Het beveiligen van de supply chain en extern toegankelijke applicaties blijkt een steeds complexere puzzel, waarbij basisprincipes structureel falen. Het aantal aanvallen dat begint bij extern toegankelijke applicaties steeg het afgelopen jaar met 44 procent. Dat concludeert IBM in de onlangs verschenen X-Force Threat Intelligence Index 2026.
Het rapport schetst een verontrustend beeld van een dreigingslandschap waarin aanvallers niet per se nieuwe trucs bedenken, maar bestaande methoden razendsnel opschalen met behulp van kunstmatige intelligentie. Tijdens een webinar van IBM, waarin de bevindingen werden gepresenteerd, maakte Michelle Alvarez, Manager X-Force Strategic Threat Analysis bij IBM X-Force Consulting, meteen duidelijk hoe de vork in de steel zit.
“We zien een toename van 44 procent in de exploitatie van kwetsbaarheden ten opzichte van vorig jaar. Daarbovenop zien we een enorme toename van supply chain-aanvallen. En alsof dat nog niet genoeg is: 56 procent van de vorig jaar gevolgde kwetsbaarheden vereiste geen authenticatie om te worden uitgebuit. Een externe aanvaller kan dus op afstand code uitvoeren op een systeem, zonder dat er authenticatie nodig is. Al deze zaken zijn onlosmakelijk met elkaar verbonden.”
Aanvalsstrategie verschuift
Jarenlang was het misbruiken van gestolen inloggegevens de dominante aanvalsmethode: wie eenmaal over geldige credentials beschikte, had weinig meer nodig om toegang te krijgen. Dat patroon verschuift. Aanvallers richten zich nu primair op kwetsbaarheden in extern toegankelijke applicaties, zoals klantportalen, VPN-oplossingen en webapplicaties. Zulke applicaties waren verantwoordelijk voor 40 procent van alle door X-Force geregistreerde incidenten, tegenover 32 procent waarbij toegang werd verkregen via gecompromitteerde inloggegevens.
Die verschuiving heeft twee oorzaken. De eerste is de toenemende complexiteit van software en de wildgroei aan applicaties. Organisaties implementeren in hoog tempo nieuwe diensten en API’s, maar de beveiliging houdt dat tempo lang niet altijd bij. Het resultaat is een groter en vaak onoverzichtelijk aanvalsoppervlak, met blinde vlekken die aanvallers maar al te graag benutten. De tweede oorzaak is AI. Aanvallers gebruiken AI-gestuurde vulnerability scanning om sneller en gerichter zwakke plekken te vinden. Op de vraag of dit ook lager geschoolde aanvallers in staat stelt om mee te doen, antwoordden de X-Force-experts tijdens het webinar bevestigend: in theorie verlaagt deze technologie de drempel voor cybercriminaliteit aanzienlijk.
Daar komt nog een derde factor bij, die direct voortvloeit uit de AI-opmars aan de aanvallerszijde: ook aan de kant van de verdedigers verandert AI de spelregels, maar niet altijd ten goede. De opkomst van AI-gegenereerde code — ook wel ‘vibe coding’ genoemd — zorgt ervoor dat ontwikkelaars sneller dan ooit software kunnen bouwen. Het probleem is dat de veiligheidscontroles dat tempo niet bijhouden. Code die door AI wordt gegenereerd, is niet per definitie veilige code. “Iedereen schrijft tegenwoordig code met AI. Dan denk je: als een machine het schrijft, zal het wel geweldig zijn. Het zal fantastische code zijn en superveilig. Nee, dat is niet zo. Organisaties kunnen niet bezuinigen op het aanpakken van kwetsbaarheden en het beveiligen van hun omgevingen”, zei Limor Kessem, Global Lead Cyber Crisis Management bij IBM X-Force Consulting, tijdens het webinar.
Zwakste schakel
Onveilige code in extern toegankelijke applicaties is één probleem. Maar aanvallers hoeven niet altijd rechtstreeks op een applicatie in te breken; ze kunnen ook de omgeving aanvallen waarin die applicaties worden gebouwd en uitgerold. Het aantal grote supply chain- en derde-partij-compromissen is sinds 2020 bijna verviervoudigd, blijkt uit de X-Force Threat Intelligence Index 2026. Aanvallers maken steeds vaker misbruik van CI/CD-platforms, SaaS-integraties en andere schakels in de ontwikkelketen.
“Aanvallers willen je raken waar het pijn doet”, zegt Jake Paulson, Global Deputy Head bij IBM X-Force Consulting. “Bij een fysieke supply chain is de impact van een verstoring direct voelbaar: onderdelen komen niet aan, de productie stopt. Maar bij een software supply chain is die impact minder tastbaar, terwijl hij net zo groot kan zijn. Als een stuk software of een SaaS-integratie waarop je hele bedrijfsvoering leunt wordt gecompromitteerd, wat zijn dan de gevolgen? Hoeveel kost je dat? Dat zijn de vragen die het management moeten kunnen beantwoorden.”
