Connect with us

Boven het menselijke: Agente AI en niet-menselijke identiteiten beveiligen in een wereld die wordt aangestuurd door inbreuken

Thought leaders

Boven het menselijke: Agente AI en niet-menselijke identiteiten beveiligen in een wereld die wordt aangestuurd door inbreuken

mm mm
Published
Updated

Als je de afgelopen 18 maanden in de buurt van een enterprise SOC bent geweest, heb je het gezien. De waarschuwingen die niet overeenkomen met een persoon. De referenties die behoren tot “iets”, niet “iemand”. De automatisering die sneller werkt dan je IR-playbook kan bijhouden.

En onlangs is het niet alleen ruis, het is de oorzaak van de grootste koppen in onze branche. Van de Victoria’s Secret-cyberincident die de verkoop verstoorde en een collectieve actie tot gevolg had, tot multi-tenant cloud-compromissen die gevoelige gegevens blootlegden bij meerdere klanten, een groeiend aantal inbreuken vindt nu zijn oorsprong in identiteiten die we niet kunnen zien, niet volgen of nauwelijks begrijpen.

De opkomst van agente AI, autonome systemen die kunnen handelen over applicaties, API’s en infrastructuur, is gebotst met de explosie van niet-menselijke identiteiten (NHI’s), waaronder service-accounts, bots, API-sleutels en machine-referenties. Samen hebben ze een nieuwe aanvalsvlak gecreëerd dat sneller uitbreidt dan de meeste organisaties kunnen beveiligen.

Wat we bedoelen met “Agente AI”

Agente AI verwijst naar AI-“agenten” die doelen kunnen nemen en autonoom multi-stap-taken kunnen uitvoeren, vaak over meerdere systemen, zonder menselijke toezicht.

  • Kan API’s aanroepen, databases bijwerken of workflows activeren.

  • Werkt op machinesnelheid – seconden, niet minuten.

  • Risico’s: Prompt-injectie, vergiftigde trainingsgegevens, gestolen referenties.

De omvang waar we mee te maken hebben

Machine-identiteiten zijn al met al meer dan menselijke identiteiten in de meeste ondernemingen, in sommige gevallen met 20:1 of meer. Tegen 2026 zal dit ratio bijna verdubbelen. Deze NHI’s zitten in uw cloud-werkbelastingen, CI/CD-pijplijnen en API-integraties, en nu drijven ze LLM-gebaseerde automatisering aan.

De uitdaging: De meeste IAM-systemen zijn gebouwd om mensen te beheren, niet machines.

  • Accounts met geen duidelijke eigenaar.

  • Statische referenties die nooit verlopen.

  • Privileges verder dan nodig.

Het is geen hypothetisch scenario. Inbreuken bij Uber en Cloudflare zijn terug te voeren op gecompromitteerde machine-accounts – het soort dat nooit phishing-simulaties krijgt, maar wel kritieke infrastructuur kan ontgrendelen.

Agente AI: een multiplicator voor risico

Enerzijds is agente AI een operationele game-changer. Anderzijds, als de toegang wordt gecompromitteerd, hebt u automatisering die voor de tegenstander werkt.

Overweeg:

  • Een AI-agent met lees- en schrijfrechten voor SaaS-toepassingen kan gegevensoverdracht automatiseren zonder mensgerichte anomaliedetectie te activeren.

  • Als dezelfde agent IAM-rollen kan wijzigen of cloud-resources kan implementeren, hebt u privilege-escalatie op autopilot.

  • Prompt-injectie-aanvallen en modelvergiftiging betekenen dat aanvallers een AI-agent kunnen omleiden zonder zijn referenties te stelen.

We hebben gezien hoe gevaarlijk een slecht beheerde service-account kan zijn. Geef die account nu de mogelijkheid om beslissingen te nemen, en de inzet verdubbelt.

Casestudy’s: inbreukforensica in de AI + NHI-tijdperk

Victoria’s Secret (mei 2025)
Tijdens het Memorial Day-weekend nam Victoria’s Secret haar Amerikaanse website en enkele in-store-diensten offline in wat leek op een ransomware-achtig incident (The Hacker News, Bitdefender). De uitval duurde dagen en droeg bij aan een geschatte daling van $20 miljoen in het tweede kwartaal. Een daaropvolgende collectieve actie stelt dat de retailer gevoelige gegevens niet heeft versleuteld, kritische beveiligingsaudits heeft overgeslagen en cybersecurity-training voor werknemers heeft verwaarloosd (Top Class Actions), allemaal lacunes die de zwakheden weerspiegelen die vaak worden gezien in onbeheerde niet-menselijke identiteiten (NHI’s) met privileged toegang.

Google Salesforce-inbreuk (juni 2025)
In juni kregen aanvallers gelinkt aan de ShinyHunters (UNC6040)-groep toegang tot een corporate Salesforce CRM-instantie via voice-phishing (vishing)-technieken (ITPro). Eenmaal binnen, hebben ze contactgegevens van kleine en middelgrote ondernemingen uitgevoerd. Terwijl dit begon met mensgerichte sociale engineering, was het pivot-punt een verbonden toepassing – een vorm van machine-identiteit – die de indringers in staat stelde om lateraal te bewegen zonder gebruikersgedragsanalyse te activeren.

