Je hebt geïnvesteerd in security tools. Aanvallers hebben geïnvesteerd in AI. Eén van jullie wint.

Samenvatting

De aanval die onlangs een organisatie trof, is niet gepland door een mens achter een toetsenbord. Een geautomatiseerd systeem voerde hem uit. Verkenning. Identificatie van credentials. Exfiltratie. Alles zonder dat een mens ook maar één beslissing nam.

Cybercrime opereert op machinesnelheid. De meeste cybersecurity binnen grote organisaties is nog afhankelijk van menselijke analisten die meldingen lezen, afwijkingen onderzoeken en bepalen wanneer ze reageren.

Dat gat, tussen aanvallen op machinesnelheid en verdediging op menselijke snelheid, is het bepalende securityvraagstuk van 2026.

De aanval was voorbij voordat iemand een melding opende

Hoe een inbreuk vroeger werkte: een aanvaller scande handmatig naar kwetsbaarheden. Stuurde phishingmails. Testte credentials. Bewoog voorzichtig door het netwerk, alert op detectie. Het kostte dagen. Soms weken. Dat gaf verdedigers tijd.

Dat venster bestaat niet meer.

De aanvalsinfrastructuur van vandaag voert verkenning uit in minuten. Identificeert de zwakste credential. Test toegangspunten. Escaleert rechten. Allemaal voordat de meeste securityteams hun ochtendoverleg hebben afgerond.

Er is geen mens meer die het tempo van de aanval bepaalt. Het enige tempo is machinesnelheid.

Aan de verdedigende kant werken de meeste securityteams nog op een model dat is gebouwd voor de oude aanval. Een melding komt binnen. Een mens leest hem. Die besluit of het de moeite waard is om te onderzoeken. Logs worden opgehaald. Er volgt escalatie. Tegen de tijd dat een beslissing valt, heeft de tooling van de aanvaller het werk al afgerond en de sporen uitgewist.

De ongelijkheid is groot. En elk kwartaal groeit ze.

Wat een AI-gestuurde cyberaanval werkelijk inhoudt

Een AI-gestuurde cyberaanval is een aanval waarbij autonome systemen een deel van of de hele aanvalsketen uitvoeren. Doelidentificatie. Kwetsbaarheidsscans. Credential-harvesting. Laterale beweging. Exfiltratie. Zonder real-time menselijke aansturing.

De aanvaller stelt het doel. Het systeem voert uit.

Doorlooptijden krimpen van dagen naar minuten. Duizenden organisaties zijn tegelijk doelwit. De aanval past zich in real time aan op de verdediging die hij tegenkomt.

Wat aanvallers werkelijk doen met AI

Aanvallers gebruiken AI niet zoals leveranciers het verkopen. Ze kopen geen product met een dashboard. Ze bouwen systemen die de menselijke bottleneck uit de aanvalsketen verwijderen.

Verkenning die vroeger dagen kostte, duurt nu minuten. AI-systemen scannen zichtbare assets, brengen netwerktopologie in kaart en identificeren welke accounts de meeste rechten dragen. Automatisch. Voortdurend. Op schaal.

Phishing die vroeger generiek was, is nu gepersonaliseerd. Taalmodellen genereren gerichte berichten. Ze refereren aan echte collega’s, echte projecten, echte organisatiecontext, opgehaald uit publieke bronnen en verrijkt met gescrapte data. De signalen waarop getrainde medewerkers phishing herkenden, verdwijnen.

Exploitatie die vroeger een ervaren aanvaller vereiste, bestaat nu als template. Zodra een kwetsbaarheidsprofiel is vastgesteld, kiest de tooling de techniek en voert hem uit.

Het resultaat: een aanval die honderden doelwitten tegelijk raakt, zich aanpast aan de verdediging die hij tegenkomt en sneller beweegt dan enige mens gestuurde respons kan bijhouden.

Waarom je SOC hier niet voor gebouwd is

Het Security Operations Center-model is ontworpen voor een dreigingsomgeving die niet meer bestaat.

Het rustte op één aanname: aanvallen worden bepaald door menselijk tempo. Er is dus tijd om te detecteren, escaleren, onderzoeken en reageren. Tier 1-analisten triageren meldingen. Tier 2 onderzoekt de interessante. Tier 3 behandelt de ernstige gevallen. Beslissingen gaan via mensen.

