Fortinet-rapport: Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen

Fortinet heeft het Web Appli­ca­tion Security Report 2026 gepu­bli­ceerd. Hieruit blijkt dat orga­ni­sa­ties moeite hebben met de snelle ontwik­ke­lingen rond AI, webap­pli­ca­ties en API’s. Veel bevei­li­gings­op­los­singen zijn ontworpen voor voor­spel­baar verkeer en mense­lijke inter­ac­ties. Tegen­woordig moeten zij echter ook AI-gege­ne­reerde verzoeken en geau­to­ma­ti­seerde processen analy­seren. Hierdoor ontstaat een groeiende kloof tussen wat appli­ca­ties daad­wer­ke­lijk doen en wat bevei­li­gings­sys­temen kunnen monitoren.

Dat dit een flinke uitdaging is, blijkt ook uit de cijfers. Het onderzoek laat zien dat slechts 29% van de respon­denten vertrouwen heeft in de algehele bevei­li­ging van hun appli­ca­ties. Voor appli­ca­ties waarin AI is geïn­te­greerd daalt dit naar 15%, en slechts 12% voelt zich voldoende voor­be­reid op AI-gege­ne­reerde aanvallen. 

Grootste zichtbaarheidstekorten bevinden zich op de risicovolste plekken

Van alle respon­denten meent slechts 13% dat zij volledig inzicht hebben in alle appli­ca­ties en API’s binnen hun omgeving. Tege­lij­ker­tijd beschouwt 67% API’s als de grootste risi­co­factor. Meer dan de helft van de orga­ni­sa­ties (53%) geeft aan onvol­doende zicht te hebben op hun API-landschap.

AI versnelt deze ontwik­ke­ling doordat nieuwe endpoints dynamisch ontstaan, afhan­ke­lijk­heden buiten stan­daard­pro­cessen worden toege­voegd en onge­con­tro­leerde AI-tools (‘shadow AI’) hun intrede doen. Hierdoor zijn tradi­ti­o­nele inven­ta­ri­sa­tie­mo­dellen steeds minder effectief.

Aanvalstechnieken zijn bekend, maar de uitvoering verandert

Aanvallen zoals creden­tial stuffing, misbruik van API’s en aanvallen op appli­ca­tie­ni­veau blijven de belang­rijkste toegangs­punten. De uitvoe­ring ervan is echter veranderd. AI-onder­steunde aanvallen werken continu, passen zich realtime aan bevei­li­gings­maat­re­gelen aan en lijken steeds vaker op normaal gebrui­kers­ver­keer. Volgens het rapport heeft 74% van de orga­ni­sa­ties een toename gezien van AI-gege­ne­reerde of AI-onder­steunde aanvallen. Creden­tial-gere­la­teerde aanvallen zijn verant­woor­de­lijk voor 58% van de incidenten.

Deze aanvallen zijn succesvol omdat zij gebruik­maken van legitieme toegangs­wegen en acti­vi­teiten uitvoeren die moeilijk te onder­scheiden zijn van normaal gedrag. Alleen authen­ti­catie is daarom niet langer voldoende bescher­ming. Effec­tieve bevei­li­ging moet ook plaats­vinden op API- en sessieniveau.

Versnipperde tooling vergroot de problemen

Slechts 5% van de orga­ni­sa­ties is tevreden over de huidige appli­ca­tie­be­vei­li­gingstools. Daarnaast geeft 62% aan bevei­li­gings­op­los­singen te conso­li­deren of plannen hiervoor te hebben. Belang­rijke knel­punten zijn incon­sis­tente beleids­af­dwin­ging, dubbele func­ti­o­na­li­teiten en versnip­perde tele­me­trie over verschil­lende beveiligingsoplossingen.

Het rapport noemt daarnaast beperkte zicht­baar­heid, veel false positives en gebrek­kige inte­gra­ties tussen tools als terug­ke­rende uitda­gingen. Deze problemen worden groter wanneer inspectie en hand­ha­ving plaats­vinden in afzon­der­lijke webap­pli­ca­ties en API-beveiligingssystemen.

Wat applicatiebeveiliging nu nodig heeft

Om de bescher­ming te verbe­teren moeten orga­ni­sa­ties verschil­lende uitda­gingen gelijk­tijdig aanpakken:

• Continu inzicht verkrijgen in appli­ca­ties en API’s.
• Verkeer inspec­teren, ook nadat gebrui­kers zijn geauthenticeerd.
• Bedrei­gingen realtime detecteren.
• Context delen tussen verschil­lende beveiligingslagen.
• Het aantal losse bevei­li­gings­op­los­singen vermin­deren en beleid centraal afdwingen.

Conclusie

De onder­zoeks­re­sul­taten laten zien dat orga­ni­sa­ties onvol­doende zicht hebben op hun appli­ca­ties en API’s, terwijl aanval­lers steeds sneller en geavan­ceerder opereren. Tradi­ti­o­nele, statische bevei­li­gings­maat­re­gelen schieten tekort in een omgeving waarin AI een steeds grotere rol speelt. Om deze kloof te dichten, moeten orga­ni­sa­ties bevei­li­ging benaderen als een geïn­te­greerd geheel waarin zicht­baar­heid, inspectie, detectie en hand­ha­ving nauw samen­werken. Het inzetten van een geïn­te­greerd platform dat webap­pli­catie- en API-bevei­li­ging combi­neert is hierbij essentieel.

Het Web Appli­ca­tion Security Report 2026 is gebaseerd op een wereld­wijde enquête onder meer dan 800 secu­ri­ty­pro­fes­si­o­nals en is hier beschik­baar.