Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wat het terugtrekken van NIST’s NVD en het Claude-mythos betekenen voor de gegevensbeveiliging van ondernemingen
Wat het terugtrekken van NIST's NVD en het Claude-mythos betekenen voor de gegevensbeveiliging van ondernemingen

Wat het terugtrekken van NIST’s NVD en het Claude-mythos betekenen voor de gegevensbeveiliging van ondernemingen

by Tim Freestone updated april 21, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

In één week in april 2026 kwamen twee aankondigingen, die eerst als afzonderlijke verhalen werden behandeld, samen tot één structurele gebeurtenis. Het Amerikaanse National Institute of Standards and Technology gaf formeel toe dat het niet langer het merendeel van de kwetsbaarheden die binnenkomen in de National Vulnerability Database kan verrijken. Eén dag eerder publiceerde de Cloud Security Alliance een briefing — ondertekend door enkele van de meest vooraanstaande cybersecurityleiders ter wereld — waarin werd gewaarschuwd dat Anthropic’s Claude Mythos Preview een fundamentele verandering betekent in autonome, door AI aangedreven kwetsbaarheidsdetectie. Het triagesysteem van de verdediger beperkt de dekking bewust. Het ontdekkingssysteem van de aanvaller wordt geïndustrialiseerd. De twintigjarige aanname die ten grondslag ligt aan enterprise vulnerability management — dat verdedigers sneller kunnen patchen dan aanvallers kunnen misbruiken — is verloren gegaan.

Belangrijkste inzichten

  1. Het gezaghebbende tijdperk van de NVD is voorbij. Het aantal CVE-indieningen steeg met 263% tussen 2020 en 2025. De achterstand bedraagt nu meer dan 30.000 items. NIST is formeel gestopt met het verrijken van de meeste hiervan. Voor elke organisatie die patchprioritering op basis van CVSS toepast, is de databron voor het merendeel van nieuwe kwetsbaarheden niet langer beschikbaar.
  2. Claude Mythos is geen hype. Onafhankelijke evaluatie door het Britse AI Security Institute bevestigde autonome ontdekking van duizenden zero-days, werkende exploitgeneratie zonder menselijke sturing en end-to-end voltooiing van een 32-stappen aanvalssimulatie op een bedrijfsnetwerk. De ondergrens qua kosten voor geavanceerde offensieve capaciteit is zojuist ingestort.
  3. De rekensom qua snelheid klopt niet meer. De gemiddelde tijd tot exploitatie is nu min zeven dagen. Gemiddelde herstelduur voor kritieke kwetsbaarheden is 74 dagen. De eCrime breakout-tijd na initiële toegang is 29 minuten. Dat is geen gat, dat is een structurele breuk.
  4. Verdediging op applicatieniveau kan niet opschalen naar wat eraan komt. Meer scanners, meer tickets, meer patchvensters — geen ervan raakt de laag waar de exploit daadwerkelijk plaatsvindt. De enige duurzame verdediging is diegene die de data zelf beheert, versleutelt en auditeert, onder controles die werken ongeacht welke kwetsbaarheid een aanvaller benut.
  5. Het bewijs bestaat al. Tijdens de Log4Shell-crisis ervaarden organisaties met geharde data-layer architecturen de branchebrede CVSS 10-kwetsbaarheid als iets dat dichter bij een CVSS 4 lag. De volgende Log4Shell komt niet met een CVE-nummer. Alleen de architectuur zal er klaar voor zijn.

De botsing van april 2026: twee aankondigingen, één gebeurtenis

Op 14 april 2026 kondigde NIST aan dat de National Vulnerability Database niet langer zal proberen het merendeel van de binnenkomende CVE’s te verrijken. Het aantal inzendingen steeg met 263% tussen 2020 en 2025. NIST verrijkte bijna 42.000 CVE’s in 2025 — een stijging van 45% ten opzichte van het jaar ervoor — en zag de achterstand toch oplopen tot boven de 30.000 niet-geanalyseerde items. Voortaan zal NVD drie smalle categorieën prioriteren: CVE’s in CISA’s Known Exploited Vulnerabilities-catalogus, software gebruikt door de Amerikaanse federale overheid en vaag gedefinieerde “kritieke software”. Alles daarbuiten wordt gemarkeerd als “not scheduled” — geen ernstscore, geen analyse, geen signaal dat een kwetsbaarheidsscanner kan verwerken.

