Cybersecurity leverancier Fortinet heeft zijn Web Application Security Report 2026 gepubliceerd. Hieruit blijkt dat organisaties moeite hebben met de snelle ontwikkelingen rond AI, webapplicaties en API’s. Veel beveiligingsoplossingen zijn ontworpen voor voorspelbaar verkeer en menselijke interacties. Tegenwoordig moeten zij echter ook AI-gegenereerde verzoeken en geautomatiseerde processen analyseren. Hierdoor ontstaat een groeiende kloof tussen wat applicaties daadwerkelijk doen en wat beveiligingssystemen kunnen monitoren. Dat dit een flinke uitdaging is, blijkt ook uit de cijfers. Het onderzoek laat zien dat slechts 29% van de respondenten vertrouwen heeft in de algehele beveiliging van hun applicaties. Voor applicaties waarin AI is geïntegreerd daalt dit naar 15%, en slechts 12% voelt zich voldoende voorbereid op AI-gegenereerde aanvallen.
Grootste zichtbaarheidstekorten bevinden zich op de risicovolste plekken
Van alle respondenten meent slechts 13% dat zij volledig inzicht hebben in alle applicaties en API’s binnen hun omgeving. Tegelijkertijd beschouwt 67% API’s als de grootste risicofactor. Meer dan de helft van de organisaties (53%) geeft aan onvoldoende zicht te hebben op hun API-landschap. AI versnelt deze ontwikkeling doordat nieuwe endpoints dynamisch ontstaan, afhankelijkheden buiten standaardprocessen worden toegevoegd en ongecontroleerde AI-tools (‘shadow AI’) hun intrede doen. Hierdoor zijn traditionele inventarisatiemodellen steeds minder effectief.
Aanvalstechnieken zijn bekend, maar de uitvoering verandert
Aanvallen zoals credential stuffing, misbruik van API’s en aanvallen op applicatieniveau blijven de belangrijkste toegangspunten. De uitvoering ervan is echter veranderd. AI-ondersteunde aanvallen werken continu, passen zich realtime aan beveiligingsmaatregelen aan en lijken steeds vaker op normaal gebruikersverkeer. Volgens het rapport heeft 74% van de organisaties een toename gezien van AI-gegenereerde of AI-ondersteunde aanvallen. Credential-gerelateerde aanvallen zijn verantwoordelijk voor 58% van de incidenten. Deze aanvallen zijn succesvol omdat zij gebruikmaken van legitieme toegangswegen en activiteiten uitvoeren die moeilijk te onderscheiden zijn van normaal gedrag. Alleen authenticatie is daarom niet langer voldoende bescherming. Effectieve beveiliging moet ook plaatsvinden op API- en sessieniveau.
Versnipperde tooling vergroot de problemen
Slechts 5% van de organisaties is tevreden over de huidige applicatiebeveiligingstools. Daarnaast geeft 62% aan beveiligingsoplossingen te consolideren of plannen hiervoor te hebben. Belangrijke knelpunten zijn inconsistente beleidsafdwinging, dubbele functionaliteiten en versnipperde telemetrie over verschillende beveiligingsoplossingen.
Het rapport noemt daarnaast beperkte zichtbaarheid, veel false positives en gebrekkige integraties tussen tools als terugkerende uitdagingen. Deze problemen worden groter wanneer inspectie en handhaving plaatsvinden in afzonderlijke webapplicaties en API-beveiligingssystemen.
Wat applicatiebeveiliging nu nodig heeft
Om de bescherming te verbeteren moeten organisaties verschillende uitdagingen gelijktijdig aanpakken:
- Continu inzicht verkrijgen in applicaties en API’s.
- Verkeer inspecteren, ook nadat gebruikers zijn geauthenticeerd.
- Bedreigingen realtime detecteren.
- Context delen tussen verschillende beveiligingslagen.
- Het aantal losse beveiligingsoplossingen verminderen en beleid centraal afdwingen.
Conclusie
De onderzoeksresultaten laten zien dat organisaties onvoldoende zicht hebben op hun applicaties en API’s, terwijl aanvallers steeds sneller en geavanceerder opereren. Traditionele, statische beveiligingsmaatregelen schieten tekort in een omgeving waarin AI een steeds grotere rol speelt. Om deze kloof te dichten, moeten organisaties beveiliging benaderen als een geïntegreerd geheel waarin zichtbaarheid, inspectie, detectie en handhaving nauw samenwerken. Het inzetten van een geïntegreerd platform dat webapplicatie- en API-beveiliging combineert is hierbij essentieel.
Het Web Application Security Report 2026 is gebaseerd op een wereldwijde enquête onder meer dan 800 securityprofessionals en is hier beschikbaar.