Hoe effectief is jouw vulnerability management-strategie? Vorig jaar ontdekten we meer dan 26.500 kwetsbaarheden, een cijfer dat jaarlijks alsmaar stijgt. Het aanvalsoppervlak blijft ook groeien en diversifiëren. Een product in je IT-landschap dat gisteren nog veilig was, kan morgen je grootste risico zijn. Met beperkte middelen in een digitale wereld die steeds groter wordt, wordt het niet alleen de uitdaging om nieuwe kwetsbaarheden te vinden, maar ook om te bepalen welke kwetsbaarheden de prioriteit moeten krijgen.
Vulnerability management is als een middeleeuwse stad verdedigen, terwijl de vijand op de loer ligt in de omliggende bossen. De stadsmuren vertonen veel scheuren en gaten: Welk deel van de muur repareer je als eerste? Het antwoord is niet om gewoon aan één kant te beginnen, want dan blijft de rest van de stad kwetsbaar. In plaats daarvan moet je eerst de zwakste punten in je muur vinden en repareren, want daar zou een aanval het meeste pijn doen.
In een moderne organisatie onthult een vulnerability scan vaak honderdduizenden zwakke plekken die een aanvaller zou kunnen uitbuiten. Net als bij de stadsmuur moet je prioriteit geven aan de kwetsbaarheden die het grootste risico vormen. Hoe? Door context toe te voegen aan elk zwak punt. In plaats van te vertrouwen op ruwe data, is het beter om je te richten op gecontextualiseerde data over kwetsbaarheden met bedreigingsinformatie als leidraad. Zo verandert reactieve chaos in een proactieve strategie.
Van de 26.500 kwetsbaarheden die in 2023 zijn ontdekt, weten we van slechts 1.114 dat ze worden misbruikt. Het is niet de hoeveelheid kwetsbaarheden die ons zou moeten alarmeren, maar de potentiële schade die ze zou kunnen veroorzaken.
De uitdagingen voor vulnerability management
Het beheren van kwetsbaarheden klinkt misschien eenvoudig, toch zitten veel organisaties nog steeds met grote gaten in hun metaforische middeleeuwse muren. Deze repareren en versterken is een complexe uitdaging. Het volume kan zeer overweldigend zijn, omdat er elke dag nieuwe kwetsbaarheden opduiken. Daarom is het belangrijk om prioriteiten te stellen. Er zijn verschillende frameworks en scoresystemen die hierbij helpen. Het patchen zelf kan ook complex zijn, want het is natuurlijk nooit een goed moment om een server uit de lucht te halen voor onderhoud.
Een andere veelvoorkomende uitdaging is het gebrek aan zichtbaarheid, vaak veroorzaakt door dark spots en ongedocumenteerde systemen. Je kan natuurlijk moeilijk beschermen wat je niet ziet. Bovendien worden IT-omgevingen steeds complexer, met meer bedrijfsmiddelen en meer dark spots. Door dit groeiende aanvalsoppervlak is threat intelligence (het bijhouden van de nieuwste bedreigingen) een fulltime job geworden. Tot slot kan ook de organisatiecultuur een obstakel vormen. Beschik je over de juiste processen? Wie coördineert de patchwerkzaamheden?
Veelvoorkomende misvattingen over kwetsbaarheden
Helaas zijn er nog heel wat misvattingen waardoor veel organisaties zich laten misleiden:
- “We zullen te veel vinden als we alles scannen, dus laten we klein beginnen”
Veel organisaties kiezen voor deze aanpak omdat ze bang zijn om overweldigd te raken. Risico’s uitsluiten van je scope gaat echter in tegen best practices. Het is alsof je een deel van je muur heropbouwt, terwijl je de rest kwetsbaar laatEn hoopt op het beste. Geef altijd prioriteit aan de meest kritieke problemen.
- “We moeten alle kwetsbaarheden patchen voordat we weer scannen”
In de snelle wereld van vandaag duiken er elke dag nieuwe kwetsbaarheden op. Daarom moet je minstens één keer per week scannen op problemen en de meest kritieke meteen verhelpen. Neem de lijst niet zomaar door, want deze is dynamisch en zal nooit af zijn.
- “Geautomatiseerde patching lost alle kwetsbaarheden op”
Geautomatiseerd patchen is geweldig, maar lost niet alles op. Sommige patches mislukken door downloadfouten, afgebroken installaties, enz. Regelmatig scannen blijft essentieel.
