Belangrijkste inzichten uit het SASI-rapport 2025

Mei 21, 2025
Kaseya
Cyberbeveiliging

De snelle opkomst van Software-as-a-Service (SaaS) toepassingen zoals Google Workspace, Microsoft 365, Slack en Salesforce kan worden toegeschreven aan de flexibiliteit, schaalbaarheid en kosteneffectiviteit van cloud-gebaseerde oplossingen. Aan de andere kant zijn SaaS-apps een belangrijk doelwit geworden voor cybercriminelen, omdat ze bedrijfskritische informatie en workloads hosten. Bovendien ontwikkelt cybercriminaliteit zich snel. Bedreigers geven de voorkeur aan efficiëntere en gevaarlijkere methoden, zoals token harvesting, boven traditionele methoden zoals brute kracht.

Om deze risico's beter te begrijpen, SaaS Alerts het rapport 2025 SaaS Application Security Insights (SASI) SaaS Alerts . Dit rapport presenteert de bevindingen van een gedetailleerde analyse van SaaS-beveiligingsgegevens van meer dan 43.000 kleine en middelgrote bedrijven (MKB) en bijna zes miljoen gebruikersaccounts, inclusief gastaccounts.

Naarmate het dreigingslandschap steeds geavanceerder wordt, is het van cruciaal belang dat security en IT-professionals deze veranderende dynamiek begrijpen. In dit artikel gaan we dieper in op de belangrijkste inzichten uit het rapport en wat uw bedrijf moet doen om opkomende dreigingen voor te blijven.

De proliferatie van SaaS-apps en de risico's die ermee gepaard gaan

SaaS-applicaties hebben de operationele efficiëntie en productiviteit drastisch verbeterd, maar ze hebben bedrijven ook blootgesteld aan een groot aantal security . Terwijl cybercriminaliteit sterk toeneemt, zorgen onzorgvuldig user , risicovol delen van bestanden en onbewaakte user voor security vlekken in security SaaS-omgevingen.

Medewerkers hebben de neiging om nieuwe apps te installeren, toegangsrechten te verlenen of documenten te delen zonder daarbij de IT-afdeling te betrekken. Deze acties leiden tot een wirwar van app-verbindingen en gegevensuitwisseling die het security vaak niet kan zien of controleren.

SaaS-applicaties maken het delen van informatie eenvoudig, maar zonder de juiste controle kunnen gevoelige gegevens worden blootgesteld via openbare links of worden gedeeld met externe partijen zonder de juiste verificatie.

Een andere groeiende zorg zijn user , die worden aangemaakt voor kortdurende samenwerking, maar vaak niet worden gecontroleerd of zelden worden gedeactiveerd. Sommige van deze accounts hebben verhoogde rechten of toegang tot kritieke documenten, waardoor ze een perfecte achterdeur vormen voor kwaadwillenden die een organisatie willen infiltreren zonder alarm te slaan.

Ongeautoriseerde aanmeldingen gedetecteerd door SaaS Alerts

De threat intelligence engine van SaaS Alerts controleert SaaS-omgevingen continu op verdachte activiteiten. In 2024 zagen we een scherpe stijging in zowel pogingen tot als succesvolle ongeautoriseerde toegang. Dit is wat we ontdekten:

Pogingen tot onbevoegd inloggen

Cybercriminelen proberen steeds vaker in te loggen met geldige user ze via het dark web of phishingaanvallen hebben verkregen. Om detectie te voorkomen, worden deze inlogpogingen snel achter elkaar vanuit meerdere locaties wereldwijd uitgevoerd.

In 2024 werd bijna 40% van alle ongeautoriseerde inlogpogingen getraceerd naar China en Zuid-Korea.

Brute kracht was de meest gebruikte methode om ongeautoriseerde toegang te krijgen tot bedrijfssystemen. Bij deze methode raden aanvallers herhaaldelijk wachtwoorden totdat ze toegang krijgen.

Het SASI-rapport van 2025 geeft aan dat cybercriminelen, in plaats van alleen te vertrouwen op brute kracht, overschakelen op token harvesting - een snellere, onzichtbaardere methode waarmee ze MFA volledig kunnen omzeilen door sessietokens te stelen.

Succesvolle onbevoegde aanmeldingen opsporen

Wanneer aanvallers met succes toegang krijgen tot een account, doen ze dat vaak vanuit onverwachte of niet-goedgekeurde locaties. Vorig jaar kwamen Duitsland, het Verenigd Koninkrijk en Polen naar voren als hotspots, met bijna 25% van de inbraken vanuit deze locaties. Er wordt aangenomen dat aanvallers hun ware herkomst verhullen door activiteiten via westerse VPN's te routeren, waardoor hun pogingen legitiemer lijken en moeilijker te detecteren zijn.

Cybercriminelen hebben zich met succes aangemeld bij bedrijfsaccounts door middel van phishing. Ze misleiden users hun SaaS-inloggegevens vrij te geven door middel van zeer overtuigende maar valse e-mails, berichten of inlogpagina's. Deze methode blijft een van de gevaarlijkste en meest effectieve manieren om de beveiliging van organisaties te doorbreken.

