Arctic Wolf: Aanvallers opereren sneller en zetten in op identiteiten en timing

Dit blijkt uit het ‘2025 Security Operations Report’, waarvoor meer dan 330 biljoen securityobservaties die zijn verzameld via het Arctic Wolf Aurora Platform zijn geanalyseerd. Het rapport laat zien hoe aanvallers sneller opereren en kwetsbaarheden in identiteiten en timing benutten om beveiligingsmaatregelen te omzeilen.

Ondanks grote investeringen in cybersecurity hebben organisaties moeite om het tempo en de complexiteit van huidige dreigingen bij te benen. Door wereldwijde telemetrie te analyseren, biedt het onderzochte platform inzichten die voor individuele organisaties vaak ontoegankelijk zijn. Gecombineerd met data uit een commercieel beveiligingscentrum geeft het rapport een beeld van hoe aanvallers hun methoden aanpassen en welke operationele druk verdedigers ervaren. Deze inzichten helpen beveiligingsverantwoordelijken – onafhankelijk van hun leverancier – om hun strategieën te evalueren, prioriteiten te stellen en weerbaarheid tegen aanvallen te vergroten.

Een waarschuwing per 138 miljoen gebeurtenissen

Een aanzienlijk deel van de beveiligingsincidenten doet zich voor buiten kantoortijden: 51% van alle waarschuwingen viel buiten reguliere werktijden, waarvan 15% in het weekend. Door automatisering en filtering werd het aantal ruwe observaties (330 biljoen) teruggebracht tot 8,6 miljoen relevante meldingen – een reductie van meer dan 99,99999%, wat neerkomt op één waarschuwing per 138 miljoen gebeurtenissen.

De inzet van kunstmatige intelligentie en menselijke expertise versnelt de afhandeling van incidenten. Zo triageerde een AI-systeem 10% van alle meldingen, waardoor ruim 860.000 handmatige controles konden worden voorkomen. Hierdoor daalde de gemiddelde tijd om een ticket te openen (Mean Time to Ticket) in twee jaar met 37%.

Onderwijs, zorg en maakindustrie zijn het vaakst doelwit

Bepaalde sectoren blijven vaker het doelwit van aanvallen, met name onderwijs, gezondheidszorg en de maakindustrie. Gemeenschappelijke risicofactoren in deze sectoren zijn verouderde infrastructuur, de aanwezigheid van waardevolle data en een lage tolerantie voor systeemuitval.

Recente grote aanvalscampagnes, zoals de kwetsbaarheden in Fortinet (‘Console Chaos’) en SonicWall (CVE-2024-40766), laten zien hoe aanvallers misbruik maken van identiteits- en VPN-lekken. Binnen 90 minuten weten zij privileges uit te breiden en onbeveiligde systemen te versleutelen.

'Overweldigende mix'

“Securityteams hebben tegenwoordig te maken met een overweldigende mix van aanvallen buiten werktijden, alert fatigue en steeds complexere dreigingen,” zegt Dan Schiappa, President Technology and Services bij Arctic Wolf. “Omdat wij wereldwijd actief zijn, zien we van dichtbij hoe aanvallers zich aanpassen en hoe verdedigers worstelen om bij te blijven. Met dit rapport delen we inzichten, zodat organisaties beter geïnformeerde beslissingen kunnen nemen, middelen effectiever kunnen inzetten en hun veerkracht kunnen opbouwen om toekomstige aanvallen het hoofd te kunnen bieden.”

Het volledige rapport bevat praktische aanbevelingen voor beveiligingsverantwoordelijken, met aandacht voor het filteren van meldingen, het verbeteren van zichtbaarheid, identiteitsbescherming en responsstrategieën. Het doel is de kloof tussen investeringen in cybersecurity en de daadwerkelijke effectiviteit daarvan te verkleinen. Het volledige rapport is hier beschikbaar.