Uit onderzoek van cybersecuritybedrijf Hadrian blijkt dat 70 procent van de organisaties moeite heeft om het toenemende aantal kwetsbaarheden effectief op te lossen. Ondanks investeringen in securitytools en dataverzameling blijft het lastig om vast te stellen welke risico’s in de praktijk daadwerkelijk urgent zijn.
Volgens het onderzoek ontstaat er een groeiende kloof tussen de hoeveelheid data die securitytools genereren en het werkelijke inzicht in de securityposture van organisaties. Securityteams zien steeds meer kwetsbaarheden, maar beschikken niet altijd over voldoende middelen om te bepalen welke daarvan ook echt misbruikt kunnen worden. Daardoor blijft een deel van de risico’s onopgelost.
Bijna alle ondervraagde securityprofessionals geven aan ontevreden te zijn over hun vermogen om herstelmaatregelen te prioriteren op basis van reële risico’s. Hoewel het zicht op het aanvalsoppervlak is verbeterd door bredere inzet van monitoringtools voor internet-blootgestelde systemen, is het vertrouwen in securitybesluitvorming juist afgenomen.
Het onderzoek wijst met name op het gebruik van verkeerde meetmethoden. Continuous Threat Exposure Management-programma’s worden steeds vaker toegepast, maar slechts een derde van de organisaties meet of het daadwerkelijk exploiteerbare risico in de tijd afneemt. In plaats daarvan sturen veel teams op indicatoren zoals het aantal gevonden assets, coverage gaps en alertvolumes. Deze metingen leiden volgens het onderzoek tot meer activiteit, maar niet tot aantoonbaar lagere exposure.
Uit data van 300 onderzochte organisaties blijkt dat slechts 0,47 procent van de bevindingen uit kwetsbaarheidsscanners in de praktijk ook daadwerkelijk exploiteerbaar is. Daardoor raken teams overspoeld door meldingen die weinig bijdragen aan risicoreductie. De herstelcijfers laten zien dat teams snel kunnen handelen wanneer urgentie duidelijk is, maar moeite hebben om die focus vast te houden.
De gemiddelde hersteltijd voor kritieke kwetsbaarheden bedraagt vier dagen en voor high-severity kwetsbaarheden 22 dagen. Wanneer kwetsbaarheden echter niet direct als urgent worden herkend, loopt de gemiddelde hersteltijd op tot respectievelijk 64 en 139 dagen. De traagste tien procent van kritieke kwetsbaarheden blijft zelfs langer dan vier maanden openstaan, terwijl sommige high-severity kwetsbaarheden meer dan een jaar onopgelost blijven.
Volgens het rapport zorgen onopgeloste kwetsbaarheden voor steeds langere exposure-perioden. Het gaat daarbij om bekende risico’s die blijven concurreren om aandacht, terwijl nieuwe alerts en tickets blijven binnenkomen vanuit een groeiend aantal securitytools. Dat maakt het lastig om structureel prioriteit te geven aan risico’s die daadwerkelijk impact hebben.
Het Offensive Security-rapport van Hadrian stelt dat het terugdringen van exposure in 2026 vraagt om een verschuiving van focus. Niet het aantal bevindingen, maar het aantoonbaar wegnemen van exploiteerbare risico’s zou daarbij centraal moeten staan.
