Securityteams besteden meer tijd aan verwerken van meldingen dan aan het oplossen van echte problemen. Slechts 0,47 procent van alle beveiligingsproblemen is daadwerkelijk bruikbaar, blijkt uit onderzoek van het Amsterdamse cyberbeveiligingsbedrijf Hadrian. Twee op de drie CISO’s noemt AI-gedreven dreigingen hun grootste zorg voor 2026.
Het Amsterdamse cybersecuritybedrijf Hadrian presenteerde deze week zijn 2026 Offensive Security Benchmark Report. Daaruit blijkt dat maar liefst 99,5 procent van de bevindingen die securityteams dagelijks tegenkomen vals positief zijn. Daardoor verdwijnen kritieke risico’s, die slechts 3 procent van alle gevalideerde meldingen uitmaken, in een golf van duizenden meldingen.
“Traditionele defensieve cybersecurity is in een AI-first realiteit in 2026 niet langer voldoende,” stelt Rogier Fischer, CEO van Hadrian. “De enige weg vooruit is een duidelijke verschuiving naar continue, offensieve cybersecurity, aangedreven door automatisering en van echte exploit validatie.”
Ruis verstoort werkelijke dreigingen
Bijna 90 procent van alle geverifieerde kwetsbaarheden krijgt het label medium of laag opgeplakt, wat vaak niet overeenkomt met het werkelijke niveau. Beveiligingsexperts worden overspoeld door meldingen die onderzocht moeten worden. Dat terwijl cyberdreigingen steeds vaker bloot komen te liggen zonder dat teams überhaupt weten dat ze bestaan.
Dat komt niet uit de lucht vallen. AI-gedreven cyberaanvallen nemen toe. “Het grootste risico richting 2026 is niet dat organisaties te weinig securitytools hebben, maar dat ze niet meer weten welke dreigingen echt zijn,” aldus Fischer. “Terwijl aanvallers precies weten waar ze moeten toeslaan.”
Machtsbalans definitief verschoven
Kunstmatige intelligentie heeft de verhoudingen in de wereld van cyberbeveiliging veranderd. Aanvallers gebruiken automatisering, grote taalmodellen en AI om binnen enkele uren kwetsbaarheden te ontdekken, combineren en misbruiken. De personen die dit aan moeten pakken blijven ondertussen vastzitten in handmatige alert-checks en eindeloze discussies over het prioriteren daarvan.
De impact is meetbaar aldus het rapport. Kritieke kwetsbaarheden worden gemiddeld binnen vier dagen verholpen, maar sommige blijven langer dan vier maanden openstaan. Blootstelling aan kwetsbaarheden begint echter vaak al binnen enkele uren. Van de zero-day-kwetsbaarheden wordt 94 procent binnen vijf dagen opgelost. Het verschil zit volgens het rapport niet in technische mogelijkheden, maar in zekerheid.
Van defensief naar offensief
Organisaties kunnen zich, volgens het rapport, alleen verdedigen met de snelheid waarmee ze de realiteit ook daadwerkelijk kunnen valideren. Aanvallers denken offensief door continu te testen, combineren en exploiteren. Experts moeten dat ook doen door automatisering, adversarial emulation en continue exploit-validatie in te zetten.
Dat is geen tool-upgrade, benadrukt Fischer, maar een strategische mentaliteitsverandering: van compliance naar confrontatie en van verdediging naar aantoonbare controle over het aanvalsoppervlak. “De sector heeft offensieve cybersecurity te lang gezien als iets geavanceerds of iets wat optioneel is. Het zou echter de norm moeten zijn,” legt Fischer uit. “Als je je omgeving niet continu test zoals aanvallers dat doen, ben je niet aan het verdedigen, je gokt.”