Stop met alles te patchen en concentreer je op het echte organisatorische risico
8 maart 2023
Verbeter jouw vulnerability management: een strategische aanpak
Matthijs van der Wel - ter Weel
Strategisch adviseur
Heb jij een solide strategie voor het beheer van kwetsbaarheden? In het afgelopen jaar ontdekten we meer dan 26.500 kwetsbaarheden, een toename ten opzichte van meer dan 25.000 in 2022 en 19.000 in 2021. Het dreigingslandschap blijft groeien en diversifiëren. Een systeem dat vandaag veilig lijkt, kan morgen het grootste risico vormen. Met beperkte middelen in een steeds complexer wordende digitale wereld ligt de uitdaging niet alleen in het opsporen van nieuwe kwetsbaarheden, maar vooral in het bepalen welke prioriteit hebben.
Vergelijk het met het verdedigen van een middeleeuwse stad, omringd door vijanden. De muren vertonen scheuren en gaten; welke repareer je eerst? Beginnen aan één kant en doorwerken naar de andere is niet de oplossing. Je moet de zwakste plekken vinden en die als eerste aanpakken - daar waar een aanval het meest waarschijnlijk en schadelijk zou zijn.
Deze benadering geldt ook voor het beheer van kwetsbaarheden. Een moderne organisatie vindt vaak honderdduizenden kwetsbaarheden die potentiële aanvallers kunnen uitbuiten. Net als bij de stadsmuur moet je prioriteiten stellen bij de grootste risico’s. Dit doe je door context toe te voegen aan elke kwetsbaarheid. Gebruik geen ruwe data, maar focus op gecontextualiseerde informatie en bedreigingsdata. Zo transformeer je reactieve chaos in een proactieve strategie.
Van de 26.500 kwetsbaarheden die in 2023 zijn ontdekt, zijn er slechts 1.114 bekend als daadwerkelijk misbruikt. Het is niet de hoeveelheid kwetsbaarheden die ons zorgen moet baren, maar de potentiële schade die ze kunnen aanrichten.
De uitdagingen van vulnerability management
Het beheer van kwetsbaarheden lijkt eenvoudig, maar veel organisaties hebben nog steeds aanzienlijke beveiligingslekken. Waarom is het zo moeilijk? Verschillende factoren maken deze uitdaging complex. Ten eerste kan het volume overweldigend zijn door de constante stroom nieuwe kwetsbaarheden. Prioritering is daarom essentieel, ondersteund door diverse frameworks en scoresystemen. Daarnaast is patchen zelf vaak complex. Wanneer haal je een server offline voor onderhoud?
Een ander veelvoorkomend probleem is gebrek aan zichtbaarheid door blinde vlekken en ongedocumenteerde systemen. Je kunt niet beschermen wat je niet ziet. IT-omgevingen worden steeds complexer, met meer bedrijfsmiddelen en meer blinde vlekken. Dit vergroot het aanvalsoppervlak, waardoor threat intelligence een fulltime bezigheid wordt. Ten slotte kan de organisatiecultuur een obstakel vormen. Heb je de juiste processen? Wie coördineert het patchen? Dit zijn essentiële vragen.
Veelvoorkomende misvattingen over kwetsbaarheden
Helaas trappen veel organisaties in de val van de volgende misvattingen:
- “Laten we klein beginnen om niet overweldigd te raken”: Het uitsluiten van risico's gaat tegen best practices in. Je moet altijd prioriteit geven aan de meest kritieke problemen.
- “Alle kwetsbaarheden moeten gepatcht zijn voordat we opnieuw scannen”: Nieuwe kwetsbaarheden duiken dagelijks op. Scannen en patchen moeten continu plaatsvinden.
- “Geautomatiseerd patchen lost alles op”: Hoewel nuttig, is het geen wondermiddel. Sommige patches mislukken door diverse technische problemen. Regelmatig scannen blijft cruciaal.
- “Kwetsbaarheden zijn alleen een IT-probleem”: De verantwoordelijkheid moet door de hele organisatie gedeeld worden, omdat kwetsbaarheden iedereen kunnen raken.
- “Mac is veiliger dan Windows”: Geen enkel platform is volledig veilig. Alle systemen moeten regelmatig gescand worden.
- “Hoge CVSS-scores zijn het belangrijkst”: Een holistische benadering is nodig om bedreigingen nauwkeurig te beoordelen en prioriteren.
Een risicogebaseerde aanpak implementeren
Continu scannen en ontdekken van bedrijfsmiddelen is de basis van vulnerability management. Scan je hele omgeving en herhaal dit wekelijks. Zichtbaarheid is essentieel om blinde vlekken te vermijden. Zodra je dit hebt bereikt, geef je prioriteit aan herstel met een risicogebaseerde aanpak. Gebruik alle bekende factoren om een geïnformeerde risico-evaluatie te maken, ondersteund door bedreigingsinformatie.
Extern beginnen we met de CVSS-score, maar dat is slechts een deel van het verhaal. Het type, de exploiteerbaarheid en de bekendheid bij bedreigingsactoren zijn ook cruciaal. Intern kijk je naar de bedrijfsmiddelen: zijn ze bedrijfskritisch, bevatten ze gevoelige data? Waar bevinden ze zich in het netwerk?
Door al deze factoren te combineren, kun je een dynamische risicoscore berekenen. Deze risicoscore helpt je de grootste risico’s te rangschikken en je inspanningen te richten op de belangrijkste gebieden. Bijvoorbeeld, een kwetsbaarheid met een CVSS-score van 9.0 op een afgesloten apparaat is minder urgent dan een CVSS 6.7 kwetsbaarheid op een internettoegankelijke webserver.
Goed vulnerability management is van strategisch belang
Genegeerde of niet-geadresseerde kwetsbaarheden kunnen ernstige gevolgen hebben. Daarom is het cruciaal om op alle niveaus bewustzijn te creëren en iedereen mee te krijgen - van systeemeigenaren en gebruikers tot de directie. Begrijp dat een bedreiging de hele organisatie treft en dat een inbraak gevolgen heeft voor het hele bedrijf. Wees een voorstander van verandering en krijg een overzicht op hoog niveau van de risico’s binnen je organisatie. Dit inzicht vergemakkelijkt strategische beslissingen om je beveiliging te verbeteren.
Matthijs van der Wel - ter Weel
Strategisch adviseur
Over de auteur
Matthijs heeft ruim 20 jaar ervaring in cybersecurity met een focus op incident response en cyber threat intelligence. Met zijn technische expertise en zakelijke achtergrond legt hij complexe cybersecurity vraagstukken uit en vertaalt ze naar het niveau van het management en de raad van bestuur. Matthijs is ook gastdocent aan de Erasmus School of Accounting & Assurance (ESAA) en een veelgevraagd spreker.
