Onderzoek Zscaler ThreatLabz: bijna tweederde van de organisaties die nog VPN’s gebruikt wil deze binnen een jaar vervangen

Belangrijkste bevindingen:
92% van de organisaties maakt zich zorgen over ransomware-aanvallen als gevolg van ongepatchte VPN’s
93% van de organisaties vreest backdoor-kwetsbaarheden van VPN-verbindingen van derden
81% van de organisaties implementeert zero trust of is van plan dit binnen een jaar te doen

Amsterdam, 22 mei 2025 – Organisaties die VPN’s gebruiken zien het handhaven van beveiliging en compliance als de grootste uitdaging (56%) waar ze mee te maken hebben. Dat blijkt uit het 2025 VPN Risk Report van Zscaler ThreatLabz. Het onderzoek belicht uitdagingen op het gebied van beveiliging, de gebruikerservaring en operationele aspecten van VPN-diensten. Ook risico’s van supply chain-aanvallen en ransomware staan bij deze organisaties hoog op de agenda: 92% maakt zich zorgen dat aanhoudende VPN-kwetsbaarheden tot ransomware-aanvallen zullen leiden. Deze zorgen hebben geleid tot een ingrijpende verandering in het denken over zakelijke VPN’s: 65% is namelijk van plan hun VPN’s binnen een jaar te vervangen.
VPN’s zijn oorspronkelijk ontwikkeld voor toegang op afstand. Inmiddels zijn ze echter een bedreiging geworden voor bedrijfsnetwerken. Ze stellen IT-middelen en gevoelige gegevens bloot aan overbevoorrechte toegang, kwetsbaarheden en een steeds groter aanvalsoppervlak. VPN’s, zowel fysiek als virtueel, belemmeren de operationele efficiëntie door trage prestaties, frequente verbindingsproblemen en complex onderhoud. Dit overbelast IT-teams en verstoort de productiviteit van medewerkers.

De beveiliging van VPN’s
Beveiligings- en compliancerisico’s worden door 54% van de respondenten beschouwd als de grootste uitdaging als het gaat om VPN’s. Dit onderstreept de groeiende bezorgdheid dat VPN’s ontoereikend en verouderd zijn als verdediging tegen actuele cyberdreigingen. En die bezorgdheid is niet geheel onterecht: cybercriminelen maken nu gebruik van AI om kwetsbaarheden te lokaliseren. Dit doen ze door query’s uit te voeren op openbare GPT-modellen die gericht zijn op het identificeren van zwakke plekken in VPN’s. Ze voeren bijvoorbeeld verkenning uit door een generatieve AI-chatbot te vragen alle huidige CVE’s te identificeren voor VPN-producten die door een bedrijf worden gebruikt.
Onlangs maakte een buitenlandse cyberspionagegroep misbruik van kwetsbaarheden in een populaire VPN en verkreeg zo ongeautoriseerde toegang tot bedrijfsnetwerken. Dit incident laat zien dat VPN-kwetsbaarheden nog steeds belangrijk zijn voor cybercriminelen en onderstreept de noodzaak om over te stappen van verouderde beveiligingsmodellen naar een zero trust-architectuur. Maar liefst 92% van de respondenten geeft aan zich zorgen te maken over ransomware-aanvallen als gevolg van ongepatchte VPN-kwetsbaarheden.

“Aanvallers gebruiken AI steeds vaker voor geautomatiseerde verkenning, intelligente wachtwoordspraying en snel misbruik van exploits. Hierdoor kunnen ze VPN’s op grote schaal compromitteren”, aldus Deepen Desai, CSO bij Zscaler. “Om deze risico’s aan te pakken, moeten organisaties overstappen op een zero trust-aanpak. Deze aanpak elimineert de noodzaak van aan het internet blootgestelde assets zoals VPN’s (fysiek en virtueel), terwijl het aanvalsoppervlak en de potentiële impact van inbreuken drastisch worden verkleind. Het is bemoedigend om te zien dat 81% van de organisaties van plan is om binnen een jaar zero trust te implementeren – dit is een cruciale stap in het beperken van de beveiligingsrisico’s van oudere technologieën zoals VPN’s.”

De opkomst van kritieke, scanbare VPN-kwetsbaarheden
Om te begrijpen hoe aanvallers kwetsbaarheden in met het internet verbonden VPN-infrastructuur misbruiken, analyseerde ThreatLabz veel voorkomende kwetsbaarheden (CVE’s) van VPN’s uit 2020-2025, gebaseerd op gegevens van het MITRE CVE-programma. Over het algemeen is het melden van kwetsbaarheden een goede zaak, omdat snelle openbaarmaking en patching het hele ecosysteem helpt cyberhygiëne te verbeteren, samenwerking binnen de community te bevorderen en snel te reageren op nieuwe aanvalsvectoren. Geen enkel type software is echter immuun voor kwetsbaarheden.

Gedurende de steekproefperiode groeide het aantal VPN-CVE’s met 82,5%. In het afgelopen jaar kreeg ongeveer 60% van de kwetsbaarheden een hoge of kritieke common vulnerability scoring system (CVSS)-score. ThreatLabz ontdekte dat kwetsbaarheden die remote code execution (RCE) mogelijk maken, het meest voorkomen. Dit soort kwetsbaarheden zijn doorgaans ernstig, omdat ze aanvallers de mogelijkheid kunnen geven om willekeurige code op systemen uit te voeren. Met andere woorden, de meeste VPN-CVE’s maken organisaties dus kwetsbaar voor kritieke exploits die aanvallers kunnen misbruiken, en dat ook doen.

Ongewenste gasten
VPN’s bieden na authenticatie algemene toegang. Gebruikers hebben dus ook direct toegang tot contractanten, externe partners en leveranciers. Hoewel VPN’s in theorie goede connectiviteitstools zijn, kunnen aanvallers gemakkelijk misbruik maken van zwakke of gestolen inloggegevens, misconfiguraties en ongepatchte kwetsbaarheden. Uit het onderzoek blijkt dat 93% van de organisaties zich zorgen maakt over de backdoor-kwetsbaarheden die voortvloeien uit toegang door derden.

Out with the old, in with the new
Traditionele leveranciers proberen zich aan te passen aan de veranderende omstandigheden door virtual machines in de cloud te implementeren en deze te labelen als zero trust-oplossingen. Een VPN die in de cloud wordt gehost blijft echter gewoon een VPN en voldoet dus niet aan echte zero trust-principes. Dat blijkt ook uit recente pieken in scanactiviteiten gericht op tienduizenden openbaar doorzoekbare VPN-IP-adressen die worden gehost door een grote beveiligingsleverancier. Historisch gezien wijzen dit soort activiteiten erop dat aanvallers zich voorbereiden op het misbruiken van nog niet bekendgemaakte kwetsbaarheden in VPN-systemen.

De overstap naar een holistische zero trust-architectuur wint snel aan populariteit. Uit het onderzoek bleek dat 81% van de organisaties binnen een jaar een zero trust-architectuur implementeert of dat van plan is te doen. Door deze architectuur uit te breiden naar gebruikers, applicaties en workloads, zorgen bedrijven ervoor dat zero trust overal aanwezig is. Dit maakt VPN-vrije beveiliging mogelijk die:
het aanvalsoppervlak minimaliseert: vervangt netwerkgebaseerde toegang door zero trust-beleid en identiteitsgebaseerde controles om gebruikers en derden te beveiligen.
dreigingen blokkeert: voorkomt initiële inbreuken door middel van robuuste authenticatie, identiteitsbeveiliging en least privilege zero trust-toegang.
laterale bewegingen voorkomt: gebruikt zero trust-segmentatie om dreigingen in te dammen en ongeautoriseerde verspreiding binnen netwerken te voorkomen.
gegevensbeveiliging verbetert: dwingt contextbewust, geïntegreerd zero trust-beleid af om gevoelige informatie te beschermen.
de bedrijfsvoering vereenvoudigt: vervangt VPN’s door AI-gestuurde beveiliging, continue monitoring en geautomatiseerde beleidshandhaving, naast ononderbroken toegang met bedrijfscontinuïteit.
Door deze best practices te implementeren kunnen organisaties VPN-beveiligingsrisico’s vervangen door een robuust zero trust-framework, dat continue verificatie, least privilege toegang en proactieve preventie mogelijk maakt.
Download hier het volledige Zscaler ThreatLabz 2025 VPN Risk Report.

Methodologie
Dit onderzoek is gebaseerd op een uitgebreide enquête onder 632 IT- en cybersecurityprofessionals, uitgevoerd door Cybersecurity Insiders. Het onderzoek richt zich op VPN-beveiligingsrisico’s, trends op het gebied van toegang en de implementatie van zero trust-architecturen. Respondenten zijn onder andere leidinggevenden, IT-beveiligingsprofessionals en netwerkinfrastructuurleiders uit diverse sectoren. De bevindingen bieden een datagedreven perspectief op de afname van VPN’s en de verschuiving naar zero trust, en bieden cruciale inzichten voor organisaties die hun strategieën voor toegangsbeveiliging moderniseren.

Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange platform beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.