Cybercrime is geëvolueerd van het domein van een kleine groep hoogtechnische criminelen tot een volwassen industrie. Aanvallers werken inmiddels met goed gedefinieerde rolverdelingen, gestandaardiseerde processen en meetbare KPI’s. Complete ecosystemen zijn ontstaan, inclusief helpdesks, abonnementsmodellen – en zelfs ‘customer support’. Organisaties die deze realiteit nog steeds onderschatten, kunnen met een achterstand beginnen en lopen het risico om in het komende jaar voor onaangename verrassingen te komen staan.
Het wordt niet alleen eenvoudiger om organisaties aan te vallen; ook het aanvalsoppervlak groeit in omvang en complexiteit. Wie zijn verdedigingsstrategie niet fundamenteel herijkt, loopt een reële kans om de volgende ‘patient zero’ te worden. Dat is geen hypothetisch scenario meer, maar een risico waar organisaties in het komende jaar expliciet op moeten anticiperen.
Cybercrime‑as‑a‑Service: iedereen kan een cybercrimineel worden
Waar je vroeger als aanvaller zelf exploits moest ontwikkelen, infrastructuur moest opzetten en slachtoffers handmatig moest benaderen, kan dat vandaag grotendeels worden uitbesteed. Cybercrime-as‑a-Service is big business en biedt kant-en-klare diensten: van exploit kits en phishing-platformen tot credential dumps en initial access brokers die directe toegang tot bedrijfsnetwerken verkopen.
De drempel om in te stappen daalt hierdoor dramatisch. Iemand met beperkte technische kennis kan voor een relatief laag bedrag een complete aanvalsketen ‘huren’, inclusief documentatie en ondersteuning. Tegelijkertijd kunnen professionele criminele groeperingen hun capaciteit vrijwel onbeperkt opschalen door onderdelen van hun activiteiten te outsourcen.
Dit betekent dat de grens tussen opportunistische aanvallers en zeer geavanceerde groepen aan het vervagen is. Een relatief talentloze aanvaller kan met de juiste gehuurde tools schade aanrichten die voorheen was voorbehouden aan statelijke actoren. De hoop dat je “niet interessant genoeg bent voor serieuze aanvallers” kun je dus laten varen.
AI‑gedreven dreigingen
AI dient in deze nieuwe criminele economie als versneller. Taalmodellen en generatieve AI maken het uitzonderlijk eenvoudig om geloofwaardige spearphishing‑mails, WhatsApp‑berichten of LinkedIn‑campagnes te ontwikkelen die perfect zijn afgestemd op de taal, functie en interesses van het beoogde slachtoffer. Deepfake‑software maakt bovendien zeer overtuigende video‑ en audio‑imitaties toegankelijk voor een steeds breder publiek.
Daarnaast zien we de opkomst van meer geautomatiseerde en adaptieve malware; polymorfe code die zichzelf continu aanpast om detectie te ontwijken. Hierdoor kunnen aanvallen op grote schaal worden gepersonaliseerd en wordt het traditionele kill chain-model minder voorspelbaar, met geïndividualiseerde aanvallen waardoor vrijwel iedereen een potentiële ‘patient zero’ is.
Tegelijkertijd neemt het aantal aanvallen op AI-systemen zelf toe. Denk aan het manipuleren van modellen, het extraheren van gevoelige data of het misbruiken van integraties en interfaces waarmee AI toegang krijgt tot kritieke operationele systemen.
Kortom, aanvallers gebruiken AI steeds vaker om sneller te opereren, complexer te worden en hun succesratio te verhogen – en dat alles tegen lagere kosten.
Een explosief groeiend aanvalsoppervlak
Alsof de professionalisering en AI‑gedreven versnelling van cybercriminaliteit nog niet genoeg was, groeit het aanvalsoppervlak van organisaties verder – zowel in de breedte als in de diepte. Zo resulteert de uitrol van IoT‑apparaten (van industriële sensoren tot medische apparatuur) in miljarden nieuwe en vaak onvoldoende beveiligde endpoints. Voor aanvallers vormen deze systemen ideale springplanken voor laterale beweging binnen netwerken.
De overstap naar clouddiensten vergroot daarnaast de afhankelijkheid van correcte configuraties en ogenschijnlijk kleine risicofactoren, zoals DNS‑records. Maar vergis je niet, fouten zoals dangling DNS‑records kunnen direct leiden tot kwaadaardige overname van diensten, met merkschade en datalekken als gevolg.
Ook de ketenafhankelijkheid neemt toe. Managed service providers en andere derde partijen met brede netwerktoegang vormen bijzonder aantrekkelijke doelwitten. Eén succesvolle compromittering kan immers toegang geven tot tientallen of wel honderden eindklanten.
Protective DNS als nieuw front voor weerbaarheid
Dit nieuwe dreigingsbeeld vraagt om een ander verdedigingsfront. Traditionele securitymodellen vertrekken vanuit de aanname dat de aanval al binnen het netwerk plaatsvindt: detecteren, isoleren en herstellen na een inbreuk. Dat blijft noodzakelijk, maar in een wereld van cybercrime 2.0 en AI‑gedreven aanvallen is het bij lange na niet meer voldoende.
DNS is een logisch protocol om dit verdedigingsfront op te baseren. Vrijwel iedere aanval – van ransomware tot data‑exfiltratie en command‑and‑control – bevat vroeg of laat een DNS‑component: om infrastructuur te vinden, met externe servers te communiceren of data weg te sluizen. Juist omdat DNS een relatief stabiele laag vormt, blijft het een betrouwbare indicator, zelfs nu payloads, content en tactieken door AI voortdurend veranderen.
Door DNS‑verkeer actief te analyseren en te filteren, ontstaan mogelijkheden voor proactieve beveiliging die verder gaan dan simpele domein-blacklists. Afwijkende query‑volumes, ongebruikelijke tijdspatronen, onlogische geografische combinaties of karakteristieke patronen voor data‑exfiltratie of C2‑communicatie worden hiermee direct bruikbare dreigingsindicatoren.
Door Protective DNS als fundament onder je securitystrategie te leggen, verschuift de focus van reactieve naar proactieve verdediging: dreigingen worden geblokkeerd vóórdat ze je netwerk of endpoints bereiken. Dat is niet alleen effectiever, maar vergroot ook de zichtbaarheid op aanvallen die anders langs traditionele controles glippen – met name bij versleuteld verkeer of verborgen AI‑gedreven campagnes.
Bijblijven in de securitywedstrijd
Cybercrime is inmiddels zo ver gecommoditiseerd dat vrijwel iedereen aanvaller kan worden. AI fungeert hierbij als force multiplier waardoor zowel de slagkracht van aanvallers als het digitale aanvalsoppervlak van organisaties explosief groeit. Wie vasthoudt aan een puur intern, endpoint‑gericht verdedigingsmodel, accepteert daarom feitelijk een structurele achterstand.
Organisaties kunnen alleen bijblijven als zij hun security-aanpak durven bijsturen, zich expliciet wapenen tegen cybercrime‑as‑a‑Service en AI‑gedreven aanvallen, en een extra verdedigingslaag op DNS‑niveau toevoegen. Door in 2026 in te zetten op Protective DNS en dit als vast onderdeel van de securitystrategie te positioneren, verklein je niet alleen de kans op incidenten, maar krijg je ook aanzienlijk beter zicht op wat er werkelijk in het netwerkverkeer gebeurt – inclusief nieuwe aanvalspogingen die traditionele maatregelen worden gemist.
Dit is een ingezonden bijdrage van Joris van der Linde, product security specialist bij Infoblox. Klik hier voor meer informatie over de oplossingen van het bedrijf.