Jordy HerberWaar organisaties vaak security “van binnenuit” bekijken — hun eigen omgeving, hun eigen vulnerabilities, hun eigen risico’s — dwingt dit hoofdstuk je juist om het perspectief te verbreden naar een globale attack chain
Het laat zien:
- welke landen het zwaarst getroffen worden
- welke sectoren structureel doelwit zijn
- welke aanvalsmethoden het meest effectief zijn
- welke aanvallen toenemen en welke verdwijnen
- welke patronen Microsoft wereldwijd detecteert
En vooral: Het laat zien waarom de meeste aanvallen geen toeval zijn, maar voorspelbaar gedrag binnen een volwassen cybercrime-industrie.
In deze blog ontleden we de statistieken uit p9–13, combineren we deze met praktijkobservaties vanuit Microsoft Security signalen, en mappen we ze naar:
- Microsoft Defender
- Sentinel
- Entra ID protection
- Purview
- Defender for Cloud
- Zero Trust governance
Laten we beginnen bij de geografische kaart die Microsoft presenteert.
🌍 1. De wereldwijde geografie van cyberaanvallen (p10)
Op pagina 10 toont Microsoft een heatmap die de intensiteit van aanvallen weergeeft per land. De topregio’s die structureel het zwaarst worden getroffen:
- Verenigde Staten
- Verenigd Koninkrijk
- Israël
- Duitsland
- Canada
- Japan
Waarom juist deze landen?
1.1 Economische relevantie
Deze landen vertegenwoordigen een groot deel van de digitale wereldwijde infrastructuur en zakelijke dienstverlening. Hoe groter de digitale afhankelijkheid, hoe groter het aanvalsvlak.
1.2 Politieke en geopolitieke doelwitten
Nation-state actoren richten zich op landen die strategische belangen vertegenwoordigen in defensie, energietransitie, technologie en buitenlands beleid.
1.3 Cloud-adoptie is hoger
Meer cloud → meer identity-based access → meer opportunistische aanvallen.
1.4 Meer incident reporting
Landen als de VS, UK en Duitsland hebben wettelijke meldplichten, waardoor zichtbaarheid hoger is.
🏭 2. Sectoren die het zwaarst getroffen worden (p11)
Op pagina 11 staat een grafiek die vijf sectoren uitlicht die structureel doelwit zijn. De topsectoren:
| Sector | Waarom aangevallen |
| IT & Software | Supply-chain potentieel, hoge privileges, toegang tot andere klanten |
| Government | Informatie, beleidsimpact, geopolitiek belang |
| Academia | Open netwerken, hoge identity exposure, waardevolle onderzoeksdata |
| Healthcare | Ransomware-impact is hoog, lage securitymaturity |
| Manufacturing | OT + supply-chain kwetsbaarheden |
Opvallend: Academia als grootste identity-target
Microsoft noemt expliciet dat universiteiten meer identity-attacks per capita zien dan elke andere sector.
Waarom?
- grote BYOD-populaties
- veel gastaccounts
- korte account lifecycle
- zwakke wachtwoordhygiëne
- technische openheid vanwege onderzoeksdoeleinden
Dit legt perfect bloot waarom identity governance cruciaal is.
🕵️♂️ 3. Hoe aanvallers binnenkomen: Initial Access (p12–13)
Dit is misschien wel de meest relevante grafiek voor securityteams. Op pagina’s 12 en 13 zien we:
📊 Top 4 oorzaken van succesvolle initial access:
| Aanvalsmethode | Percentage |
| Phishing | 28% |
| Unpatched Web Assets | 18% |
| Exposed Remote Services | 12% |
| Stolen Credentials | 11% |
In totaal vertegenwoordigen deze vier categorieën 69% van alle breaches.
🔐 3.1 Phishing (28%)
Phishing blijft de #1 vector — niet omdat het “slim” is, maar omdat het:
- goedkoop is
- makkelijk te automatiseren is
- wereldwijd schaalbaar is
- effectief blijft zonder MFA
Maar het rapport benadrukt vooral de opkomst van:
- AI-generated phishing (p52)
- Deepfake voice/social engineering (p33)
- ClickFix-aanvallen (p36), waarbij gebruikers zelf malicious code uitvoeren
Phishing is geen “phishingtactiek” meer — het is een geautomatiseerde marketingfunnel voor cybercrime.
🧱 3.2 Ongepatchte Web Assets (18%)
Hier zie je hoe belangrijk software hygiene is. Aanvallers scannen:
- webservers
- legacy workloads
- forgotten test environments
- shadow IT
- slecht geconfigureerde API’s
Wanneer er een patch uitkomt, duurt het soms maar uren voordat exploitkits beschikbaar zijn.