Tegen AI-gestuurde aanvallen heeft dat model twee fatale gebreken.

Volume.

AI-aanvalsinfrastructuur genereert meldingsvolumes die menselijke analisten niet kunnen verwerken. Wanneer elke organisatie in je sector tegelijk onder druk staat van geautomatiseerde systemen, komen de meldingen bij duizenden binnen. Het echte signaal verdrinkt in het ruis.

Snelheid.

De tijd tussen eerste toegang en significante schade is gekrompen tot minuten. Exfiltratie van credentials. Inzet van ransomware. Staging van data. Menselijke beslissingsloops passen niet in dat venster.

Dit is geen personeelsprobleem. Je lost een dreiging op machinesnelheid niet op door meer analisten aan te nemen. Het is een architectuurprobleem. Het model moet veranderen.

Hoe ON2IT AI-gestuurde verdediging uitvoert

ON2IT is in 2005 opgericht om Zero Trust op enterprise-schaal uit te voeren. Ons managed GSOC™ draait 24/7 voor organisaties in gereguleerde sectoren. Het operationele model is van binnenuit gebouwd op AI, met drie heldere grenzen die bepalen waar de machine handelt en waar een mens dat doet.

1. Preventie eerst.

De meeste aanvallen mogen de responsfase nooit bereiken. Zero Trust stopt ze op de toegangslaag, voordat ze incidenten worden. Detectie en respons behandelen wat er doorheen komt. Niet als primaire verdedigingslinie. Wij beginnen met architectuur, niet met SOC-tooling. Gartner noemt dit nu ‘preemptive cybersecurity’: handelen voordat de dreiging zich manifesteert. Wij noemen het preventie, al sinds 2005.

2. AI voor het routinewerk. Specialisten voor de beslissingen die tellen.

AI neemt het werk dat geen mens vereist. Gedragsbaselining. Signaalcorrelatie. Eerste triage. Inperking van hoog-zekere dreigingen. Onze specialisten nemen de beslissingen die machines niet kunnen nemen: nieuwe aanvalspatronen, cross-klant dreigingsinformatie, de oordeelsaanroepen die organisatiecontext vereisen. Snelheid waar snelheid wint. Oordeel waar oordeel wint.

3. Slimme automatisering waar die werkelijk werkt.

Niet elke stap in het SOC hoort geautomatiseerd te worden. De stappen die dat wel horen, zijn de stappen waar snelheid en consistentie het meest tellen: inperking, identiteitsverificatie, gedragsdetectie. De stappen die dat niet horen, zijn de stappen waar context en oordeel het zwaarst wegen. ON2IT automatiseert niet om modern te lijken. We automatiseren waar het de uitkomst verandert.

Dit is wat het managed GSOC™ dagelijks draait. AI verwerkt volume en snelheid. Specialisten nemen de oordeelsbeslissingen. Preventie vermindert de druk op beide.

En er is nog één ding dat we consequent zien: tools kopen is niet hetzelfde als verdediging bouwen. We treffen organisaties met AI-gelabelde producten die nooit één inperkingsactie hebben geautomatiseerd. Het label is niet de capability. Het operationele model is dat. Het verschil wordt zichtbaar op het moment dat het SOC binnen een minuut moet handelen, niet binnen een uur.

Hoe AI-gestuurde verdediging er werkelijk uitziet

Organisaties reageren. Uit onderzoek van PwC (2026) blijkt groeiende investering in AI-gestuurde dreigingsdetectie, geautomatiseerde SOC-operaties en cloud- en identiteitsbeveiliging. De richting klopt.

Er is een duidelijk verschil tussen twee soorten organisaties: zij die AI-securitytools hebben gekocht, en zij die AI hebben ingebed in hoe hun verdediging werkelijk werkt.

Een tool kopen met AI in de naam sluit het gat niet. AI inbedden in detectie, onderzoek en respons doet dat wel. Dan voeren machines het werk uit waarvoor bij elke stap eerder menselijke analisten nodig waren.

