De door AI aangestuurde exploitatietijdlijnen worden snel kleiner, en dat zal niet stoppen met krimpen. Kwetsbaarheden worden sneller dan ooit ontdekt, gereproduceerd en bewapend in de geschiedenis van bedrijfsbeveiliging. Als gevolg hiervan wordt de periode tussen het openbaar worden van een kwetsbaarheid en de willekeurige uitbuiting die op internet wordt waargenomen, nu gemeten in uren en niet in dagen.
Het belangrijkste antwoord van de industrie was grotendeels: sneller patchen.
Regelgevers zeggen het, besturen verwachten het en leidinggevenden eisen het. Maar voor de meeste ondernemingen is dit geen knop die verdedigers kunnen indrukken. Patchen is een gecontroleerd proces dat wordt bepaald door uptime-eisen, stabiliteitstests, wijzigingsvensters, bedrijfsgoedkeuringen, nalevingsverplichtingen en de realiteit dat productiesystemen niet kapot kunnen worden gemaakt in naam van de urgentie.
Hoewel patchen nog steeds essentieel is, is alleen patchen of zelfs sneller patchen niet langer een compleet antwoord op dit ‘nieuwe normaal’ en de toestroom van onthulde kwetsbaarheden. De Project Glasswing-update van Anthropic in mei 2026 maakte het moeilijk om de onevenwichtigheid te negeren. Het bedrijf zei dat het, samen met ongeveer 50 partners, Claude Mythos Preview heeft gebruikt om in één maand meer dan 10.000 zeer ernstige of kritieke kwetsbaarheden in systeemrelevante software te identificeren, terwijl veel andere organisaties vergelijkbare resultaten rapporteren met interne inspanningen, aangestuurd door AI.
AI industrialiseert het onderzoek naar kwetsbaarheden, maar niet alleen voor verdedigers of softwareleveranciers. Aanvallers gebruiken dezelfde tools, met hetzelfde snelheidsvoordeel, om kwetsbaarheden te identificeren en te reproduceren die vervolgens worden gebruikt tegen de organisaties waarop ze zich richten.
Wat betekent dit voor de tijdlijnen en verdediging van de exploitatie?
Het knelpunt is verplaatst
Het is geen geheim dat de tijdlijnen voor exploitatie al jaren korter worden, en de laatste jaren is het niet ongebruikelijk dat onthullingen over kwetsbaarheden worden gevolgd door in-the-wild exploitatie in uren van één cijfer. Met AI zal de periode die een grote organisatie kan hebben tussen de mededeling dat er een probleem is en het moment dat iemand het tegen hen probeert te gebruiken, alleen maar kleiner worden.
Het herstel en de patching hebben daarentegen geen gelijke tred gehouden. De Verizon 2026 DBIR is op dit punt duidelijk: de gemiddelde tijd die een organisatie nodig heeft om een kritieke kwetsbaarheid te patchen, nam jaar na jaar toe, van 32 dagen naar 43 dagen.
De realiteit is wreed: terwijl aanvallers opereren op basis van tijdlijnen gemeten in uren, opereren verdedigers op tijdlijnen gemeten in weken. In die kloof vindt daadwerkelijk uitbuiting plaats.
Ja, er zijn meer kwetsbaarheden. Ja, aanvallers bewegen sneller. Maar het moeilijkste voor verdedigers is dat het herstel niet sneller gaat en misschien ook niet sneller kan gaan. Organisaties vertellen dat ze ‘gewoon sneller moeten patchen’ is hetzelfde als tegen iemand zeggen dat hij ‘groter moet zijn’. Het klinkt nuttig en goed bedoeld, maar het is niet iets dat de meeste teams zomaar kunnen doen.
Dan komt er druk van toezichthouders. Het Indiase CERT-IN heeft onlangs richtlijnen uitgegeven die wijzen op verwachtingen voor patching binnen de dag voor bepaalde kritieke kwetsbaarheden. De bedoeling is duidelijk, maar dit gaat voorbij aan de operationele realiteit.
De realistische opvatting is dat sommige kwetsbaarheden zullen worden aangepakt voordat ze volledig kunnen worden verholpen. Beveiligingsteams moeten rond deze realiteit plannen zonder nieuwe operationele risico’s te creëren. Dat betekent dat u snel een paar vragen moet beantwoorden:
- Gebruiken wij deze technologie?
- Is de kwetsbaarheid theoretisch?
- Is de kwetsbaarheid exploiteerbaar binnen onze omgeving?
- Hoe zou uitbuiting eruitzien?
- Welke tijdelijke controles kunnen het risico verminderen terwijl de normale patchcyclus loopt?
Het operationele model moet verschuiven naar preventie, validatie en mitigatie. En hier ziet u hoe u het moet doen.
Stap 1: Voorkom wat aanvallers waarschijnlijk zullen misbruiken
Niet elke openbaar gemaakte kwetsbaarheid heeft dezelfde urgentie. Sommige kwetsbaarheden zullen in de echte wereld nooit worden uitgebuit. Anderen hebben de eigenschappen waar aanvallers naar op zoek zijn: brede inzet, bereikbaarheid via internet, herhaalbare exploitatie en een duidelijk pad naar zinvolle toegang tot een doelomgeving.