Eén dag eerder had de Cloud Security Alliance een briefing gepubliceerd over Anthropic’s Claude Mythos Preview, ondertekend door voormalig CISA-directeur Jen Easterly, Bruce Schneier, Chris Inglis en Phil Venables, naast tientallen andere senior securityleiders. De kern van het betoog: Mythos betekent “een fundamentele sprong” in AI-gedreven kwetsbaarheidsdetectie, en “het venster tussen ontdekking en weaponization is gekrompen tot uren.” Het Britse AI Security Institute verifieerde deze capaciteit onafhankelijk en rapporteerde dat Mythos een 32-stappen aanvalssimulatie op een bedrijfsnetwerk voltooide — van verkenning tot volledige overname — en daarmee beter presteerde dan elk ander geteste AI-systeem.

De convergentie is het verhaal. Het gecentraliseerde informatiesysteem waarop verdedigers vertrouwen, krimpt precies op het moment dat het autonome ontdekkingssysteem van aanvallers groeit. Voor organisaties die hun securityprogramma’s bouwden rond CVE-verrijking, triage en SLA-gedreven patching, zijn de uitgangspunten stilletjes veranderd.

Wat “not scheduled” daadwerkelijk betekent voor je securityprogramma

De term “not scheduled” klinkt bureaucratisch. De operationele realiteit is ernstiger dan het klinkt.

Dustin Childs, die threat awareness leidt bij Trend Micro’s Zero Day Initiative, vertelde aan CSO Online wat de aankondiging in gewone taal betekent: NIST heeft “openlijk verklaard: ‘We gaan deze achterstand nooit inhalen.'” Het Forum of Incident Response and Security Teams voorspelt 59.427 CVE’s in 2026, tegenover net iets meer dan 48.000 in 2025, met gemodelleerde scenario’s die boven de 100.000 uitkomen — en die modellen zijn gemaakt vóór de bredere golf van openbaarmakingen die Mythos-achtige tools naar verwachting zullen veroorzaken.

Het kwaliteitsprobleem is erger dan het kwantiteitsprobleem. Dragos’ 2026 OT/ICS Year in Review documenteerde dat 15% van de CISA- en NVD-CVE’s in 2025 een onjuiste CVSS-score had — en 64% van die correcties verhoogde de ernst omdat leveranciers het risico hadden onderschat. Vijfentwintig procent van de publieke adviezen bevatte helemaal geen patch- of mitigatierichtlijnen. NIST heeft een erosie geformaliseerd die al in volle gang was.

Voor organisaties die patchmanagement op basis van CVSS uitvoeren — wat de meeste organisaties zijn — staat de databron waarop hun tools vertrouwen op het punt voor het merendeel van nieuwe kwetsbaarheden te verdwijnen. Voor Amerikaanse organisaties die onder SEC-cyberdisclosureverplichtingen vallen, voor federale aannemers onder CMMC en DFARS, voor zorgorganisaties onder de risicobeoordelingsvereisten van HIPAA, is het documentatieprobleem niet triviaal: Hoe toon je een risicogebaseerd prioriteringsproces aan als het risicosignaal zelf onvolledig is?

Waarom Claude Mythos de economie van de aanvaller verandert

De makkelijke reactie op Mythos is het afdoen als hype. De Cloud Security Alliance, AISI en een ongewoon brede groep voormalige overheidsleiders op cybergebied kwamen onafhankelijk tot dezelfde conclusie: deze klasse van capaciteiten is echt, en de economische verhoudingen zijn nu omgekeerd.

De AISI-evaluatie documenteerde vier Mythos Preview-capaciteiten die je intern moet begrijpen. Ten eerste: autonome ontdekking van duizenden kwetsbaarheden met hoge en kritieke ernst in elk groot besturingssysteem en elke browser — niet door gespecialiseerde offensieve training, maar als neveneffect van verbeteringen in code-reasoning en autonomie. Ten tweede: werkende exploitgeneratie zonder menselijke sturing. Ten derde: succesvolle exploitatie van zwak verdedigde systemen zodra toegang is verkregen. Ten vierde: end-to-end voltooiing van een 32-stappen aanvalssimulatie op een bedrijfsnetwerk, die voorheen een ervaren menselijke red-teamer ongeveer 20 uur kostte. Mythos vond zelfs een 17 jaar oude remote code execution-kwetsbaarheid in de NFS-server van FreeBSD en exploiteerde deze autonoom in ongeveer vier uur.

Het CrowdStrike 2026 Global Threat Report biedt aanvullende context. Zero-day exploits stegen met 42% op jaarbasis. Door AI ondersteunde aanvallers stegen met 89%. De gemiddelde eCrime breakout-tijd na initiële toegang is 29 minuten. Die data werd verzameld vóórdat Mythos-achtige capaciteiten breed toegankelijk werden. Gadi Evron, CISO-in-Residence voor AI bij de Cloud Security Alliance, vertelde aan CSO Online: “De storm van kwetsbaarheidsmeldingen vanuit Project Glasswing is de eerste van vele grote golven.”

