Gebruiker die te maken heeft met risicobeheer en security issues.

Vulnerability management in nieuw jasje

Het klinkt als een mooie reclametekst: “Vulnerability management, nu in verbeterde formule!” Maar mensen die thuis zijn in dit vakgebied fronsen waarschijnlijk de wenkbrauwen, wetende dat dit niet het geval is. Toch kan vulnerability management op een manier worden toegepast, die de aanpak van kwetsbaarheden behapbaar maakt en de organisatie niet overmatig belast. Dit artikel laat zien wat de toegevoegde waarde is van een risicogebaseerde benadering en hoe dit in de praktijk werkt.

Vulnerability management

Definitie vulnerability:

Een zwakke plek of fout die, in potentie, kan worden misbruikt door kwaadwillende om ongeautoriseerde toegang tot bedrijfsdata te verkrijgen.

Vulnerability management, in het Nederlands ‘kwetsbaarheidbeheer’, kent zijn beperkingen en uitdagingen. Op hoofdlijnen volgt vulnerability management meestal de standaard stappen:

  • Scan: Identificeer potentiële kwetsbaarheden;
  • Assess: Evalueer en categoriseer de geïdentificeerde kwetsbaarheden;
  • Remediate: Onderneem acties om risico’s op kwetsbaarheden te mitigeren;
  • Verify: Controleer of de kwetsbaarheden gemitigeerd of verholpen zijn.

Dit proces van ogenschijnlijk eenvoudige taken kan regelmatig en effectief door IT-beheer worden uitgevoerd en zou afdoende moeten zijn. Er wordt gescand op zwakke plekken d.m.v. een applicatie of door gebruik van een dienst die bij derden wordt afgenomen. Hieruit vloeit een overzicht met gevonden kwetsbaarheden en een vulnerability score. Deze kwetsbaarheden worden gecategoriseerd, er wordt gekeken naar de aanbevelingen in het rapport en op basis van de score worden acties uitgevoerd in de vorm van patches, updates of configuratie aanpassingen. Tot slot worden de acties geverifieerd door nogmaals een scan uit te voeren. Omgeving veilig. Management geïnformeerd. Alles in orde en overgaan tot de orde van de dag. Of toch niet?

Stortvloed aan kwetsbaarheden

Een organisatie heeft vaak te maken met een stortvloed aan waarschuwingen en kwetsbaarheden. Denk aan publicaties in de media, informatie vanuit leveranciers en als resultaat uit eigen scan rapporten. Maar daarnaast moet ook rekening worden gehouden met de verscheidenheid aan omgevingen (fysiek en virtueel) in datacenters of Cloud-omgevingen, en met werknemers die te maken krijgen met ransomware, phishing en andere vormen van social engineering. Kortom, de IT-afdeling en (C)ISO worden overspoeld. Om de ernst van de situatie te schetsen, recentelijk kwam in het nieuws dat er in 2023 29.000 CVE-kwetsbaarheden zijn geregistreerd, waarvan 36 met een maximale score. Wat ook niet helpt, is de manier waarop bedrijven prioriteit geven aan kwetsbaarheden met een hoge CVSS (Common Vulnerability Scoring System), vooral als dit breeduit in de media wordt gepubliceerd. Management en klanten raken in paniek en verwachten meteen acties, zonder eerst de feiten goed te kennen.

Risk-based vulnerability management

Hoe zou vulnerability management dan wel te behappen zijn? Hoe kan een IT-afdeling meer in control komen en hoeft een (C)ISO hier niet nachten van wakker te liggen? Een mogelijke oplossing ligt in het toepassen van risk-based vulnerability management. Gezien de grote aantallen gerapporteerde kwetsbaarheden is een risicogebaseerde aanpak zeker aan te bevelen. Vulnerability management is dan te vergelijken met een risicomanagement techniek. De belangrijkste verschillen zijn:

  • Niet alle gerapporteerde kwetsbaarheden hoeven (meteen) te worden opgelost;
  • Cyberrisico’s zijn een vorm van businessrisico’s;
  • Hoofddoel is het verminderen/verlagen van risico’s;
  • Cyberrisico’s zijn niet hetzelfde als threats (dreigingen);
  • Een CVSS-score is niet leidend (en niet gelijk aan een risico!);
  • Zero Day vulnerabilities zijn, ondanks de media-aandacht, door het ontbreken van een geverifieerd exploit (misbruik van de kwetsbaarheid) vaak minder urgent dan het lijkt.