De meeste organisaties weten niet eens dat ze kwetsbaar zijn
Veel breaches worden veroorzaakt door:
- vergeten dev-servers
- oude versies van WordPress
- misconfiguraties in reverse proxies
- open storage buckets
🔓 3.3 Exposed Remote Services (12%)
Vooral:
- legacy RDP
- SSH met zwakke credentials
- open VNC
- VPN appliances met kwetsbaarheden
Deze categorie is drastisch afgenomen door de komst van Zero Trust, maar blijft relevant in hybride omgevingen.
🔑 3.4 Gestolen Credentials (11%)
Sterk verweven met:
- infostealers (p25)
- access brokers (p19–20)
- malvertising (p13)
- password reuse
Aanvallers hoeven niet te hacken — ze kopen toegang via marktplaatsen.
🧪 4. Case Study: Een ransomware-aanval die stopt binnen 68 seconden (p12)
Op pagina 12 deelt Microsoft een concrete IR-case.
De tijdlijn:
- 00:00 → Initial compromise
- 00:08 → Privilege escalation
- 00:45 → Lateral movement
- 01:08 → Ransomware attempt wordt gedetecteerd en gestopt
Wat dit laat zien:
- aanvallen escaleren sneller dan menselijke reactie
- SOC’s moeten geautomatiseerd reageren
- identity + endpoint + cloud signals moeten realtime worden gekoppeld
- XDR + SIEM is niet optioneel
De les: “If you rely on humans for detection, you are already too late.”
🧩 5. Wat leert dit ons over onze security-architectuur?
De cijfers uit het MDDR overlappen in één duidelijke richting:
📌 5.1 Identity is het primaire aanvalsoppervlak
Dit is consistent door het hele rapport heen (p16–18).
Organisaties moeten:
- MFA verplicht stellen
- Risk-based CA gebruiken
- Workload identities monitoren
- Token theft detecteren
Waar herkennen we dit? Precies: Entra ID Protection + Defender XDR.
📌 5.2 Cloud assets zijn het nieuwe hart van de aanval
Aanvallen op cloud workloads zijn met 87% gestegen (p41).
Hierdoor moet cloud posture management prioriteit krijgen.
📌 5.3 Social engineering is geautomatiseerd en geschaald
AI speelt een centrale rol in:
- phishing
- reconnaissance
- impersonation
- manipulation
Geen security awareness training gaat dit oplossen — het moet in je platform zitten.
📌 5.4 Ransomware is sneller en veelzijdiger
Ransomware is niet meer alleen een endpoint-kwestie.
Het raakt nu:
- cloud workloads
- identity
- collaboration
- backups
Je verdediging moet multi-layered zijn:
- Defender XDR
- Purview DLP
- Defender for Cloud
- Sentinel automation
🛠 6. Wat moet je als organisatie met deze inzichten doen?
Hier is een operationele shortlist gebaseerd op p9–13.
✔ MFA en Identity Governance first
De basis:
- Require MFA for all users
- Disable legacy authentication
- Require compliant devices
- Admin isolation (PAWs)
✔ Cloud asset discovery
Gebruik Defender for Cloud om:
- workloads te inventariseren
- posture-gaps te detecteren
- misconfiguraties automatisch te blokkeren
✔ Hardening van collaboration workloads
Teams, SharePoint en OneDrive zijn directe datadoelen:
- default links → Specific People
- domain allow/block lists
- external sharing restricties
- DLP voor SPO/OD/Teams
✔ Endpoint protection + detection
ASR rules, endpoint posture, XDR-correlatie.
✔ Automatisering in Sentinel
Zonder automation is 68 seconden onmogelijk te winnen.
✔ Real-time vulnerability management
Gebruik Defender Vulnerability Management om exploitables binnen 48 uur te dichten.
🧠 Conclusie
Het dreigingslandschap uit het Microsoft Digital Defense Report 2025 laat zien dat:
- Aanvallen massaal, geautomatiseerd en wereldwijd schaalbaar zijn
- De grootste dreiging identity en cloud zijn
- De snelste aanvallen volledig geautomatiseerd zijn (sub-90 seconds)
- Cloud workloads en credentials de nieuwe kroonjuwelen zijn
- Organisaties vaak worden aangevallen via voorspelbare patronen
Het gevaar is niet dat aanvallers slimmer zijn geworden. Het gevaar is dat aanvallen efficiënter, schaalbaarder en sneller zijn geworden dan onze verdedigingsprocessen. En daarom vormt dit dreigingshoofdstuk de perfecte opmaat naar Blog 4, waarin we kijken naar het echte slagveld