Retail & Luxury Brand-uitval (M&S, Cartier, The North Face)
Een golf van aanvallen op grote retailers, waaronder The North Face en Cartier, legde klantnamen, e-mailadressen en selecte accountmetadata bloot (Sangfor, WSJ). Marks & Spencer werd het hardst getroffen, een ransomware- en supply-chain-aanval toegeschreven aan de ‘Scattered Spider’-groep verstoorde click-and-collect-diensten voor meer dan 15 weken en zou de retailer naar schatting £300 miljoen hebben gekost. In elk geval werden derde-partij-integraties en API-verbindingen, vaak ondersteund door NHI’s, stille faciliteerders voor de aanvallers.

Wat is een niet-menselijke identiteit (NHI)?

NHI’s zijn referenties en accounts die door machines worden gebruikt, niet door mensen. Voorbeelden:

  • Service-accounts voor databases of apps.

  • API-sleutels voor cloud-naar-cloud-integratie.

  • Bot-referenties voor automatiseringsscripts.

Risico’s: Over-geprivilegieerd, onder-gemonitord en vaak actief gelaten lang na gebruik.

Waarom governance achterblijft

Zelfs volwassen IAM-programma’s lopen hier tegen aan:

  • Ontdekkingsgaten — Veel organisaties kunnen geen complete NHI-inventaris produceren.

  • Levenscyclus-verwaarlozing — NHI’s blijven vaak jaren bestaan, zonder regelmatige herziening.

  • Accountability-vacuüms — Zonder een menselijke eigenaar, valt de schoonmaak tussen de wal en het schip.

  • Privilege-kruipen — Machtigingen accumuleren naarmate rollen veranderen, maar intrekking vertraagt.

Dit is hetzelfde probleem dat we al decennia lang bestrijden met menselijke accounts — alleen nu kan elke NHI 24/7, op schaal, zonder “menselijke” risicocontroles te activeren.

Een leverancier-neutrale playbook voor het beveiligen van NHI’s en AI-agenten

  1. Uitgebreide ontdekking — Kaart elke NHI en AI-agent, inclusief machtigingen, eigenaren en integraties.

  2. Wijs menselijke eigenaren toe — Maak iemand verantwoordelijk voor elke NHI-levenscyclus.

  3. Dwing minste privilege af — Match machtigingen met daadwerkelijk gebruik; verwijder overtollig.

  4. Automatiseer referentiehygiëne — Roteer sleutels, gebruik kortlevende tokens, auto-vervalt inactieve accounts.

  5. Continue monitoring — Detecteer anomalieën zoals onverwachte API-aanroepen of privilege-escalaties.

  6. Integreer AI-governance — Behandel AI-agenten als high-privilege admins: log activiteit, dwing beleid af, activeer just-in-time-toegang.

(Deze stappen zijn in overeenstemming met NIST CSF, CIS Control 5 en opkomende Gartner IVIP best practices.)

Waarom dit nu moet gebeuren

Dit gaat niet alleen over het najagen van een AI-trend. Het gaat over het erkennen dat de identiteitsperimeter is verschoven van mensen naar processen. Aanvallers weten dit. Als we machine-identiteiten blijven behandelen als een bijzaak, geven we tegenstanders de blinde vlek die ze nodig hebben om ongedetecteerd te opereren.

De teams die voorop zullen blijven zijn degenen die NHI- en agent-governance een eerste-klasse-element van identiteitsbeveiliging maken, met zichtbaarheid, eigenaarschap en levenscyclusdiscipline op hun plaats voordat de volgende inbreuk het probleem afdwingt.

Related Topics:
mm

Mike Towers is de Chief Security & Trust Officer bij Veza, waar hij het bedrijfsbeleid voor cybersecurity en gegevensbescherming leidt. Hij houdt toezicht op Veza's Advisory Board, ontwikkelt de identiteitsbeveiligingsmogelijkheden van het bedrijf verder en zorgt ervoor dat klanten de unieke waarde van Veza's toonaangevende identiteitsbeveiliging en intelligente toegangsplatform begrijpen. Mike's team werkt aan het beveiligen van Veza's platform en helpt klanten bij het aanpakken van complexe toegangscontrole-uitdagingen die samenhangen met digitale en clouduitbreiding.

Als oprichter van Digital Trust Group LLC en een ervaren uitvoerend directeur, is Mike gespecialiseerd in digitale beveiliging, vertrouwen en bedrijfsweerbaarheid. Voordat hij bij Veza kwam, was hij Chief Digital Trust Officer bij Takeda en had hij leidinggevende rollen bij Allergan en GSK, waar hij robuuste beveiligingskaders opbouwde. Gedurende zijn carrière heeft hij meer dan 50 fusies en overnames beïnvloed en is hij opgenomen in de CSO Hall of Fame. Als gerespecteerd spreker, auteur en adviesraad, blijft Mike verantwoorde innovatie, gegevensbescherming en kennisdeling bevorderen. Gevestigd in Boston, blijft hij een toonaangevende stem in de bevordering van digitale vertrouwen en beveiliging.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.