De beveiliging van applicaties verschuift snel naar een terrein dat steeds ongemakkelijker wordt voor bedrijven: het moment waarop de software al in productie draait. Jarenlang lag de focus van cybersecuritystrategie vooral op het detecteren van kwetsbaarheden vóór uitrol, met behulp van code-analyse, afhankelijkheidsscans en ‘shift-left’-controles. Hoewel die aanpak nog steeds belangrijk is, lijkt ze niet langer voldoende.
Het rapport “2026 State of Modern Application & AI Security”, uitgegeven door Cloud Security Alliance en in opdracht van Miggo Security, wijst op een duidelijke kloof tussen het opsporen van kwetsbaarheden en het voorkomen dat deze leiden tot daadwerkelijke incidenten. Uit onderzoek onder meer dan 900 cybersecurity-leiders blijkt dat veel organisaties wel kwetsbaarheden kennen vóór productie, maar er niet snel genoeg in slagen deze te verhelpen in een tijdsbestek dat nodig is nu kunstmatige intelligentie de uitbuiting ervan versnelt.
Het probleem is niet alleen het vinden van kwetsbaarheden, maar tijdig handelen
Een belangrijke bevinding uit het rapport is dat bijna de helft van de organisaties die in productie een incident meemaakten, aangeeft dat dit gerelateerd was aan een kwetsbaarheid die al door het beveiligingsteam was geïdentificeerd vóór de release. Het probleem lag dus niet altijd in het niet detecteren, maar vooral in de tijd tussen het bewustzijn van het risico en het effectief kunnen aanpakken ervan.
Het patching-venster is een van de grote operationele zwakten geworden. Volgens het onderzoek pakt slechts 9% van de organisaties kritische of hoog-severity kwetsbaarheden in productie binnen 24 uur aan. De meerderheid, namelijk 74%, heeft daar één tot zeven dagen voor nodig. In een traditioneel scenario was dat nog redelijk, maar in een context waar AI de uitbuiting versnelt, begint dat lang te lijken.
Het verschil in resultaten is opvallend. Organisaties die zeven dagen of langer nodig hebben voor patching, ervaarden in 97% van de gevallen incidenten door bekende kwetsbaarheden, tegenover 77% bij degenen die binnen 24 uur kunnen corrigeren. Ook al blijft geen enkele organisatie volledig gevrijwaard, de data tonen aan dat elke dag vertraging het risico aanzienlijk verhoogt.
| Rapportindicator | Belangrijkste gegevens | Consolidatie voor bedrijven |
|---|---|---|
| Ondervraagde organisaties | Meer dan 900 cybersecurity-leiders | Een brede representatie van securityverantwoordelijken |
| Kritische kwetsbaarheden die binnen 24 uur worden aangepakt | 9% | Snelle reactie is nog niet de norm |
| Organisaties die 1-7 dagen nodig hebben voor patching | 74% | Veel organisaties blijven blootgesteld |
| Incidenten door bekende kwetsbaarheden in patch-cycli van 4-7 dagen | 97% | Lange cycli verhogen operationeel risico |
| Organisaties met AI-componenten in productie | 70% | AI is geïntegreerd in echte applicaties |
| Geen realtime inzicht in AI gedrag in runtime | 82% | Security voor AI loopt achter op deployments |
| Dispositie voor betrouwbare virtual patching | 73% | Interesse in snelle mitigaties zonder wachten op volledige patches |
| Plannen om meer te investeren in runtime security | 42% | Budget verschuift naar bescherming in productie |
Runtime security: het ontbrekende schakeltje tussen melding en patch
Het rapport zet vraagtekens bij een gangbare gedachte van de afgelopen jaren: dat security eerder in het ontwikkelproces brengen (‘shift-left’) voldoende zou zijn om risico’s te verminderen. Hoewel deze aanpak het detecteren heeft verbeterd, blijft er een kloof bestaan tussen het ontdekken en het succesvol uitbuiten van kwetsbaarheden. Moderne applicaties vertrouwen op open source bibliotheken, frameworks, APIs, third-party diensten en AI-componenten die zich blijven ontwikkelen, zelfs nadat de eigen code al in productie staat.
Daarom wint het concept van runtime security terrein. Dit houdt in dat je applicaties niet alleen voor, maar ook tijdens het draaien bewaakt en beschermt. Deze laag maakt het mogelijk te begrijpen welke kwetsbaarheden echt exploiteerbaar zijn, welke onderdelen actief worden aangevallen, welke componenten blootstaan en welke mitigaties snel kunnen worden toegepast terwijl het team het definitieve patchproces voorbereidt.
Daarbij komt ook virtual patching kijken, een techniek waarmee geprobeerd wordt exploits te blokkeren of te beperken zonder direct de broncode aan te passen. Het is geen vervanging voor het echte patchen, maar kan wel tijdens de uren of dagen dat een patch wordt getest en uitgerold, de blootstelling verkleinen. Uit het rapport blijkt dat 73% van de ondervraagden virtual patching zou inzetten als dit exploits in productie effectief kan blokkeren met weinig valse positieven.
