Identity Under Attack: waarom identity-aanvallen in 2025 met 32% zijn gestegen

Posted by: Jordy Herber Posted on Posted in: , , ,

Als je maar één hoofdstuk uit het Microsoft Digital Defense Report 2025 écht moet onthouden, dan is het hoofdstuk op pagina 16–18.

Het is het hoofdstuk waarin Microsoft het onomwonden zegt: Identity is het primaire slagveld. Niet endpoints. Niet netwerken. Identiteit.

En daar is een reden voor. Identity is de toegangspoort tot:

  • je e-mail,
  • je cloud-apps,
  • je devices,
  • je servers,
  • je workloads,
  • je productieomgevingen,
  • je data.

Identity is de nieuwe perimeter…En aanvallers hebben dat allang door.

In deze blog pakken we de inzichten van p16–18 uit het MDDR, koppelen ze aan real-world SOC-scenario’s, mappen ze naar Microsoft Security-producten, en leggen we uit waarom identity in 2025 de dominante aanvalsvector is — én blijft.

🔍 1. Identity-aanvallen zijn met 32% gestegen in 2025 (p16)

Op pagina 16 staat letterlijk: “Identity-based attacks increased by 32% compared to the previous year.”

Dit is een gigantische stijging — en geen enkele andere aanvalscategorie in het rapport groeit zo hard.

Waarom?Omdat identity het goedkoopst, schaalbaarst, snelst en meest rendabel is voor aanvallers.

Samengevat:

Aanvallers zijn niet dommer geworden.
Aanvallen zijn efficiënter geworden.
En identity is de route van de minste weerstand.

🔢 2. 97% van alle identity-aanvallen komt vanuit Password Spray & Brute Force (p16)

Microsoft benoemt op p16: “97% of identity attacks are password spray or brute force.”
Dat betekent:

  • bijna alle identity-aanvallen zijn volledig geautomatiseerd
  • aanvallers hoeven niets te hacken
  • de aanvalskosten zijn vrijwel nihil
  • aanvallers gokken simpelweg wachtwoorden op schaal

Waarom werkt dit zó goed?

  1. MFA wordt nog steeds niet overal gebruikt
    Ondanks alle waarschuwingen.
  2. Gebruikers hergebruiken wachtwoorden
    En aanvallers weten dat.
  3. Password spray is stealthy
    Veel tenants hebben geen detectie voor “low & slow”.
  4. De aanvalsinfrastructuur is goedkoop
    Botnets-as-a-service kosten soms minder dan een Netflix-abonnement.
  5. Accounts zonder CA zijn een open poort
    Je hebt geen patch nodig als er geen regels zijn.

🧩 3. De aanval verschuift van “breken” naar “inloggen”

Een van de belangrijkste concepten uit het MDDR 2025 is dit: Aanvallers gebruiken legitieme toegangsmethoden om binnen te komen.

Op pagina 16 wordt dit uitgelegd als:

  • geen malware nodig
  • geen exploit nodig
  • geen kwetsbaarheid nodig
  • alleen credentials nodig

Je kunt niet tegen een wachtwoord patchen.

Dit maakt identity-based attacks:

  • stil
  • moeilijk te detecteren
  • volledig legitiem uitziend
  • enorm schaalbaar

Inclusief tenant-hopping en supply-chain door:

  • OAuth abuse
  • consent phishing
  • workload identity abuse

🔌 4. OAuth & workload identities — het nieuwe aanvalsterrein (p17)

Op pagina 17 gaat Microsoft dieper in op workload identity abuse. Dit is een van de meest onderschatte risico’s van 2025.

🔥 Waarom workload identities zo misbruikt worden:

  • Ze draaien op servers en applicaties die nooit MFA gebruiken
  • Ze hebben vaak permanente, te brede machtigingen
  • Ze worden niet gedraaid door mensen → dus niemand merkt misbruik direct op
  • Ze vallen buiten traditionele CA-policies
  • Ze worden vaak vergeten in audits of governance

Aanvallen via workload identities zijn extreem gevaarlijk omdat:

  • ze langdurige toegang geven
  • ze automatische toegang geven
  • ze toegang geven tot gevoelige API’s
  • ze supply-chain nested kunnen worden
  • ze detectie weten te omzeilen

Typische problemen:

  1. Service Principals met “Directory.ReadWrite.All”
  2. App Registrations die doorlopen na offboarding
  3. OAuth-apps met broad permissions
  4. Shadow IT-integraties
  5. Geen monitoring in Entra of Cloud Apps

Mapping naar Microsoft Security:

  • Defender for Cloud Apps → OAuth governance
  • Sentinel → anomalous app activity
  • Entra ID Protection → workload identity detection
  • Defender XDR → token theft

Werkload identities vormen een silent killer in veel Azure/M365-omgevingen.