In een griezelig nabije toekomst waarin we dagelijks honderden, zo niet duizenden kwetsbaarheden zien worden onthuld, betekent preventie het identificeren van welke kwetsbaarheden het meest waarschijnlijk in het wild zullen worden uitgebuit, zodat er een niveau van filtering kan worden gedaan en teams geen kritische tijd besteden aan het onderzoeken van alles. De ernst doet er nog steeds toe, maar het is nooit het hele plaatje geweest.
In een AI-gestuurde cyclus moet dat filteren plaatsvinden in de eerste uren na openbaarmaking, voordat teams de volledige lijst hebben doorgenomen. Door het veld in een vroeg stadium te verkleinen, kunnen organisaties de exploitatieperiode voor blijven, in plaats van er achteraf op te reageren.
Stap 2: Reageer snel op nieuwe bedreigingen en valideer de blootstelling
Zodra wordt vastgesteld dat in-the-wild exploitatie van een opkomende dreiging waarschijnlijk of bevestigd is, moeten verdedigers snel kunnen reageren en de specifieke blootstelling van hun organisatie kunnen valideren voordat aanvallers in actie komen.
Dat betekent dat een nieuwe campagne voor het onthullen of exploiteren van kwetsbaarheden moet worden omgezet in een omgevingsspecifiek antwoord: zijn we blootgesteld? Waar worden we blootgesteld? Wie is eigenaar van de getroffen systemen? Is exploitatie bewezen? Een snelle reactie in de praktijk op opkomende bedreigingen zou op internet gerichte systemen in bedrijfseenheden, afdelingen en dochterondernemingen moeten identificeren en de kwetsbaarheid moeten contextualiseren met relevante informatie over dreigingen.
Validatie bevestigt vervolgens of het kwetsbare onderdeel bereikbaar is voor een aanvaller en in de echte wereld kan worden misbruikt. Een mogelijke kwetsbaarheid leidt tot een onderzoek. Maar een gevalideerde, exploiteerbare kwetsbaarheid maakt, gezien de snelheid van uitbuiting in het wild, nu snelle, autonome actie noodzakelijk.
Hoe sneller teams dat onderscheid maken, hoe sneller ze kunnen beslissen wat ze willen beperken, wat ze moeten monitoren en wat via normale herstelmaatregelen kan gebeuren.
Snelheid zonder nauwkeurigheid is paniek, en nauwkeurigheid zonder snelheid is niet relevant. Beide moeten worden gecombineerd als reactie op een opkomende dreiging, voordat de uitbuiting begint.
Stap 3: Beperk om tijd te kopen voor effectief herstel
Zodra de blootstelling is gevalideerd, kan voor het herstel nog steeds testen, wijzigingsbeheer en een gecoördineerde uitrol nodig zijn.
Mitigatie vermindert de exploiteerbaarheid tijdens die periode. Voor internetgerichte systemen kan dit onder meer bestaan uit toegangsbeperkingen, het uitschakelen van kwetsbare functionaliteit, WAF- of API-regels, IDS- of IPS-updates, isolatie, configuratiewijzigingen, monitoring of tijdelijke controles die exploitpatronen blokkeren. Effectieve mitigatie moet ook worden bepaald door de manier waarop uitbuiting werkt. Een algemene regel gebaseerd op een CVE-samenvatting is zwakker dan een controle die is opgebouwd op basis van het exploitpad, de payload, de vereiste voorwaarden en bekend slecht gedrag. Deze controles hoeven niet permanent te zijn. Ze moeten de exploitatie langzamer, minder betrouwbaar en moeilijker schaalbaar maken, terwijl de organisatie veilig patches kan uitvoeren.
Autonome mitigatie dicht de kloof tussen de snelheid van de aanvaller en de patchsnelheid. Het is de enige controle die in hetzelfde tijdsbestek als uitbuiting plaatsvindt.
Dit is waar watchTowr voor is gebouwd
Het watchTowr-platform comprimeert de tijdlijn van de verdediger zodat deze overeenkomt met de door AI aangestuurde aanvalstijdlijnen. Door een door aanvallers geleide aanpak te hanteren, identificeert het platform exploiteerbare zwakheden en kwetsbaarheden, en in het licht van een meedogenloze hoeveelheid opkomende bedreigingen, stelt het organisaties voortdurend in staat snel te reageren en de blootstelling ervan te beperken.
Door gebruik te maken van AI om proactieve informatie over bedreigingen, beheer van externe aanvalsoppervlakken en autonome mitigatie samen te brengen, biedt het watchTowr-platform duidelijkheid: teams laten zien wat aanvallers kunnen zien, wat ze kunnen exploiteren en wat kan worden gedaan om de bedreiging te beperken voordat er compromissen worden gesloten.
Patchen is nog steeds noodzakelijk en absoluut essentieel. Maar in een wereld waarin exploitatie wordt aangedreven door AI, kan patchen alleen niet met de vereiste snelheid worden uitgevoerd terwijl de beschikbaarheid wordt gewaarborgd en verstoring wordt voorkomen. Het watchTowr Platform, een AI-aangedreven oplossing voor preventief blootstellingsbeheer, helpt organisaties aanvallers te voorkomen, de blootstelling aan nieuwe bedreigingen te valideren en autonoom te mitigeren om het enige te bereiken wat aanvallers niet kunnen ontlopen: tijd om te reageren.
Ga naar watchtowr.com om een demo te plannen en meer te leren over Preemptive Exposure Management.