SaaS security

SaaS-beveiligingsgebeurtenissen fungeren als vroege waarschuwingssignalen en helpen IT-teams bij het detecteren van ongebruikelijke of risicovolle activiteiten in hun cloudomgevingen. SaaS Alerts intelligente applicatielogica om gedragspatronen te analyseren en deze activiteiten te rangschikken op ernst: laag, gemiddeld en kritiek.

In 2024 analyseerde SaaS Alerts meer dan 7,3 miljard gebeurtenissen in SaaS-omgevingen. Terwijl de overgrote meerderheid (98,5%) werd gecategoriseerd als lage ernst, waren meer dan een miljard van deze alerts medium of kritisch.

Gebeurtenissen met lage intensiteit

Gebeurtenissen met een lage ernst weerspiegelen vaak normale activiteit, maar zijn nog steeds de moeite waard om te controleren op patronen of afwijkingen in de loop van de tijd.

De meest voorkomende gebeurtenis met een lage ernstgraad was 'bestand geopend', die werd geactiveerd telkens wanneer een aangemelde of user een bestand user . Deze actie was goed voor meer dan 50% van alle waarschuwingen met een lage ernstgraad. De overdracht van de back-upservice was verantwoordelijk voor 23,7% van deze gebeurtenissen. Een andere veelvoorkomende trigger was OAuth-toegang via identiteits- en toegangsbeheer (IAM), die 22,88% van de waarschuwingen met lage ernst vertegenwoordigde. Deze gebeurtenissen vinden plaats wanneer apps van derden accountrechten aanvragen.

Waarschuwingen van gemiddelde ernst

Deze waarschuwingen worden geactiveerd wanneer ongebruikelijk gedrag of verdachte activiteiten worden gedetecteerd en moeten worden onderzocht om de risico's tot een minimum te beperken.

De meest voorkomende waarschuwing van gemiddelde ernst in 2024 was "downloadlimiet voor bestand overschreden", wat duidt op pogingen om gegevens te extraheren. Deze gebeurtenis vertegenwoordigde 40,2% van alle waarschuwingen van gemiddelde ernst. "Bestandsuploadlimiet overschreden" was goed voor 35% van de waarschuwingen van gemiddelde ernst, vaak een rode vlag voor ongeautoriseerde gegevensoverdrachten. Ondertussen was "bestand geopend vanaf een niet-goedgekeurde locatie" goed voor 25%, wat wijst op mogelijke compromittering van accounts of schending van het toegangsbeleid.

Kritieke waarschuwingen

Kritieke waarschuwingen hebben betrekking op risicovolle activiteiten die kunnen wijzen op security , gegevensdiefstal of ongeoorloofde toegang. Meer dan 34% van de kritieke waarschuwingen werd veroorzaakt door succesvolle aanmeldingen vanaf niet-goedgekeurde locaties of IP-reeksen. Daarnaast werd 33% van de kritieke waarschuwingen geactiveerd door bestanden die buiten goedgekeurde geografische zones werden geopend. Nog eens 32,3% had betrekking op bestanden die werden gedownload vanaf niet-goedgekeurde locaties.

Hoewel waarschuwingen met een lage en gemiddelde ernst niet noodzakelijkerwijs een onmiddellijke dreiging inhouden of onmiddellijke actie vereisen, bieden ze wel cruciale context en inzicht in het gedrag user systemen. Door deze waarschuwingen nauwlettend in de gaten te houden, kunnen IT-teams abnormale activiteitspatronen herkennen en dreigingen proactief neutraliseren voordat ze schade aanrichten. Kortom, het is van cruciaal belang om alle security – van laag tot kritiek – bij te houden om een robuuste security te ontwikkelen en dreigingen effectief te detecteren.

Waardoor lopen je SaaS-omgevingen gevaar?

SaaS-applicaties bieden talloze voordelen voor bedrijven van elke omvang. Wanneer echter security praktijken security worden genegeerd, kunnen deze platforms ook een toegangspoort worden voor datalekken, accountmisbruik en ongeoorloofde toegang. Het SASI-rapport 2025 belicht de meest voorkomende bedreigingen die uw SaaS-omgeving blootstellen aan mogelijke inbreuken.

MFA uitgeschakeld of inactief

MFA wordt beschouwd als een van de meest effectieve verdedigingsmiddelen tegen identiteitsdiefstal en ongeoorloofde toegang tot accounts. Het gebruik ervan blijft echter schrikbarend laag. Volgens het SASI-rapport van 2025 is MFA in meer dan 60% vanuser uitgeschakeld of inactief. Zonder deze cruciale beschermingslaag kunnen aanvallers gemakkelijk accounts compromitteren door middel van phishing of token-diefstal.

Niet-gecontroleerde gastgebruikers user

Gastgebruikers zijn essentieel voor externe samenwerking, maar worden vaak niet gecontroleerd. In 2024 SaaS Alerts meer dan 4,2 miljoen SaaS-accounts, waarvan meer dan 55% gastgebruikers waren. Als deze accounts niet nauwlettend worden gecontroleerd of niet onmiddellijk worden gedeactiveerd wanneer ze niet langer nodig zijn, kunnen ze onzichtbare toegangspunten voor cybercriminelen worden.

SaaS-naar-SaaS app integraties

OAuth maakt het voor users gemakkelijk users met slechts een paar klikken nieuwe SaaS-tools te koppelen, maar dit gemak heeft een prijs.

Elke nieuwe integratie kan het aanvalsoppervlak vergroten, vooral als de app van derden slecht beveiligd is. Zonder zichtbaarheid in deze koppelingen loopt uw bedrijf het risico dat cybercriminelen indirect toegang krijgen via gecompromitteerde apps.

Risicovol gedrag bij het delen van bestanden

SaaS-apps hebben het delen van bestanden vereenvoudigd, maar ze hebben ook het risico op ongeoorloofd delen van gegevens buiten de organisatie vergroot. In 2024 had 37,28% van alle SaaS Alerts activiteiten op het gebied van het delen van bestanden betrekking op externe gebruikers.

Hoewel niet alle extern delen slecht is, schuilt het echte gevaar in verweesde koppelingen. Dit zijn links voor het delen van bestanden die worden gedeeld met mensen buiten de organisatie en die nooit worden ingetrokken. Aanvallers die op zoek zijn naar een manier om binnen te komen, kunnen deze links gemakkelijk ontdekken en misbruiken.

Belangrijkste conclusies en security om nieuwe SaaS-bedreigingen voor te blijven

Het SASI-rapport van 2025 laat zien dat SaaS-applicaties weliswaar de productiviteit en samenwerking verbeteren, maar ook de deur openzetten voor security als ze niet goed worden beheerd. Een zwakke implementatie van MFA, onbewaakte gastaccounts, risicovolle integraties van apps van derden en onzorgvuldige praktijken voor het delen van bestanden behoren tot de meest kritieke bedreigingen. Kwaadwillende actoren veranderen hun tactieken en maken gebruik van heimelijke methoden zoals token harvesting en VPN-maskering. Daarom is het voor organisaties belangrijker dan ooit om een proactieve security te hanteren, inzicht te verkrijgen en security af te dwingen.

Volg deze stappen om je bedrijf te beschermen tegen nieuwe SaaS-bedreigingen:

  • MFA inschakelen en afdwingen in je hele organisatie en voor alle klanten.
  • Pas waar mogelijk voorwaardelijke toegangsregels toe voor Microsoft 365-accounts.
  • Zorg voor doorlopende cybersecuritytraining voor uw users security praktijken security te versterken.
  • Controleer voortdurend belangrijke SaaS-productiviteitsapps op ongewoon of verdacht user .
  • Volg het delen van bestanden om potentiële exfiltratie van gegevens of bedreigingen van binnenuit te detecteren.
  • Sla historische gegevens user op en bekijk deze regelmatig, zelfs als dit niet tot een bekende inbreuk heeft geleid.
  • Onderzoek en reageer snel op afwijkingen die kunnen duiden op een bedreiging.
  • Controleer aanmeldingen op basis van OAuth en kijk niet voorbij aan SaaS-applicaties die niet van Google of Microsoft zijn.
  • Verwijder regelmatig inactieve of onnodige gastaccounts om de blootstelling te minimaliseren.
  • Houd een inventaris bij van alle app-naar-app-integraties en beoordeel security daarvan security .
  • Controleer riskant gedrag bij het delen van bestanden om blootstelling van gegevens te voorkomen.
  • Gebruik automatisering om bedreigingen met een hoog risico te detecteren en er onmiddellijk op te reageren.

Blijf opkomende SaaS-bedreigingen voor. Download het SASI-rapport 2025 voor de nieuwste SaaS-trends, inzichten van experts, praktijkgegevens en bruikbare strategieën.

Download het volledige rapport

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Concepten voor beveiligingsinformatie en incidentbeheer. Ambtenaren houden toezicht op gebeurtenissen en de veiligheid via virtuele schermen.

Wat is SIEM? Uitleg over de werking, toepassingen en voordelen

Ontdek hoe Security Information and Event Management (SIEM) organisaties helpt om potentiële beveiligingsrisico’s en kwetsbaarheden proactief op te sporen en aan te pakken.

Lees blogbericht

Back-upcontrole is nu nog slimmer: maak kennis met AI-gestuurde screenshotcontrole

In een tijdperk van aanhoudende cyberaanvallen, complexe infrastructuren en steeds hogere verwachtingen van klanten is het niet langer voldoende om alleen maar back-ups te hebben. Back-upsMeer lezen

Lees blogbericht
Richtlijn NIS 2. Europese regelgeving inzake cyberbeveiliging

Tien vragen die u uw IT-team kunt stellen over NIS2-naleving

Zorg ervoor dat uw organisatie klaar is om beveiligingsrisico’s het hoofd te bieden en zich te herstellen na incidenten. Lees de blog om meer te weten te komen over de tien belangrijkste aandachtspunten voor NIS2-naleving.

Lees blogbericht