🧪 5. Case Study uit het MDDR (p17) — Sign-Credential Theft

Op p17 beschrijft Microsoft een scenario waarin aanvallers een gestolen signing-key misbruiken.

Hoe werkt dit?

  • Token theft wordt steeds geavanceerder
  • JWT’s worden geanalyseerd op signing details
  • Foutieve key-stores worden gekraakt
  • Aanvallers kunnen toegang genereren zonder het wachtwoord

Wat dit betekent:

  • MFA is geen zilveren kogel
  • Identity governance moet cryptographic governance bevatten
  • Events moeten gemonitord worden op token-level

XDR en Sentinel zijn hierin onmisbaar.

🧨 6. De “slow password spray” trend (p18)

Een belangrijke observatie op p18: Aanvallers gaan steeds trager om onder de radar te blijven.

Traditionele password sprays:

  • doen 1000 pogingen in 10 minuten
  • vallen direct op in logs

Slow password sprays:

  • doen 1 poging per uur
  • roteren IP’s
  • targeten alleen accounts met hoge privileges
  • sluipen onder threshold-based detection

Microsoft noemt dit een opkomend patroon in 2025.

🧠 7. Waarom identity-aanvallen zo extreem schaalbaar zijn

Gebaseerd op alle bevindingen van p16–18 is er één conclusie mogelijk:

Identity-aanvallen zijn aantrekkelijk omdat ze zichzelf betalen.

Identity attacks zijn:

  • goedkoop
  • snel
  • moeilijk te detecteren
  • cloud-native
  • stealthy
  • volledig te automatiseren

En de opbrengst is:

  • toegang
  • data
  • laterale beweging
  • persistence
  • ransomware entrypoints

Identity is een jackpot voor aanvallers.

🛡 8. Wat moet je als organisatie doen met deze inzichten?

Hier is een zero-bullshit lijst gebaseerd op p16–18.

1. MFA verplicht voor iedereen

Niet optioneel.
Niet alleen admins.
Iedereen.

✔ 2. Block legacy authentication

90% van credential abuse begint via legacy endpoints.

✔ 3. Enforce Conditional Access

De minimale set:

  • Require MFA
  • Require compliant device
  • Block risky sign-ins
  • Require approved app
  • Sign-in risk policy
  • User risk policy
  • Token token provenance checks

✔ 4. Bescherm Workload Identities

Kernmaatregelen:

  • Minimal permissions
  • Rotate secrets
  • Detect anomalous app behavior
  • Block unknown consent
  • Monitor consent grants

✔ 5. Bescherm OAuth-integraties

Zet MCAS / Defender for Cloud Apps in om:

  • illegale OAuth-apps te blokkeren
  • high-risk permissions te identificeren
  • token-overuse te detecteren

✔ 6. Zet Defender XDR Identity in

Voor detectie van:

  • token theft
  • pass-the-cookie
  • pass-the-hash
  • anomalous sign-in spikes
  • privilege abuse

✔ 7. Use Sentinel + UEBA

Voor:

  • identity behavioral baselines
  • cross-signal correlatie
  • privilege escalation detectie

🧩 9. Mapping naar Microsoft Security producten

Een overzichtelijke tabel:

ThreatProduct
Password SprayEntra ID Protection / Sentinel
Workload Identity AbuseMCAS / Defender for Cloud Apps
OAuth MisuseMCAS OAuth App Governance
Token TheftDefender XDR Identity
Persistent AccessEntra PIM
Initial Access DetectionDefender XDR + Sentinel
Privilege EscalationSentinel UEBA
Cross-Tenant AbuseEntra External ID

🧠 Conclusie

Het hoofdstuk over identity in het MDDR 2025 bevestigt wat security-experts al langer roepen: De strijd om je organisatie wordt niet meer uitgevochten op de firewall.
De strijd wordt uitgevochten op je loginpagina, token endpoint, en app registration governance.

De aanval verschuift van code → credentials.
Van malware → mal-use.
Van exploit → login.

En de verdediging moet verschuiven van:

  • endpoint-only → identity-first
  • reactief → risk-based
  • policy → policy + monitoring
  • mens → mens + AI + automation

Identity is niet alleen een gebruikersdirectory.
Identity is niet alleen een onderdeel van je security-stack.
Identity is je security-stack.

Leave a Reply

Your email address will not be published. Required fields are marked *