- “Kwetsbaarheden zijn alleen het probleem van IT”
Hoewel IT het beste in staat is om kwetsbaarheden te verhelpen, moet de hele organisatie deze verantwoordelijkheid delen. Vergeet niet dat kwetsbaarheden iedereen in het bedrijf kunnen treffen.
- “Windows is kwetsbaarder, maar met Mac zijn we veilig”
Hoewel Windows misschien meer kwetsbaarheden heeft, is geen enkel platform helemaal veilig. Elk systeem is vatbaar voor kwetsbaarheden en moet worden gescand. Als we kijken naar de lijst met actief gebruikte kwetsbaarheden, is het aanvalspercentage van Mac in feite vergelijkbaar met dat van Windows.
- “De kwetsbaarheden met een hoog CVSS-gehalte zouden onze hoogste prioriteit moeten hebben”
Het is goed om over een Common Vulnerability Scoring System (CVSS) te beschikken, maar het geeft je niet het volledige beeld. Er is een meer holistische en dynamische benadering van het beheer van kwetsbaarheden nodig om bedreigingen nauwkeurig te beoordelen en er prioriteiten aan te geven.
Implementeer een op risico gebaseerde aanpak
Volgens onze Security Navigator en de herstelgegevens van onsVulnerabilities Operations Center, worden kwetsbaarheden in de financiële en verzekeringssector het snelst opgelost (binnen de 54 dagen). Maar hoewel de sector de gemiddelde bedreigingen snel aanpakt, blijven andere kwetsbaarheden maar liefst 1.400 dagen of langer onopgelost. In de gezondheidszorg duurt het gemiddeld 244 dagen om een kwetsbaarheid te verhelpen, terwijl de oudste zwakke plekken kunnen oplopen tot 300 dagen. Toch blijven er steeds kwetsbaarheden met een hoog risico langer op tafel liggen, waardoor de organisatie meer wordt blootgesteld.
Om kwetsbaarheden te beheren is het belangrijk dat je continu bedrijfsmiddelen verkent en kwetsbaarheden scant, en dat je dit wekelijks herhaalt. Zichtbaarheid is de sleutel tot het identificeren van dark spots. Zodra je zicht hebt op je kwetsbaarheden, kan je prioriteit geven aan herstel met een op risico gebaseerde aanpak. Kies voor een holistische benadering, waarbij alle bekende factoren worden gebruikt om een gefundeerde evaluatie te maken van het risico en de kwetsbaarheid van een bedrijfsmiddel, ondersteund door informatie over bedreigingen. Wij kunnen je helpen dit te berekenen en te distilleren in een numerieke waarde die bekend staat als de risicoscore.
Zo’n risicoscore moet dynamisch zijn omdat bedreigingen snel kunnen veranderen. Door dit op alle apparaten en kwetsbaarheden toe te passen, kunnen we de grootste risico’s rangschikken en onze inspanningen richten op die gebieden waar ze het belangrijkst zijn. Misschien is het bijvoorbeeld niet CVSS 9.0 dat onze onmiddellijke aandacht vereist, omdat die kwetsbaarheid gericht is op een apparaat dat is vergrendeld in het netwerk en niet toegankelijk is voor een tegenstander. In plaats daarvan kan CVSS 6.7 interessanter zijn, omdat die kwetsbaarheid zich op een webserver bevindt die gemakkelijk vanaf het internet kan worden misbruikt.
Vulnerability management is van strategisch belang
Niet-geadresseerde kwetsbaarheden kunnen ernstige gevolgen hebben als iemand erin slaagt onze eerdergenoemde stadsmuren heen te breken. Daarom is het cruciaal dat je op alle niveaus bewustzijn creëert en dat je ervoor zorgt dat iedereen meedoet – van systeemeigenaren en gebruikers tot de boardroom. Besef dat een bedreiging altijd gericht is op de hele organisatie en dat een inbraak gevolgen heeft voor het hele bedrijf. Kies volop voor verandering en verkrijg een overzicht op hoog niveau van de risico’s in je organisatie. Uiteindelijk zorgt inzicht in deze risico’s ervoor dat je de juiste strategische beslissingen kan nemen om je beveiliging te verbeteren.
Dit is een ingezonden bijdrage van Simen Van der Perre, strategic advisor bij Orange Cyberdefense.