Het bedrijfsperimeter verschuift al geruime tijd, maar in 2026 is bijna niemand meer in twijfel over de locatie: in de browser. Daar wordt gewerkt, worden SaaS-applicaties benaderd, identiteiten beheerd, documenten gedeeld… en steeds vaker worden tools voor Kunstmatige Intelligentie gebruikt. Tegelijkertijd vinden hackers hier ook een vruchtbare voedingsbodem: kwaadaardige extensies, geïnjecteerde scripts, impersonaties binnen dezelfde sessie en datalekken die niet altijd door klassieke controles worden gedetecteerd.
Met deze context kondigde Zscaler op 5 februari 2026 de overname van SquareX aan, een transactie waarvan de financiële details niet openbaar zijn gemaakt. Het doel is duidelijk: de capaciteiten van Zero Trust “tot in de browser” uitbreiden, voorzien van een aanpak die geschikt is voor een wereld waarin werken niet meer alleen op bedrijfstoestellen gebeurt en waarin AI in het dagelijks gebruik de blootstellingsoppervlakte vergroot.
De browser als “hotspot” voor beveiliging (en productiviteit)
Jarenlang probeerden veel organisaties de beveiliging uit te breiden naar niet-beheerde apparaten — BYOD, derden, aannemers, hybride omgevingen — met twee gangbare oplossingen: VPN voor externe toegang of VDI. Het probleem is dat beide kosten, frictie met zich meebrengen en dat VPN’s een erfgoed hebben van “impliciete vertrouwen”, wat moeilijk te combineren is met een moderne aanpak van minimaal privilege.
Zscaler stelt dat dit model niet meer geschikt is voor een gedistribueerd bedrijf en dat de browser het punt is waar je fijne beleidsregels moet toepassen: wie krijgt toegang, vanaf welk apparaat, met welke beveiligingshouding, tot welke specifieke resource en onder welke voorwaarden. In deze visie gaat het bij de beweging van Zscaler niet alleen om malware te voorkomen, maar vooral om het controleren van toegang en het beschermen van data op de plek waar het werk daadwerkelijk gebeurt.
Wat voegt SquareX toe aan de puzzel?
SquareX ontwikkelt haar aanpak rond een zeer eenvoudig concept: aangezien de browser de plaats is waar de activiteit zich concentreert, moeten “sensoren” binnen de browser worden ingebouwd. Het bedrijf heeft capaciteiten ontwikkeld voor Browser Detection and Response (BDR) via extensies, met als doel bedreigingen die native zijn voor de browser te detecteren en erop te reageren, zoals kwaadaardige extensies of scripts met verdacht gedrag, en bruikbare telemetry te bieden aan beveiligingsteams.
In hun communicatie na de overname benadrukt SquareX ook een punt dat vaak doorslaggevend is bij IT-aankopen: geen noodzaak voor het veranderen van browser. Integratie met gangbare browsers voorkomt een “cultuurverandering” en bespaart de operationele kosten van het uitrollen van een alternatieve bedrijfsbrowser door de hele organisatie. Tegelijkertijd pakt het ook het grote hoofdpijnpunt van veel bedrijven aan: hoe controleer je toegang en data wanneer het apparaat niet volledig beheerd wordt?
Een benadering: “elke browser”, maar met veiligheidsvoorzieningen
De aankondiging sluit aan bij een duidelijke markttendens: het doorvoeren van het Zero Trust-model tot aan de laatste kilometer, het laatste stuk waar identiteit, sessie, inhoud en gebruikersacties samenkomen (downloads, kopiëren/plakken, bestanden uploaden, interactie met AI-tools, enzovoort).
Zscaler heeft uitgelegd dat, met SquareX, ze willen zorgen voor beveiliging in gangbare browsers — zonder dat een agent volledig uitgerold hoeft te worden of dat er sprake is van het verplichtstellen van derden browsers — om toegang tot SaaS en private applicaties te beschermen, zelfs vanaf niet-beheerde apparaten. De onderliggende gedachte is duidelijk: minder afhankelijkheid van VDI en VPN, zonder concessies te doen aan controle.