Wat supply chain-aanvallen zo effectief maakt, volgens de IBM-experts, is het vertrouwen dat organisaties van nature stellen in de software en diensten die ze afnemen. Een component of integratie die eenmaal is goedgekeurd, verspreidt zich ongehinderd door de organisatie, over teams, systemen en gebruikers. Weet een aanvaller zo’n component te compromitteren, dan is de schade navenant. Opvallend is daarbij dat de grens tussen statelijke actoren en gewone cybercriminelen steeds verder vervaagt. Technieken die voorheen voorbehouden waren aan geavanceerde, door overheden gesponsorde hackers — zoals het overnemen van vertrouwde ontwikkelaarsidentiteiten of het misbruiken van SaaS-integraties — worden nu breed ingezet door financieel gemotiveerde groepen.
Vrije toegang
Wie dacht dat gestolen credentials of gecompromitteerde supply chain-componenten de grootste zorg zijn, stuit in het rapport op een gegeven dat alles in een ander perspectief plaatst. Van alle kwetsbaarheden die X-Force vorig jaar volgde, vereiste 56 procent geen enkele vorm van authenticatie om te worden uitgebuit. Aanvallers hoeven dus niet in te loggen, geen credentials te stelen en geen vertrouwde component te compromitteren — ze scannen, vinden een opening en kunnen direct overgaan tot actie.
Kessem was zelf verrast door deze uitkomst. “We praten in de securitywereld al jaren over identity access management, over privileged access management en we hebben het constant over zero trust. Ik had niet verwacht dat het ontbreken van authenticatie dit jaar als een topprioriteit naar voren zou komen. Blijkbaar moeten we als industrie en als securityprofessionals hier nog veel harder aan trekken, zeker nu organisaties steeds meer AI-agenten in de mix brengen, wat de complexiteit rondom identiteiten en toegang alleen maar vergroot.”
Het ontbreken van authenticatie maakt een aanval niet alleen makkelijker uit te voeren, maar compliceert ook de nasleep ervan aanzienlijk. Forensisch onderzoek na een incident is grotendeels afhankelijk van sporen: wie heeft ingelogd, welk account is gebruikt, welk systeem is benaderd en wanneer. Als die informatie er simpelweg niet is, valt er weinig te reconstrueren. “Als er geen credentials, geen vingerafdruk of geen identiteit worden aangetroffen, wordt forensisch onderzoek een stuk moeilijker”, zegt Paulson. Als je niet weet wie of wat een actie heeft uitgevoerd, is het vrijwel onmogelijk om de volledige omvang van een aanval in kaart te brengen.
Op de vraag waarom zoveel kwetsbaarheden geen authenticatie vereisen, is het antwoord van de IBM-experts helder: het is geen kwestie van één enkel falen, maar van een combinatie. Zowel fouten in het ontwerp en de ontwikkeling van applicaties als misconfiguraties bij implementatie en deployment dragen bij aan het probleem. Het zijn dus geen geavanceerde aanvalstechnieken die hier misbruik van maken, maar basale beveiligingsgaten die met de juiste aandacht voor security-by-design en zorgvuldige configuratie grotendeels te voorkomen zijn.
Terug naar de basis
De drie trends die het rapport distilleert, wijzen allemaal in dezelfde richting: organisaties worden niet primair geraakt door geavanceerde aanvalstechnieken, maar door basale beveiligingsgaten die al jaren bekend zijn. Dat is ook de conclusie van Paulson, Alvarez en Kessem tijdens het webinar: fundamentele beveiligingscontroles ontbreken, worden inconsistent toegepast of raken na verloop van tijd verwaarloosd. Intussen gaan aandacht en budgetten vaak naar de nieuwste securitytools, terwijl de fundering nog niet op orde is.
Paulson trekt een vergelijking die de kern van het probleem scherp neerzet. “Als we een magazijn bouwen, beginnen we met de muren. Alleen in de IT lijken we die soms te vergeten. We springen direct naar het bouwen van de binnenkant, het ontwerpen van de assemblagelijn, en vergeten dat we er muren omheen moeten zetten, met een deur erin en een slot op die deur. In de race naar productie vergeten we het beveiligingsontwerp.” Het is dus, zegt hij, grotendeels te voorkomen.
Concreet betekent dit dat organisaties continu zicht moeten houden op hun blootgestelde assets — niet alleen in de eigen omgeving, maar ook via monitoring van de attack surface, het deep en dark web en andere externe bronnen. Wie niet weet wat er van buitenaf zichtbaar is, kan het ook niet beschermen. Voor authenticatie geldt hetzelfde principe: “Het moet vroeg en consistent worden afgedwongen, met sterke toegangscontroles, om ongeautoriseerde toegang te voorkomen voordat een aanvaller voet aan de grond krijgt”, zegt Alvarez.
De druk om snel te innoveren en AI te omarmen is begrijpelijk, maar verandert niets aan de basis securityhygiëne. AI-tools toevoegen aan een onveilige fundering lost niets op; het vergroot alleen het aanvalsoppervlak. De vraag is niet óf aanvallers kwetsbaarheden vinden, maar of organisaties eerlijk durven te zijn over de staat van hun eigen fundament. Zolang de basis niet op orde is, blijft elke investering in nieuwe technologie dweilen met de kraan open. Je kunt nog zoveel uitbouwen, maar wie bouwt op zand, bouwt niet veilig.