Amsterdam,
9 februari 2026 — De meeste organisaties (70%) heeft moeite om het
groeiend aantal kwetsbaarheden op te lossen. Dat blijkt uit recent
onderzoek van internationaal cybersecuritybedrijf Hadrian. Ondanks dat er
veel geïnvesteerd wordt in tools, data en dekking, kunnen er nog steeds
niet real-world risico’s opgelost worden. Dit komt door de groeiende
kloof tussen de hoeveelheid data die securitytools opleveren en de
daadwerkelijke security-posture van organisaties. “Deze zogenaamde
verificatie crisis, laat zien dat securityteams steeds meer
kwetsbaarheden hebben, maar de middelen missen om vast te stellen welke
daadwerkelijk exploiteerbaar zijn en dus urgent,” aldus Rogier Fischer,
CEO en medeoprichter van Hadrian.
Bijna alle (95%) security professionals zijn ontevreden
over hun vermogen om herstelmaatregelen te prioriteren op basis van de
werkelijke risico's. Alhoewel het zicht op het aanvalsoppervlak is
verbeterd doordat veel organisaties de afgelopen jaren tooling hebben
uitgerold om hun internet-exposed systemen te monitoren. Toont het
vertrouwen in securitybesluitvorming juist een daling.
De
verkeerde dingen meten
De kern van het probleem ligt bij metingen. Hoewel
Continuous Threat Exposure Management (CTEM)-programma’s steeds vaker
worden toegepast, meet slechts een derde van de organisaties of het
daadwerkelijk exploiteerbare risico in de tijd wordt teruggedrongen. In
plaats daarvan blijven de meeste programma’s sturen op discovery-metrics
zoals coverage gaps, assets aantallen en alertvolumes. Deze indicatoren
zorgen wel voor meer activiteit, maar leiden niet tot betere uitkomsten
of lagere exposure.
“Securityprogramma’s blijven tools toevoegen en hun scope
uitbreiden, maar de resultaten verbeteren niet,” zegt Fischer. “Teams
meten hoeveel ze vinden, niet hoeveel daadwerkelijk risico ze wegnemen.
Zonder verificatie van exploiteerbaarheid leidt meer data niet tot
sneller herstel, maar tot verlamming.”
Herstelsnelheid
verhult een dieper probleem
Uit
Hadrians onderzoek onder 300 organisaties blijkt dat
slechts 0,47% van de bevindingen uit kwetsbaarheidscanners in de praktijk
daadwerkelijk exploiteerbaar is. Daardoor raken teams bedolven onder
ruis. De hersteldata laat bovendien zien dat securityteams moeite hebben
om focus vast te houden over langere tijd.
Hoewel de gemiddelde hersteltijd voor kritieke
kwetsbaarheden slechts vier dagen is en 22 dagen voor high-severity
issues, loopt de gemiddelde hersteltijd op tot respectievelijk 64 en 139
dagen. Dit verschil laat zien dat teams snel kunnen handelen wanneer
urgentie duidelijk is, maar dat een deel van de risico’s maandenlang
blijft liggen.
Onopgeloste
risico’s krijgen staartjes
De onopgeloste risico’s krijgen steeds meer staartjes en
verlengen de exposure-periode aanzienlijk. De traagste 10% van kritieke
kwetsbaarheden blijft langer dan vier maanden openstaan, terwijl
high-severity kwetsbaarheden soms meer dan een jaar onopgelost blijven.
Het gaat hierbij niet om gemiste bevindingen, maar om bekende
kwetsbaarheden die blijven concurreren om aandacht terwijl nieuwe alerts
en tickets blijven binnenkomen vanuit een steeds verder uitdijend
securitytooling-landschap.
“Securityteams kunnen snel schakelen, maar een overvloed
aan tools en niet-geverifieerde alerts maakt het lastig om structureel
focus te houden op wat er écht toe doet,” aldus Fischer.
Het
Offensive Security rapport van Hadrian stelt dat het
terugdringen van exposure in 2026 vraagt om een verschuiving van enkel
zichtbaarheid naar helderheid. Dat betekent: exploitatie vroegtijdig
valideren, herstelinspanningen afstemmen op bewezen risico’s en succes
meten aan de hand van hoeveel daadwerkelijk risico wordt weggenomen. Niet
aan het aantal gegenereerde bevindingen.
Note
voor de redactie
Methodologie
Het
Offensive Security Benchmark Report 2026 is gebaseerd
op een combinatie van geverifieerde risicogegevens verzameld gedurende
het kalenderjaar 2025 en kwantitatief enquêteonderzoek::
- Gevalideerde
risicodata van meer dan 300 organisaties in de Verenigde Staten, het
Verenigd Koninkrijk, Nederland, Duitsland, Frankrijk en Italië.
- Continue,
real-world exploitatie door ethische hackers van Hadrian.
- Kwantitatieve
analyse van aanvalsoppervlakken, exploiteerbaarheid en
doorlooptijden voor herstel.
- Een
focusgroep van 34 enterprise-CISO’s en senior SecOps leiders uit
verschillende sectoren.
- Kruisvalidatie
tussen platformtelemetrie, aanvallersgedrag en inzichten op
directieniveau.
Over
Hadrian
Hadrian is een toonaangevend cybersecuritybedrijf dat
gespecialiseerd is in offensieve securityoplossingen. Vanuit de missie om
organisaties te versterken vanuit het perspectief van de hacker, gebruikt
Hadrian geavanceerde technologieën om kwetsbaarheden te identificeren en
te mitigeren voordat ze kunnen worden misbruikt. Met continue monitoring
en proactieve dreigingsanalyse helpt Hadrian organisaties wereldwijd bij
het bouwen van weerbare digitale infrastructuren in een steeds complexer
cyberlandschap.