Waarom AI deze beslissing versnelt
De opkomst van AI brengt niet alleen nieuwe modellen en meer automatisering, maar ook nieuwe dataflows. In de praktijk vinden veel interacties met AI plaats via webinterfaces: prompts met gevoelige context, samenvattingen van interne documenten, codefragmenten plakken, zoekopdrachten en inhoudsgeneratie die bedrijfsinformatie kan bevatten.
Op dat moment wordt de browser meer dan een simpele client: het wordt een “kanaal” voor dataverkeer. In dat scenario is het niet langer voldoende om domeinen te blokkeren of verkeer te filteren; wordt het cruciaal om te controleren wat er binnen een sessie gebeurt, met welke toestemmingen en welke risicocontlabels. Daarom plaatst Zscaler de operatie in “het tijdperk van AI” en benadrukt het de noodzaak om het Zero Trust-model te versterken bij de plek waar de interacties plaatsvinden.
Voor IT en beveiliging: minder tools, meer consistentie
Voor systemen- en beveiligingsteams ligt de meerwaarde in de belofte van consolidatie: het centraliseren van toegangscontrole, de beveiligingsstatus van het apparaat en het beleid binnen de browser, vooral wanneer het uiteindelijke aantal endpoints varieert van bedrijfslaptops tot persoonlijke apparaten en “toegangsapparaten”.
Met andere woorden: als werk “browser-first” is geworden, moet het controleproces dat ook zijn. Het beheer van het gebruik van AI vergt dan ook dat beleid wordt toegepast bij de plek waar prompts worden gegenereerd, bijlagen worden gedeeld en antwoorden worden gegeven: de browser.
Een race die zich verscherpt
De marktcommunicatie is helder: “beveiliging in de browser” is geen marginale categorie meer, maar wordt geïntegreerd met Zero Trust, applicatietoegang en databeveiliging. Zscaler koopt niet alleen technologie, maar neemt ook een positie in op een terrein waar de grenzen tussen ZTNA, DLP, sessiebeveiliging en specifieke AI-controles steeds vager worden.
Als de overname daadwerkelijk de beloftes waarmaakt, resulteert dat in een model waarin de gebruiker zijn browser behoudt, maar de organisatie meer zicht krijgt en sneller kan reageren op bedreigingen en datalekken die voorheen buiten beeld vielen. En in 2026, met AI geïntegreerd in alle processen, is die “buiten bereik” zone niet meer slechts een detail: het is een operationeel risico.
Veelgestelde vragen
Wat betekent “Zero Trust-beveiliging in de browser” voor een echte organisatie?
Het toepassen van toegangs- en databeveiligingsbeleid gebaseerd op identiteit, context en risico, rechtstreeks binnen de browser, zodat websessies (SaaS en interne apps) worden beheerd met minimaal privilege en veiligheidslabels.
Hoe verschilt dit van het opzetten van een “bedrijfsbrowser” of gebruik van VDI?
Het beschrevene richt zich op het in stand houden van standaard browsers en het toevoegen van controles via integratie/extensies, waardoor frictie wordt verminderd en het gebruik van een alternatief bedrijfsbrowser of de kosten/vertragingen van VDI voor elk toegangsmoment wordt vermeden.
Waarom is dit relevant voor BYOD en niet-beheerde apparaten?
Omdat de grote uitdaging van BYOD niet alleen het toegang krijgen is, maar vooral het “laatste kilometer”-gedeelte: downloaden, bestanden uploaden, kopiëren/plakken en databeheer binnen een sessie. Daar kan een op browsers gerichte aanpak het verschil maken.
Wat moet IT evalueren voordat ze beveiligingsextensies voor browsers uitrollen?
Compatibiliteit met belangrijke browsers en applicaties, impact op prestaties, beheermodel (beleid, updates, telemetry), gebruikerservaring en hoe de gebeurtenissen worden geïntegreerd met het Security Operations Center (SIEM/SOAR) voor respons en tracering.
vía: zscaler