De crux ligt in precisie. Een te streng mitigatiesysteem kan legitieme processen verstoren, terwijl een te permissieve aanpak aanvallen doorlaat. Het rapport benadrukt daarom dat runtime security moet worden gebaseerd op bewijs van exploitability, niet alleen op de theoretische aanwezigheid van een kwetsbaarheid.
AI in productie, maar zichtbaarheid blijft achter
AI vergroot deze kloof. 70% van de ondervraagde organisaties heeft AI-componenten in gebruik in productie, maar 82% kan het gedrag van deze systemen niet realtime volgen tijdens de uitvoering. Deze gebrek aan zichtbaarheid is zorgelijk, vooral omdat AI-toepassingen zich dynamischer kunnen gedragen dan traditionele software.
Modellen, agents en intelligente componenten kunnen gegevens benaderen, tools aanroepen, antwoorden genereren, APIs gebruiken en workflows aanpassen op basis van de context. Zonder realtime zicht op wat er gebeurt, wordt het namelijk steeds moeilijker om misbruik, afwijkend gedrag, afhankelijkheidsuitbuiting, datablootstelling of misbruik van geautomatiseerde functies te detecteren.
De druk komt niet alleen van de verdediging, maar ook van aanvallers. Zij gebruiken geavanceerde modellen om kwetsbaarheden te analyseren, tests te versnellen, exploits te genereren, payloads aan te passen en geautomatiseerd te werk te gaan. Het rapport noemt dit post-Mythos-achtige scenario’s, waarin exploits zich met machine-snelheid ontwikkelen. Wanneer bedrijven het tempo van ontdekken en patchen niet kunnen bijbenen, wordt het operationele risico onhoudbaar.
De duidelijke conclusie is dat niet alleen de locatie van risico’s, maar ook de blootstellingsduur in productie, steeds belangrijker wordt. Hoe langer een organisatie risico’s in productie heeft, des te groter de kans dat een aanval succesvol is. Die blootstellingsduur wordt daardoor een kritische metriek naast het aantal gevonden kwetsbaarheden.
Een verdraaiing van de prioriteiten voor CIO’s
De data uit het rapport wijzen op een verandering in budgettaire prioriteiten. 42% van de organisaties plan om binnen twee jaar meer te investeren in runtime security. Logisch, want als controles vóór uitrol niet voorkomen dat bekende kwetsbaarheden in productie komen, is een extra beveiligingslaag nodig die snel kan reageren wanneer een patch niet meteen toepasbaar is.
Dit betekent niet dat het shift-left-principe verdwijnt. Het vroegtijdig analyseren van code, dependencies en infrastructuur blijft essentieel. Maar de nieuwe aanpak vraagt om integratie met beveiliging in productie, exploitabiliteitsdetectie, observability, prioritering op basis van context en snelle mitigatie.
Voor veel bedrijven wordt dit een organisatorische uitdaging, naast een technische. Het binnen 24 uur patchen vereist een actueel inventory, betrouwbare pipelines, geautomatiseerde tests, goede afstemming tussen team security en ontwikkeling, rollback-capaciteit en een cultuur van snelle respons. Zonder die elementen kan zelfs een bekende kwetsbaarheid dagen blijven liggen.
AI dwingt organisaties hun tolerantie voor vertraging te herzien. Bedrijven die niet inzicht hebben in welke applicaties blootstaan, welke dependencies ze gebruiken, welke AI-componenten actief zijn en welke risico’s echt uitbuitbaar zijn, lopen grote achterstand op in snelle respons. Het CSA-rapport herinnert eraan dat, terwijl het patchproces nog loopt, organisaties zich moeten beschermen tegen de risico’s die al in productie zijn!
Veelgestelde vragen
Wat is runtime security?
Het is beveiliging die wordt toegepast op applicaties en systemen tijdens de productieoperatie. Het maakt het mogelijk om gedrag in real-time te observeren, exploitatiekansen te detecteren en mitigaties toe te passen voordat een kwetsbaarheid leidt tot incidenten.
Waarom is het shift-left-principe niet meer voldoende?
Omdat het detecteren van kwetsbaarheden vóór uitrol niet garandeert dat ze op tijd worden verholpen. Veel organisaties blijven bekende problemen naar productie brengen of doen er dagen over om ze te patchen, waardoor er een tijdvak ontstaat waarin aanvallers kunnen profiteren.
Wat houdt virtual patching in?
Het is een tijdelijke mitigatie die exploits kan blokkeren of verminderen zonder direct de broncode aan te passen. Het is geen vervanging voor een volledige patch, maar helpt de blootstelling te beperken tijdens de tijd dat een patch wordt getest en uitgerold.
Waarom verhoogt AI de druk op patching?
Omdat AI zowel de detectie als de uitbuiting ervan versnelt. Als aanvallers de tijd tussen het lek en het daadwerkelijke gebruik verkorten, moeten organisaties snellere mitigatierondes doorvoeren.
Bron: cloudsecurityalliance