Van perimeterbeveiliging naar identiteit als beveiliging

Van perimeterbeveiliging naar identiteit als beveiliging.

Door Danny Bradbury • 15 januari 2026

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is een modewoord, maar wel een nuttig woord. In de kern draait het om een fundamentele verschuiving in de focus van beveiliging, weg van perimeterbeveiliging.

Zero trust is een term die al wat ouder is en rond 2010 in het jargon van de branche opdook, maar de principes ervan gaan nog verder terug, naar het Jericho Forum, een groep senior cybersecurity-managers.

De leden van Jericho bedachten de term 'deperimeterisering' voor het eerst rond 2004. Hiermee werd erkend dat een 'ijzeren ring' van bescherming rond het bedrijfsnetwerk niet langer volstond. Naarmate aannemers en andere zakenpartners meer toegang kregen tot het netwerk, vervaagde het onderscheid tussen 'binnen' en 'buiten' steeds meer. Wat ooit een kasteel met een gracht was, was uitgegroeid tot een stad met meerdere poorten en een grote hoeveelheid mensen die er vrij in en uit stroomden.

Deperimeterisering en de opvolger daarvan, zero trust, verlegden de focus naar de bescherming van individuele assets binnen het netwerk. De beste manier om dat te doen is door continu te authenticeren wie toegang heeft tot die assets en wat ze ermee mogen doen. Dat betekende dat identiteit de nieuwe vorm van beveiliging werd.

Wie die overstap niet maakt, loopt het risico op meer datalekken. ISMS-rapport over de stand van zaken op het gebied van informatiebeveiliging 2025 Er wordt zelfs een cijfer aan gegeven: het aantal inbreuken op authenticatiegegevens is het afgelopen jaar vertienvoudigd, van 2% naar 20% van de incidenten. Het datalek bij Verizon bevestigt dat inloggegevens nog steeds de belangrijkste aanvalsvector zijn.

Waarom diploma's en certificaten de sleutel tot succes zijn geworden

Waarom zijn inloggegevens de sleutel tot bedrijfssystemen geworden? Dat heeft deels te maken met de evolutie van de netwerkrand. Het is tegenwoordig zelfs moeilijk om de netwerkrand nog te definiëren, omdat een groot deel ervan verspreid is over verschillende regionale datacenters en clouddiensten. Ook hybride werken speelde een rol, omdat het de behoefte aan toegang tot het netwerk op afstand versnelde.

Een andere drijvende kracht is de geïndustrialiseerde economie van infostealers. Deze malware stal alleen al in 2024 2.1 miljard inloggegevens. volgens GoogleZodra een infostealer-campagne inloggegevens bemachtigt, zijn deze gemakkelijk te verkopen op het dark web, waarna credential stuffing-aanvallers ze kunnen gebruiken om overal op het internet toegang te krijgen tot digitale systemen.

Als ze een succesvolle aanval uitvoeren en weer een account ontgrendelen, kunnen aanvallers er zeker van zijn dat ze ruim de tijd hebben om dat gehackte account te misbruiken en te ontsnappen. 292 dagen gemiddeldVolgens IBM duurt het opsporen van inbreuken op inloggegevens ook het langst.

Het aantal niet-menselijke gebruikers is nu groter dan het aantal menselijke gebruikers.

Er is nog een reden waarom identiteit steeds belangrijker is geworden als onderdeel van beveiliging: niet-menselijke identiteiten. Vroeger waren de belangrijkste gebruikers van computerbronnen binnen bedrijven mensen. Tegenwoordig, dankzij microservices, API's en een groeiende generatie AI-diensten, gebruiken niet-menselijke gebruikers deze resources steeds vaker. in de minderheid ten opzichte van de mensen, 144:1 in bedrijven in 2025. Dat was een stijging van 56% ten opzichte van het voorgaande jaar.

De groei van AI-agenten is hier bijzonder relevant, omdat deze diensten steeds autonomer worden. Naarmate organisaties meer vertrouwen krijgen in AI-automatisering, zullen ze deze agenten waarschijnlijk meer verantwoordelijkheid geven. Het percentage van dergelijke diensten met bevoorrechte toegang zal daardoor toenemen.