In de praktijk moeten vier dingen op orde zijn:

• Gedragsdetectie. Baselines voor elke gebruiker, elk apparaat en elke workload. Afwijkingen worden automatisch gevlagd. Geen wachten tot een regel matcht.
• Geautomatiseerd onderzoek. Context opgehaald. Signalen gecorreleerd over systemen heen. Een geprioriteerde bevinding opgeleverd voordat een mens het aanraakt.
• Responsplaybooks. Inperkingsacties uitgevoerd in seconden. Een gecompromitteerd account geïsoleerd. Een poging tot laterale beweging geblokkeerd. Een verdacht token ingetrokken. Allemaal voordat een analist een ticket goedkeurt.
• Continue identiteitsverificatie. Zero Trust toegepast op machinesnelheid. Elk toegangsverzoek getoetst aan gedragscontext, niet alleen aan credentials.

De menselijke analist verdwijnt niet. Die verschuift naar boven: van meldingen verwerken naar de beslissingen nemen die machines niet kunnen nemen. Reageren op nieuwe aanvalspatronen. Communiceren met de leiding. De beslissingen nemen die organisatiecontext vereisen.

Het AI-tegen-AI-model is geen optie, het is een must

AI-gestuurde verdediging is geen concurrentievoordeel meer. Het is de minimale capability.

Een organisatie die een SOC op menselijke snelheid inzet tegen aanvallen op machinesnelheid, heeft geen licht nadeel. Ze is structureel gebroken. De tooling van de aanvaller verbetert elk kwartaal. Het gat is niet stabiel. Het groeit.

Organisaties die zichzelf in 2027 verdedigen, bouwen nu AI-native detectie en respons. Niet als toekomstig initiatief. Als het operationele model dat ze vandaag uitvoeren.

Dit is geen technologiebeslissing. Het is een strategische. Die vraagt om dezelfde bestuurlijke eigenaarschap die cyberrisico eindelijk heeft gekregen. En om een securityleider die de zaak voor architectuurverandering bepleit, niet alleen voor toolaankoop.

Kernpunten

• AI-gestuurde aanvalssystemen draaien end-to-end zonder menselijke aansturing. Van verkenning tot exfiltratie. Op snelheden die menselijke analisten niet bijhouden.
• Het traditionele SOC-model is ontworpen voor aanvallen op menselijk tempo. Tegen dreigingen op machinesnelheid zijn meldingsvolume en responslatentie beide fatale gebreken.
• AI-securitytools kopen is niet hetzelfde als AI-gestuurde verdediging uitvoeren. Het verschil zit in de vraag of detectie, onderzoek en respons geautomatiseerd zijn, of alleen ondersteund.
• Continue Zero Trust-verificatie, toegepast op machinesnelheid over elke identiteit, is het architecturale fundament dat AI-gestuurde verdediging coherent maakt.
• Het managed GSOC™ van ON2IT draait van binnenuit op AI, met drie heldere grenzen: preventie eerst, AI voor het routinewerk en specialisten voor de beslissingen die tellen, en slimme automatisering alleen waar die de uitkomst verandert.

Conclusie

Er is een versie van deze ontwikkeling die goed afloopt. Organisaties zien de snelheidsasymmetrie voor wat die is: geen toolkloof, maar een architectuurkloof. Ze sluiten die met Zero Trust-preventie en AI-native detectie en respons ingebed in hun operationele model. Preventief door architectuur. Zero Trust als standaard.

En er is een versie die slecht afloopt. Organisaties blijven losse oplossingen kopen. Blijven SOC’s op menselijke snelheid draaien. Blijven aannemen dat meer analisten en meer tools uiteindelijk genoeg zullen zijn.

De AI van de aanvaller neemt geen pauzes. Die heeft geen ticketwachtrij. Die wacht niet tot een escalatiepad vrijkomt.

Je verdediging moet daarmee stoppen ook.

De uitweg is preventief: Zero Trust op de toegangslaag, AI-native detectie en respons daarachter. Beslissingen in milliseconden, niet in tickets.

Meer weten

Als je huidige securityoperaties afhankelijk zijn van mensen die het tempo van dreigingen op machinesnelheid bijhouden, kan ON2IT helpen. Ons managed GSOC™ draait van binnenuit op AI. Preventie eerst. AI voor het routinewerk. Onze specialisten voor de beslissingen die tellen. Neem contact op om je gaps in kaart te brengen.