AI-systemen vinden kwetsbaarheden. Niet incidenteel, maar op een schaal en in een tempo die de traditionele kwetsbaarhedenketen onder druk zet. En als AI ze sneller vindt, vinden aanvallers ze ook sneller.

Wat er aan het verschuiven is

Tot voor kort was vulnerability discovery vooral mensenwerk: onderzoekers die maanden in een codebase doken, fuzzing-campagnes die weken liepen. Dat model schaalt niet mee met moderne softwarelandschappen.

AI-assisted vulnerability discovery verandert die economie. Palo Alto Networks bouwt AI-capaciteiten over de gehele Cortex- en Prisma-portfolio, Tenable integreert generatieve AI in zijn exposure management platform, en initiatieven zoals Project Glasswing onderzoeken hoe taalmodellen kwetsbaarheden in software kunnen opsporen. Tegelijkertijd zien we samenwerkingen ontstaan tussen securityvendors en AI-labs als OpenAI en Anthropic.

Dat AI op korte termijn menselijke onderzoekers volledig zal vervangen, blijft overdreven. Wat wél gebeurt: de productiviteit per onderzoeker neemt toe, geautomatiseerde triage wordt beter, en het aantal gevonden issues per tijdseenheid stijgt. Het netto-effect is een toenemende stroom CVE's, advisories en patches richting de defensieve kant.

Wat dit betekent voor security operations

Patch Tuesday alleen al genereert vaak tientallen updates, vendoradvisories druppelen continu binnen, en zero-days vragen ad-hoc om herprioritering. Voeg daar een structureel hogere ontdekkingsfrequentie aan toe, en de werklast wordt onhoudbaar als de aanpak niet verandert.

De schaarste verschuift van "kunnen we het vinden" naar "kunnen we het prioriteren". Niet elke CVSS 9.8 is in jouw context een 9.8. Zonder context — welk asset, welke blootstelling, welke compensating controls — verzuipt elk team in ruis. Tegelijk krimpt het venster tussen disclosure en exploitation verder, omdat dezelfde technieken die onderzoekers gebruiken ook beschikbaar zijn voor wie minder goede bedoelingen heeft.

Waarom exposure management nu doorbreekt

Tegen die achtergrond krijgt exposure management momentum. Gartner introduceerde het concept van Continuous Threat Exposure Management (CTEM) om precies dit probleem te adresseren: niet langer vulnerability management als afgesloten silo, maar een doorlopend proces dat assets, kwetsbaarheden, identiteiten, configuraties en aanvalspaden in samenhang beoordeelt.

De kern is dat het de juiste vraag stelt. Niet "welke CVE's hebben we?" — daar verdrink je in. Maar: "welke kwetsbaarheden zijn in onze omgeving daadwerkelijk exploiteerbaar, op welke kritieke assets, en welke aanvalspaden lopen daarover?" Dat reduceert duizenden findings tot een werkbare lijst van tientallen.

Voor organisaties die nu nog op klassieke vulnerability management leunen, betekent de aankomende patchgolf dat exposure management geen "nice to have" meer is.

Waar Nomios bij helpt

Managed Exposure Management combineert continue asset discovery, kwetsbaarhedenscans, configuratie-analyse en aanvalspad-modellering tot één gestructureerd proces, onder andere op basis van Tenable One.

Security Assessments — van architectuurreviews tot configuratie-audits en compliance-toetsen tegen ISO 27001, NIS2 en DORA — bieden het periodieke dieptebeeld dat continue monitoring aanvult. Groepsentiteit Dionach brengt hier diepgaande pentest-expertise in.

AI-driven pentesting is voor ons een aanvulling op, geen vervanging van, ervaren pentesters. AI vergroot de scope en versnelt reconnaissance; het oordeel over wat een vinding waard is, blijft mensenwerk.

Tot slot

De patchgolf is geen voorspelling. Hij is er al, en hij neemt elk kwartaal toe. Dezelfde AI-ontwikkeling die de aanvalskant versnelt, versterkt ook de verdediging — mits je de processen en structuur op orde hebt om die versterking te benutten. Exposure management is het raamwerk dat dat mogelijk maakt.

Wil je verkennen hoe je organisatie er nu voor staat? Neem vrijblijvend contact met ons op voor een exposure-assessment.