Organisaties wereldwijd nemen steeds vaker afscheid van traditionele VPN-oplossingen. Uit het 2025 VPN Risk Report van Zscaler ThreatLabz blijkt dat 65% van de bedrijven van plan is om hun VPN’s binnen een jaar te vervangen.
De overstap wordt gedreven door groeiende zorgen over beveiligingsrisico’s – met name ransomware-aanvallen -, compliance en operationele knelpunten. Volgens het rapport ziet 92% van de ondervraagde organisaties ransomware als een direct gevolg van ongepatchte VPN’s. Daarnaast vreest 93% voor backdoor-kwetsbaarheden via VPN-verbindingen van leveranciers of partners. De ooit zo veilige technologie voor toegang op afstand wordt nu beschouwd als een risico voor het bedrijfsnetwerk.
Tussen 2020 en 2024 groeide het aantal CVE’s (Common Vulnerabilities and Exposures) voor VPN-systemen met ruim 80%. Vooral kwetsbaarheden die remote code execution (RCE) mogelijk maken, komen vaak voor. Zo wist een buitenlandse cyberspionagegroep recent nog misbruik te maken van een populaire VPN-oplossing, wat resulteerde in ongeautoriseerde toegang tot gevoelige data.
“Cybercriminelen gebruiken nu ook AI-tools om systematisch naar kwetsbaarheden te zoeken,” waarschuwt Deepen Desai, Chief Security Officer bij Zscaler. “Een veelvoorkomende methode is het opvragen van actuele VPN-CVE’s via publieke GPT-modellen. Deze tactieken zorgen ervoor dat aanvallers snel en gericht kunnen toeslaan.”
Om deze risico’s te beperken, zetten veel organisaties in op zero trust-architecturen. Volgens het onderzoek is 81% al bezig met implementatie of wil dat binnen een jaar realiseren. Maar volgens Zscaler zijn er nog steeds leveranciers die hun in de cloud gehoste VPN-diensten presenteren als zero trust-oplossingen, terwijl ze in de kern dezelfde kwetsbaarheden behouden. Met het toenemende gebruik van AI door zowel aanvallers als verdedigers, lijken de dagen van de klassieke VPN geteld.