Identiteit is fundamenteel

Deze trends verklaren waarom compliance-frameworks zich richten op identiteit. ISO 27001:2022 Bijlage A 5.15-5.18 codificeert identiteitscontroles als onderdeel van een bredere reeks organisatorische maatregelen die toegangscontrole, identiteitsbeheer, authenticatiegegevens en toegangsrechten omvatten.

Robuuste beveiligingskaders hebben één ding gemeen: elke identiteit moet uniek zijn, het principe van minimale bevoegdheden moet de norm zijn en traceerbaar. Meervoudige authenticatie (MFA) moet verplicht zijn voor toegang met bevoorrechte toegang.

De focus van deze raamwerken op identiteit is actueel, aangezien toezichthouders steeds meer aandacht aan dit vraagstuk besteden. ENISA beschrijft MFA is een slimme manier om aan te tonen dat u voldoet aan NIS 2. Bedrijven moeten hier rekening mee houden, aangezien deze EU-verordening boetes tot € 10 miljoen of 2% van de wereldwijde omzet met zich meebrengt voor organisaties die zich er niet aan houden.

Overstappen naar een op identiteit gerichte beveiligingsaanpak

Hoe kunnen bedrijven een op identiteit gebaseerde beveiligingsstrategie hanteren die onafhankelijk is van vage beveiligingsgrenzen?

Er zijn concrete componenten die ten grondslag liggen aan zero trust. Sterk identiteits- en toegangsbeheer is er één van, waarbij ervoor wordt gezorgd dat elke gebruiker, service en machine uniek wordt geïdentificeerd en continu wordt geverifieerd.

MFA is een duidelijke manier om accountkaping te voorkomen, maar het is niet zonder risico's. MFA-moeheid is een reëel probleem, terwijl proxy's ook gebruikt kunnen worden om MFA-sessies te onderscheppen en infostealers sessietokens kunnen stelen. Tokendiefstal kan sommige MFA-systemen volledig omzeilen. In 2024 zal Microsoft 147,000 token-replay-aanvallen gedetecteerd, een stijging van 111% ten opzichte van het voorgaande jaar.

Wachtwoordloze authenticatie met behulp van passkeys is een andere manier om te voorkomen dat mensen slachtoffer worden van phishingaanvallen. Het kan ook een einde maken aan gedragingen die eindgebruikers moeilijk kunnen opgeven om hun werk te kunnen doen, zoals het delen van wachtwoorden voor gemakkelijke toegang.

Deze veranderingen lijken misschien een ontmoedigende onderneming voor veel organisaties, vooral voor organisaties die hun IT-infrastructuur in de loop der tijd hebben opgebouwd uit meerdere systemen, door overnames, gefragmenteerde teams en strategische technologische veranderingen. Maar ze kunnen het zichzelf gemakkelijker maken door te beginnen met een aantal belangrijke principes.

Implementeer de beheersmaatregelen van ISO 27001 Annex A 5.15-5.18 als basis. Deze zullen u begeleiden bij de implementatie van best practices voor toegangsbeleid, identiteitslevenscyclusbeheer en authenticatiestandaarden. Een dergelijk raamwerk biedt u een solide basis voor governance door middel van maatregelen zoals regelmatige toegangscontroles.

Stem ermee in om niet-menselijke identiteiten met dezelfde nauwkeurigheid te inventariseren als werknemers. Voer een analyse uit om te bepalen wat er nodig is om alle serviceaccounts en hun TLS-certificaten of API-sleutels volledig in kaart te brengen.

Uiteindelijk is het de bedoeling te accepteren dat identiteitsbeveiliging nu een fundamenteel onderdeel is van beveiligingsbeheer. Je kunt immers niet beschermen wat je niet kunt authenticeren.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 5 februari 2026

Waarom toezichthouders en investeerders verwachten dat bedrijven een drievoudig risico aanpakken

Organisaties maken zich zorgen over beveiligings- en privacyrisico's. En de laatste tijd besteden ze ook steeds meer aandacht aan de risico's van AI. Maar hoe vaak denken ze aan al deze aspecten...?

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury