Applicatie beveiligen met alleen traditionele security controls is niet genoeg. Dit komt vooral omdat ogenschijnlijk legitiem en geautoriseerd data verkeer, heel moeilijk te detecteren en tegen te houden is. Een applicatie endpoint die bijvoorbeeld geen input validatie uitvoert, kan een hacker in staat stellen commando’s op afstand uit te voeren. De applicatie moet dus zelf vanaf de basis veilig zijn.