Matt Hull (NCC Group) tijdens Cybersec Netherlands 2026
De meeste cyberincidenten ontstaan niet doordat aanvallers geavanceerdere technieken inzetten, maar doordat organisaties een onvolledig beeld hebben van hun eigen digitale blootstelling. Tussen wat securityteams denken te beschermen en wat in werkelijkheid extern toegankelijk of misgeconfigureerd is, ontstaat een structurele kloof die steeds moeilijker te dichten is. In die ruimte tussen veronderstelde controle en feitelijke exposure ligt de zogenoemde ‘breach gap’: het verschil tussen de beveiligingsrealiteit zoals die wordt aangenomen en zoals die door aanvallers wordt aangetroffen.
Tijdens Cybersec Netherlands 2026 op 9 en 10 september in Jaarbeurs, Utrecht staat dit fenomeen op dag twee centraal in de keynote van Matt Hull, VP Cyber Intelligence and Response bij NCC Group (Fox-IT), getiteld ‘The breach gap: why you’re easier to breach than you think’. Vanuit incident response en threat intelligence schetst hij hoe deze kloof er in de praktijk uitziet: niet als theoretisch risico, maar als terugkerend patroon in daadwerkelijke compromitteringen waarin misconfiguraties, identity-sprawl en verborgen exposure een belangrijkere rol spelen dan nieuwe aanvalstechnieken.
Structurele blind spots
De groei van de Breach Gap hangt direct samen met de manier waarop it-omgevingen zich hebben ontwikkeld. Waar securitymodellen historisch zijn ontworpen voor relatief stabiele infrastructuren, is de werkelijkheid inmiddels dynamisch en continu veranderend geworden. Cloudplatformen schalen automatisch, api’s worden permanent toegevoegd en identity-structuren groeien buiten traditionele governance-modellen om.
Het gevolg is dat organisaties steeds vaker opereren met een beveiligingsbeeld dat niet synchroon loopt met de actuele situatie. Inventarissen zijn incompleet, configuraties verschuiven zonder expliciete controle en assets verdwijnen uit zicht zonder daadwerkelijk te worden verwijderd. Deze afwijking tussen administratie en realiteit is precies waar exposure ontstaat.
Verschuivend perspectief op cyberrisico
In veel incidenten blijkt dat aanvallers niet primair zoeken naar geavanceerde kwetsbaarheden, maar naar bestaande toegangspunten die al aanwezig waren. Het gaat daarbij om vergeten service-accounts, te ruime rechtenstructuren, verkeerd ingestelde cloudservices of assets die buiten het zicht van securityteams zijn geraakt.
Deze ontwikkeling verschuift het perspectief op cyberrisico. De centrale vraag is niet langer uitsluitend welke aanvalstechniek wordt gebruikt, maar vooral welke digitale mogelijkheden onbedoeld beschikbaar zijn. Daarmee verschuift cybersecurity van een dreigingsgedreven discipline naar een exposure-gedreven realiteit.
Identity als dominante aanvalsvector
Een belangrijk gevolg van deze verschuiving is de rol van identity. Waar endpoints en netwerken traditioneel het primaire aanvalsvlak vormden, zijn identiteiten inmiddels een van de meest kritieke factoren geworden. Niet alleen menselijke accounts, maar vooral machine identities, api-tokens en service accounts bepalen in hoge mate hoe ver een aanvaller zich binnen een omgeving kan bewegen.
Over-privilege, langdurig geldige credentials en gebrek aan eigenaarschap maken dat veel compromissen plaatsvinden zonder dat er sprake is van een klassieke ‘hack’. In plaats daarvan wordt legitieme toegang misbruikt binnen een omgeving waar de context van die toegang onvoldoende wordt bewaakt.
Complexiteit als structureel risico
Naast identity speelt complexiteit een steeds grotere rol. Moderne securityorganisaties beschikken over een groeiend aantal tools, dashboards en signalen, maar dat leidt niet automatisch tot beter inzicht. Integendeel, want de hoeveelheid data maakt het lastiger om te bepalen wat daadwerkelijk relevant is.
Dit leidt tot een situatie waarin securityteams vooral reactief opereren. Niet omdat signalen ontbreken, maar omdat de prioritering ervan steeds moeilijker wordt in een omgeving die continu verandert. De breach gap wordt daarmee ook een informatieprobleem, namelijk het gat tussen wat zichtbaar is en wat daadwerkelijk risico vormt.
Ai als versneller
Hoewel kunstmatige intelligentie veel aandacht krijgt binnen cybersecurity, is de rol ervan in deze context vooral versterkend in plaats van fundamenteel nieuw. Ai verandert niet de aard van de kwetsbaarheden zelf, maar versnelt wel de manier waarop exposure kan worden gevonden en geëxploiteerd.
Automatisering maakt het mogelijk om grotere hoeveelheden systemen te analyseren, configuraties sneller te doorzoeken en patronen efficiënter te herkennen. Daarmee neemt vooral de snelheid toe waarmee bestaande zwaktes worden gevonden, niet het type zwaktes zelf.
Probleem van zichtbaarheid
De kern van de breach gap is uiteindelijk een probleem van zichtbaarheid. Organisaties die geen actueel en volledig beeld hebben van hun digitale footprint, kunnen hun werkelijke risico niet volledig inschatten. Security verschuift daarmee van het beveiligen van bekende assets naar het continu identificeren van onbekende of verkeerd geïnterpreteerde exposure.
Dat maakt de uitdaging voor securityteams minder een technisch probleem en meer een structureel governance-vraagstuk. Want wie is verantwoordelijk voor welke assets, welke rechten zijn nog noodzakelijk en welke risico’s zijn impliciet ontstaan zonder expliciete besluitvorming?
Perceptie en werkelijkheid
De keynote van Matt Hull tijdens Cybersec Netherlands 2026 plaatst deze ontwikkelingen in een praktijkcontext, gebaseerd op ervaring uit incident response en threat intelligence. Zijn analyse onderstreept een ontwikkeling die steeds duidelijker zichtbaar wordt in de sector, want de meeste organisaties worden niet gecompromitteerd door uitzonderlijke aanvallen, maar door structurele blinde vlekken in hun eigen digitale omgeving.
‘The breach gap: why you’re easier to breach than you think’ is daarmee niet alleen een keynote over aanvalspatronen, maar vooral over de realiteit van moderne digitale infrastructuren waarin perceptie en werkelijkheid steeds verder uit elkaar zijn komen te liggen.
Bezoek Cybersec Netherlands 2026
Ontdek de nieuwste ontwikkelingen in cybersecurity tijdens Cybersec Netherlands op 9 en 10 september 2026 in Jaarbeurs Utrecht. Laat je inspireren door experts, praktijkcases en innovatieve oplossingen.