Grip op kwetsbaarheden

De principes van risicomanagement kunnen worden toegepast op vulnerability management. Dit risk-based vulnerability management kijkt naar de risico’s die betrekking hebben op de hele organisatie, in detectie, verwijderen en controleren van kwetsbaarheden. Ook deze aanpak volgt een aantal duidelijke stappen om grip te krijgen op kwetsbaarheden:

  • Inventariseer: Zorg voor een bijgewerkte, accurate inventarisatie van alle bedrijfsmiddelen (beheerd en onbeheerd), IoT, infrastructuur, lokaal en in de Cloud, mobiele devices en BYOD (Bring Your Own Devices). Dit zou eigenlijk al standaard moeten gebeuren;
  • Identificeer: Door een overzicht van het hele netwerk te maken, is het mogelijk om o.b.v. aanvalsvectoren voor ieder bedrijfsmiddel kwetsbaarheden te identificeren. Door identificatie wordt ook duidelijk of apparatuur wel/niet bedrijfseigendom is (niet kunnen/mogen patchen), of iemand anders verantwoordelijk is voor het patchen, of er wel/niet toestemming is om te patchen (bijvoorbeeld bij medische apparatuur) en of een bedrijfsmiddel dermate verouderd is dat er geen security updates meer beschikbaar zijn;
  • Prioriteer: Houd bij het prioriteren van kwetsbaarheden rekening met hoe kritiek of essentieel een bedrijfsmiddel of proces is voor de organisatie, de ernst van de kwetsbaarheid, welke beveiligingsmaatregelen al in plaats zijn en welke gepubliceerde exploits bekend zijn. 

Risicoperspectief

Niet iedere kwetsbaarheid hoeft direct gemitigeerd te worden. In plaats van rücksichtslos alle kwetsbaarheden proberen te patchen of te mitigeren, zou de aandacht meer moeten liggen op het risicoperspectief. Sommige kwetsbaarheden zijn door bestaande compenserende maatregelen het patchen of mitigeren niet waard. Andere verdienen wel aandacht, maar hebben minder prioriteit.

Door prioritering kan er een planning en een backlog worden opgesteld, zodat direct duidelijk is wat de kritieke en de minder kritieke kwetsbaarheden zijn en wat er mee moet gebeuren. Risk-based vulnerability management zorgt niet alleen voor een proactieve aanpak om kwetsbare middelen en processen te identificeren, maar helpt ook alert te blijven en patch prioritering te bevorderen.

Kortom

Prioriteer op basis van actuele dreigingen, die gevolgen kunnen hebben op de organisatie en de bedrijfsprocessen. De vraag die daarbij gesteld moet worden, is niet: “Hoe ernstig is deze kwetsbaarheid?”, maar: “Hoe ernstig is de dreiging van deze kwetsbaarheid op mijn bedrijfsprocessen en middelen?”. Door te kijken naar welke bedrijfsprocessen en -middelen essentieel zijn, kan gekozen worden voor mitigeren of het implementeren van patches (als deze beschikbaar zijn). Daarbij moet wel rekening worden gehouden met eventuele impact op bedrijfsprocessen. De oplossing moet niet erger zijn dan het probleem. Die inschatting maakt (als het goed is), al deel uit van risico- en changemanagement.

Handige bronnen:
https://nvd.nist.gov/vuln-metrics/cvss
https://www.redhat.com/en/blog/why-cvss-does-not-equal-risk-how-think-about-risk-your-environment