereld aan zaken die we moesten oplossen.”

Eric M., senior identity engineer bij een wereldwijd printbedrijf: “Ik doe mijn werk best goed. En we zijn niet gecompromitteerd. Maar dan zie je een D-min op je rapport en denk je: wow. Er zijn dingen die we beter kunnen doen."