De meeste organisaties (70%) heeft moeite om het groeiend aantal kwetsbaarheden op te lossen. Dat blijkt uit recent onderzoek van internationaal cybersecuritybedrijf Hadrian. Ondanks dat er veel geïnvesteerd wordt in tools, data en dekking, kunnen er nog steeds niet real-world risico’s opgelost worden. Dit komt door de groeiende kloof tussen de hoeveelheid data die securitytools opleveren en de daadwerkelijke security-posture van organisaties. “Deze zogenaamde verificatie crisis, laat zien dat securityteams steeds meer kwetsbaarheden hebben, maar de middelen missen om vast te stellen welke daadwerkelijk exploiteerbaar zijn en dus urgent,” aldus Rogier Fischer, CEO en medeoprichter van Hadrian.
Bijna alle (95%) security professionals zijn ontevreden over hun vermogen om herstelmaatregelen te prioriteren op basis van de werkelijke risico's. Alhoewel het zicht op het aanvalsoppervlak is verbeterd doordat veel organisaties de afgelopen jaren tooling hebben uitgerold om hun internet-exposed systemen te monitoren. Toont het vertrouwen in securitybesluitvorming juist een daling.
De verkeerde dingen meten
De kern van het probleem ligt bij metingen. Hoewel Continuous Threat Exposure Management (CTEM)-programma’s steeds vaker worden toegepast, meet slechts een derde van de organisaties of het daadwerkelijk exploiteerbare risico in de tijd wordt teruggedrongen. In plaats daarvan blijven de meeste programma’s sturen op discovery-metrics zoals coverage gaps, assets aantallen en alertvolumes. Deze indicatoren zorgen wel voor meer activiteit, maar leiden niet tot betere uitkomsten of lagere exposure.
“Securityprogramma’s blijven tools toevoegen en hun scope uitbreiden, maar de resultaten verbeteren niet,” zegt Fischer. “Teams meten hoeveel ze vinden, niet hoeveel daadwerkelijk risico ze wegnemen. Zonder verificatie van exploiteerbaarheid leidt meer data niet tot sneller herstel, maar tot verlamming.”
Herstelsnelheid verhult een dieper probleem
Uit Hadrians onderzoek onder 300 organisaties blijkt dat slechts 0,47% van de bevindingen uit kwetsbaarheidscanners in de praktijk daadwerkelijk exploiteerbaar is. Daardoor raken teams bedolven onder ruis. De hersteldata laat bovendien zien dat securityteams moeite hebben om focus vast te houden over langere tijd.
Hoewel de gemiddelde hersteltijd voor kritieke kwetsbaarheden slechts vier dagen is en 22 dagen voor high-severity issues, loopt de gemiddelde hersteltijd op tot respectievelijk 64 en 139 dagen. Dit verschil laat zien dat teams snel kunnen handelen wanneer urgentie duidelijk is, maar dat een deel van de risico’s maandenlang blijft liggen.
Onopgeloste risico’s krijgen staartjes
De onopgeloste risico’s krijgen steeds meer staartjes en verlengen de exposure-periode aanzienlijk. De traagste 10% van kritieke kwetsbaarheden blijft langer dan vier maanden openstaan, terwijl high-severity kwetsbaarheden soms meer dan een jaar onopgelost blijven. Het gaat hierbij niet om gemiste bevindingen, maar om bekende kwetsbaarheden die blijven concurreren om aandacht terwijl nieuwe alerts en tickets blijven binnenkomen vanuit een steeds verder uitdijend securitytooling-landschap.
“Securityteams kunnen snel schakelen, maar een overvloed aan tools en niet-geverifieerde alerts maakt het lastig om structureel focus te houden op wat er écht toe doet,” aldus Fischer.
Het Offensive Security rapport van Hadrian stelt dat het terugdringen van exposure in 2026 vraagt om een verschuiving van enkel zichtbaarheid naar helderheid. Dat betekent: exploitatie vroegtijdig valideren, herstelinspanningen afstemmen op bewezen risico’s en succes meten aan de hand van hoeveel daadwerkelijk risico wordt weggenomen. Niet aan het aantal gegenereerde bevindingen.