Uit het Web Application Security Report 2026van Fortinet blijkt dat veel organisaties moeite hebben om de beveiliging van applicaties, API’s en AI-workloads af te stemmen op de snelheid waarmee die omgevingen evolueren. Slechts 29% van de bevraagde securityprofessionals zegt vertrouwen te hebben in de algemene beveiliging van applicaties. Voor AI-geïntegreerde applicaties daalt dat aandeel tot 15% en voor de verdediging tegen AI-gegenereerde aanvallen tot 12%.
Volgens Fortinet tonen die cijfers aan dat de beveiligingsaanpak in veel organisaties onder druk staat door de toenemende complexiteit van moderne digitale omgevingen.
“Applicaties, API’s en AI-workloads evolueren vandaag bijzonder snel, maar in veel organisaties steunt de beveiliging nog op modellen die daar onvoldoende op afgestemd zijn”, zegt Yves Lemage, Director Systems Engineering bij Fortinet Belux. “Dat vraagt niet alleen om extra controles, maar vooral om een aanpak die beter aansluit bij hoe moderne applicaties worden gebouwd, gebruikt en aangevallen.”
Beperkte zichtbaarheid vergroot risico’s
Het rapport wijst ook op een opvallend probleem als het gaat om kennis van de gebruikte applicaties. Slechts 13% van de organisaties zegt er volledig vertrouwen in te hebben dat ze alle applicaties en API’s in hun omgeving kennen. Tegelijk beschouwt 67% API’s als de meest risicovolle applicatiecategorie, terwijl 53% API’s identificeert als een van de grootste lacunes op het vlak van zichtbaarheid.
“Veel organisaties weten dat API’s een cruciale risicolaag vormen, maar hebben daar tegelijk nog onvoldoende volledig zicht op”, aldus Yves Lemage. “Net die combinatie maakt het moeilijk om beveiliging echt proactief aan te sturen.”
Aanvallen worden sneller, dynamischer en moeilijker te onderscheiden
Daarnaast laat het onderzoek zien dat ook het dreigingslandschap verder verandert. Zo meldt 74% van de organisaties een stijging in AI-ondersteunde of AI-gegenereerde aanvallen. Aanvallen met gestolen of misbruikte inloggegevens waren goed voor 58% van de incidenten.
Aanvallen zijn niet noodzakelijk volledig nieuw, maar wel sneller, dynamischer en moeilijker te onderscheiden van legitiem verkeer. Dat zet bijkomende druk op bestaande beveiligingscontroles. De aard van veel aanvallen is op zich bekend, maar de schaal, snelheid en aanpasbaarheid zijn sterk toegenomen. Daardoor volstaat het steeds minder om beveiliging als een verzameling losstaande securityoplossingen te organiseren.
Detectie en respons blijven vaak te traag
Ook op het vlak van detectie en respons signaleert het rapport belangrijke knelpunten. Slechts 20% van de organisaties detecteert incidenten binnen uren. Bij meer dan de helft duurt dat een week of langer, en bij bijna een derde zelfs meer dan een maand. Fortinet ziet daarin een aanwijzing dat signalen en controles in veel omgevingen nog te versnipperd zijn. Wanneer detectie verspreid zit over meerdere systemen, ontbreekt het vaak aan een geïntegreerd overzicht, wat snelle respons bemoeilijkt.
Verder blijkt dat slechts 5% tevreden is over de huidige applicatiebeveiligingstools, terwijl 62% oplossingen consolideert of dat van plan is. Dat wijst erop dat organisaties steeds meer op zoek gaan naar vereenvoudiging en samenhang in hun beveiligingsarchitectuur.
Nood aan meer geïntegreerde aanpak
Op basis van het onderzoek pleit Fortinet voor een meer geïntegreerde benadering van applicatie- en API-beveiliging, waarbij zichtbaarheid, inspectie en handhaving nauwer op elkaar aansluiten.
“De vraag is niet alleen welke extra beveiligingsoplossing nog kan worden toegevoegd”, besluit Yves Lemage. “De grotere uitdaging is hoe organisaties tot een architectuur komen waarin zichtbaarheid, inspectie en handhaving beter samenwerken. Alleen zo kan beveiliging mee evolueren met moderne applicaties en API’s.”