De asymmetrie is het architecturale feit van cyberbeveiliging in 2026. Het triagesysteem van de verdediger wordt bewust smaller. Het ontdekkingssysteem van de aanvaller wordt geïndustrialiseerd. Patchcycli die in weken worden gemeten, kunnen exploitcycli van uren niet bijhouden.

De oneerlijke verdediging: waarom meer van hetzelfde nu het grootste risico is

Veel securityprogramma’s zullen bij deze botsing standaard reageren met een voorspelbare aanpak: meer scanners, meer tickets, strakkere patchvensters, meer dashboards. Dit is de oneerlijke verdediging. Het behandelt het probleem als een kwestie van uitvoering — we moeten gewoon beter patchen — terwijl het probleem structureel is.

Drie structurele feiten maken die aanpak ontoereikend. Ten eerste: het CVE-systeem dat de uitvoeringslaag voedt, is niet langer volledig. Wanneer NVD iets markeert als “not scheduled”, ontvangt de prioriteringsengine van je scanner geen signaal. Ten tweede: AI-gedreven detectietools wachten niet op NVD-verrijking voordat aanvallers hun bevindingen misbruiken. Ten derde: de gemiddelde tijd om kritieke kwetsbaarheden te herstellen blijft 74 dagen — een venster dat al onhoudbaar was toen time-to-exploit plus veertien dagen was, laat staan min zeven.

De regelgeving maakt het probleem scherper. SEC-cyberdisclosureregels, HHS-handhaving van de HIPAA Security Rule en de FTC Safeguards Rule houden organisaties allemaal verantwoordelijk voor “redelijke” of “passende” technische waarborgen — en wijzen op een onvolledig NVD-record is geen verdediging bij onvoldoende controles. De HHS Office for Civil Rights handhaafde HIPAA in 2024 voor meer dan $100 miljoen, met boetes direct gekoppeld aan onvoldoende toegangscontroles en encryptie. Het NSA Cybersecurity Information Sheet van april 2024 over de Data Pillar stelt duidelijk dat alleen perimeterverdediging onvoldoende is en dat tegenstanders die een voet tussen de deur krijgen vaak onbeperkte toegang tot alle data verkrijgen.

De eerlijke verdediging begint met een moeilijkere vraag. Als je niet kunt aannemen dat je van elke te misbruiken kwetsbaarheid op de hoogte zult zijn voordat deze wordt benut, wat betekent enterprise security dan eigenlijk? Het antwoord is dat de verdediging een laag dieper moet. Het asset zelf moet zijn eigen bescherming dragen.

Het architecturale antwoord: Data-layer governance

Op attributen gebaseerde toegangscontrole (ABAC) op inhoudsniveau. Beleid wordt afgedwongen op de data zelf — op basis van attributen van de gebruiker, de data, het tijdstip, het doel en de context — in plaats van aan de netwerkperimeter of applicatiegrens. Een bestand dat alleen toegankelijk mag zijn voor geautoriseerd personeel binnen een specifieke regio en tijdsvenster, draagt dat beleid met zich mee, of het nu in een fileshare, e-mailbijlage of AI-querycontext staat.

FIPS 140-3 encryptie met door de klant beheerde sleutels. Gevoelige data wordt versleuteld in rust en onderweg met cryptografische modules die voldoen aan de huidige federale standaard. Door de klant beheerde sleutels, ondersteund door hardwarebeveiligingsmodules, zorgen ervoor dat de organisatie — niet de cloudprovider, niet de SaaS-leverancier, niet het AI-model — de toegang beheert.

Manipulatiebestendige audittrail. Elke interactie met gevoelige data genereert een genormaliseerd log-item dat in realtime aan SIEM wordt geleverd, zonder throttling en zonder verborgen vertragingen. Wanneer er een datalek optreedt, vereist forensische reconstructie niet dat bekend is welke specifieke CVE is benut; het datatraject is compleet.

Zero-trust toegang voor mensen, services en AI-agents. Elke aanvraag wordt geauthenticeerd, geautoriseerd, doelgebonden, tijdsgebonden en gelogd — ongeacht of de aanvrager een menselijke gebruiker, een serviceaccount of een AI-agent is. Een door prompts geïnjecteerde AI-agent kan geen data exfiltreren die hij nooit mocht zien.

Geharde architectuur, geen door de klant geharde configuratie. Het platform zelf wordt geleverd als een geharde virtuele appliance met ingebouwde firewall, WAF en inbraakdetectie. Single-tenant isolatie betekent dat cross-tenant faalmodi die multi-tenant cloudservices kunnen verwoesten, niet kunnen optreden.

De combinatie is belangrijker dan elk afzonderlijk element. Een breach van de applicatie wordt een breach van de container, niet van de inhoud.

De Kiteworks-aanpak: architectuur boven ambitie

Kiteworks is gebouwd voor precies dit moment — al is het moment nu pas aangebroken.

Het Kiteworks-platform implementeert zero-trust principes op de datalaag, niet op netwerk- of applicatieniveau. Het consolideert gevoelige contentkanalen — beveiligde e-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP, dataformulieren, virtuele dataruimten, API’s en next-generation DRM — onder één governance-framework met uniforme beleidsafdwinging. Elke operatie wordt geëvalueerd door een Data Policy Engine die gebruikersidentiteit, data-sensitiviteit en beoogde actie trianguleert voordat toegang wordt verleend. Elke interactie wordt gelogd in een geconsolideerde audittrail die in realtime aan SIEM wordt geleverd zonder throttling.

Het Log4Shell-bewijs is het concrete bewijs dat deze architectuur werkt onder maximale druk. Toen de branche in december 2021 werd geconfronteerd met een CVSS 10-kwetsbaarheid, ervaarden Kiteworks-klanten deze als iets dat dichter bij een CVSS 4 lag. De geharde virtuele appliance-architectuur, single-tenant isolatie, dubbele encryptie in rust en een assume-breach interne opzet zorgden ervoor dat de ergste library-kwetsbaarheid van dat decennium niet bij de data kon komen die het zou moeten blootleggen.

Voor het AI-tijdperk breidt Kiteworks hetzelfde governancepatroon uit naar AI-agentinteracties. Kiteworks Compliant AI dwingt dezelfde ABAC-beleidsregels, FIPS 140-3 encryptie en manipulatiebestendige audittrail af voor elke AI-agentinteractie met gereguleerde data. De Kiteworks Secure MCP Server stelt AI-clients in staat te verbinden via OAuth 2.0-authenticatie, zodat inloggegevens nooit bij taalmodellen terechtkomen. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien hoe AI-toepassingen in gereguleerde sectoren de vraag naar dit architecturale patroon aanjagen.

Data-layer governance op het niveau van de data is geen feature set. Het is een ontwerpbenadering — één die effectief blijft juist omdat deze niet afhankelijk is van perfecte zichtbaarheid in het dreigingslandschap erboven.

Wat organisaties nu moeten doen

Ten eerste, accepteer dat beveiliging op applicatieniveau, hoewel nog steeds noodzakelijk, niet langer voldoende is als primaire verdedigingsstrategie. De hoeveelheid detecteerbare kwetsbaarheden zal versnellen tot voorbij de capaciteit van elke organisatie om te reageren, en de beperktere dekking van NVD betekent dat minder van die kwetsbaarheden een ernstscore zullen krijgen. Architecturen moeten zich richten op het onafhankelijk beschermen van data, los van de applicaties die ze verwerken. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report vond dat slechts 17% van de organisaties volledig geïmplementeerde AI-governance frameworks rapporteert; de controlegap is zowel architecturaal als procedureel.

Ten tweede, voer een grondige data discovery- en classificatieoefening uit. Het 2026 Thales Data Threat Report toonde aan dat slechts 33% van de organisaties volledig weet waar hun gevoelige data zich bevindt. Je kunt niet beschermen wat je niet kunt vinden.

Ten derde, implementeer encryptie op datalaag met door de klant beheerde sleutels. Data moet versleuteld zijn in rust en onderweg met sleutels die de organisatie beheert — niet de cloudprovider, niet de SaaS-leverancier, niet het AI-model. FIPS 140-3 gevalideerde cryptomodules en hardwarebeveiligingsmodules moeten de standaard zijn.

Ten vierde, zet op attributen gebaseerde toegangscontroles in die met de data meereizen. Statische rolgebaseerde toegang faalt wanneer data over organisatiegrenzen, in AI-workflows of via ecosystemen van derden beweegt. Toegangsbeleid moet in de data zelf zijn ingebed, zodat het wordt afgedwongen ongeacht waar het bestand wordt geopend.

Ten vijfde, beheer AI-data toegang met dezelfde grondigheid als menselijke toegang. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in door AI ondersteunde aanvallers. Elke AI-interactie met gevoelige data moet worden geauthenticeerd, geautoriseerd, gelogd en controleerbaar zijn — op de datalaag, niet op het modelniveau.

Ten zesde, stop met ontwerpen rond CVE-verrijking alsof het nog een betrouwbaar signaal is. Leg threat-informed prioritering — CISA KEV, exploit prediction scoring, leveranciersadviezen, directe threat intelligence — bovenop data-layer controles die de impact beperken als prioritering iets mist.

De organisaties die nu in actie komen, zijn de organisaties die in 2027 nog verdedigbaar zijn. Het venster om het operationele model te herzien is smal, en de druk vanuit regelgeving zal blijven toenemen naarmate de disclosuregolf van Mythos-achtige tools zijn hoogtepunt bereikt.

Veelgestelde vragen

Data-layer security beschermt de data zelf via encryptie, op attributen gebaseerde toegangscontrole, hardnekkige beleidsregels en door de klant beheerde sleutels die met het bestand meereizen, ongeacht welke applicatie het verwerkt. Beveiliging op applicatieniveau beschermt de software die de data verwerkt. Het verschil is belangrijk omdat applicatielaagcontroles falen zodra een nieuwe kwetsbaarheid wordt ontdekt. Data-layer controles blijven effectief, ongeacht welke CVE een aanvaller benut. NIST SP 800-207 beschrijft zero trust als “primair gericht op bescherming van data en services”, en het CISA Zero Trust Maturity Model maakt Data tot een van de vijf pijlers.

Het aantal CVE-indieningen steeg met 263% tussen 2020 en 2025, tot ongeveer 48.000 in 2025, met een voorspelling van FIRST van 59.427 in 2026 en scenario’s die boven de 100.000 uitkomen. Het verrijkingsproces van NIST kon niet opschalen. De achterstand bedraagt meer dan 30.000 items. Vanaf april 2026 prioriteert NIST drie smalle categorieën en markeert alles daarbuiten als “not scheduled”. Voor vulnerability management-programma’s die afhankelijk zijn van NVD-toegekende CVSS-scores voor prioritering betekent dit een groeiende blinde vlek. De praktische reactie is om NVD aan te vullen met CISA KEV-data, leveranciersadviezen, exploit prediction scoring en threat intelligence — en minder te vertrouwen op patching op applicatieniveau als primaire verdediging.

De CSA-briefing werd ondertekend door Jen Easterly, Bruce Schneier, Chris Inglis en Phil Venables — voormalige CISA- en overheidsleiders op cybergebied zonder commercieel belang om te overdrijven. Het Britse AI Security Institute verifieerde onafhankelijk de capaciteiten van Mythos Preview, waaronder het voltooien van een 32-stappen aanvalssimulatie op een bedrijfsnetwerk die voorheen 20 uur aan menselijk werk vergde. De vraag is niet of Mythos zelf al duizenden bevestigde CVE’s in het wild heeft opgeleverd. Het gaat erom of deze klasse van capaciteiten bestaat. De onafhankelijke evaluaties zeggen ja. De juiste reactie is aannemen dat Mythos-achtige tools zich snel zullen verspreiden en de beveiliging daarop ontwerpen.

Nee. Patching blijft noodzakelijk. Het punt is dat patching niet langer voldoende is als primaire verdediging. Het CrowdStrike 2026 Global Threat Report mat een gemiddelde breakout-tijd van 29 minuten en een stijging van 42% in zero-day exploits, terwijl de gemiddelde tijd om kritieke kwetsbaarheden te herstellen op 74 dagen ligt. Data-layer security werkt onder de patchlaag en beschermt het asset wanneer patches te laat of nooit arriveren. Het is een aanvullende investering, geen vervanging.

Benader het als risicoreductie met ROI. Het IBM 2025 Cost of a Data Breach Report registreerde een gemiddelde kostenpost van een datalek in de VS van $10,22 miljoen. Gartner voorspelt dat 75% van de organisaties met GenAI-initiatieven tegen 2026 prioriteit zal geven aan beveiliging van ongestructureerde data. Het sterkste bewijs is Log4Shell: organisaties met geharde data-layer architecturen ervaarden de branchebrede CVSS 10 als iets dat dichter bij een CVSS 4 lag, omdat de blootstelling niet bij de data kon komen. Het gesprek met het bestuur is niet “koop iets nieuws”. Het is: “ons huidige model gaat ervan uit dat we sneller kunnen patchen dan AI zero-days kan vinden en sneller dan NIST ze kan scoren. Geen van beide aannames klopt nog.”

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks