Een cyberaanval bestaat uit verschillende doelstellingen (tactieken) waarmee aanvallers stap-voor-stap systemen en zo organisaties binnendringen. Het verkrijgen van ‘initiële toegang’ tot een systeem is één van de eerste doelstellingen binnen een aanval. Initiële toegang kan door middel van vele technieken worden verkregen maar cybercriminelen zijn hierbij op basis van de cijfers het meest succesvol met:
- De inzet van phishing aanvallen
- Het gebruiken van valide inloggegevens
- Het misbruiken van bekende software kwetsbaarheden
Gemiddeld worden er per jaar zo’n 20.000 tot 25.000 nieuwe kwetsbaarheden ontdekt in bestaande software producten. Kwaadwillende kunnen kwetsbaarheden misbruiken om de betrouwbaarheid van een systeem of software product te schaden en zo impact te veroorzaken. Het actief voorkomen van kwetsbaarheden op systemen is dan ook één van de basis beschermingsmaatregelen waar iedere organisatie zich mee bezig zou moeten houden om haar digitale weerbaarheid op een basisniveau te krijgen.
Vulnerability Management proces
Om te voorkomen dat er bekende software kwetsbaarheden bestaan binnen een systeem kan een zogenaamde Vulnerability Scan oplossing worden ingezet voor de identificatie van kwetsbaarheden. Om de identificatie en behandeling structureel te kunnen borgen wordt er gesproken over een zogenaamd Vulnerability Management proces. Doel van dit proces is om, ondersteund door middel van Vulnerability Scan oplossing, systemen terugkerend te beoordelen op aanwezige bekende software kwetsbaarheden om deze vervolgens op basis van de risicohouding van een organisatie te behandelen. Een Vulnerability Management proces betreft een mix van techniek, proces en mens. Een aantal fundamentele onderdelen zijn:
- Security update proces: Software waarmee systemen en applicaties geautomatiseerd worden voorzien van security updates
- Geautomatiseerde Vulnerability Scans: Software waarmee systemen geautomatiseerd kunnen worden gecontroleerd op kwetsbaarheden
- Meldingsproces: Een meldingsproces waarmee geïdentificeerde kwetsbaarheden op niet geautomatiseerde wijze kunnen worden gemeld
- Behandelproces: Een behandelingsproces om de behandeling van geïdentificeerde kwetsbaarheden uit te voeren
- Menselijke resources: De mensen die de processen voor behandeling van kwetsbaarheden uitvoeren en monitoren
Hoe groter een organisatie is in aantal medewerkers, locaties en/of diensten hoe groter het risico op aanwezige systemen die kwetsbaarheden bevatten waarvan misbruik gemaakt kan worden. Informatiebeveiliging en Cybersecurity risico’s schalen nou eenmaal mee de omvang van organisatie en dat geldt voor de beheersing van kwetsbaarheden niet anders.
Asset Management als de kern
Wanneer je als organisatie niet weet wat je in huis hebt dan wordt het moeilijk om dit überhaupt te beschermen. Weten wat je hebt gaat verder dan het beschikken over een lijstje met servernamen en IP-adressen. Het heeft betrekking op het continu in beeld hebben van het gehele landschap van hardware en software middelen in relatie tot de netwerk positionering en de afhankelijkheden vanuit de bedrijfsprocessen. Vulnerability Management treedt ondersteunend op aan asset management voornamelijk op het gebied van asset en configuratie identificatie. In een later blog meer over Asset Management!
Kwetsbaarheid risico inschaling
Er zijn vele eigenschappen waarmee het risico van een kwetsbaarheid kan worden ingeschaald. Hiervoor bestaan eventueel gestandaardiseerde modellen zoals CVSS. Onderstaand een aantal belangrijke voorbeelden van eigenschappen die kunnen mee wegen in de risico inschatting:
- Business Impact: De mate van belangrijkheid van de dienst of service die door het betreffende systeem wordt geboden aan een organisatie
- Benodigde toegang en kennis : De benodigdheden qua toegang en kennis om misbruik te kunnen maken van de kwetsbaarheid. Welke toegang is vereist en hoe moeilijk is het om de kwetsbaarheid te misbruiken.
- Benodigde middelen: De openbaar beschikbare middelen om misbruik te kunnen maken van de kwetsbaarheid. In welke mate is er reeds code beschikbaar om de kwetsbaarheid daadwerkelijk te kunnen misbruiken.
- Beschikbare oplossingen: Is er een oplossing, tussenoplossing of geen oplossing beschikbaar? Bijvoorbeeld door het toepassen van een update of configuratiewijziging
- Dreigingsinformatie / threat intelligence: In hoeverre is of wordt er reeds actief misbruik waargenomen. Dreigingsinformatie is en wordt steeds belangrijker binnen Vulnerability management Processen
- Asset netwerkpositie en securityconfiguratie: De netwerkpositie en security configuratie van het systeem waarop de kwetsbaarheid aanwezig is
Risico inschaling als onderbouwing voor actie
Kwetsbaarheid eigenschappen leiden tot risico inschaling. Hierop dient vervolgens passende opvolging (remediation) plaats te vinden. Hierbij is het een gegeven dat de kwetsbaarheid eigenschappen op verschillende vlakken dynamisch oftewel onderhevig kunnen zijn aan verandering. In de praktijk leidt het vaak tot allerlei mogelijk opvolging acties, het is verstandig deze binnen een proces te groeperen zoals onderstaande voorbeelden:
- Volg: De kwetsbaarheid vereist op dit moment geen aanvullende actie anders dan het reguliere update proces. De organisatie zal de kwetsbaarheid blijven volgen en opnieuw beoordelen als er nieuwe informatie beschikbaar komt. Het reguliere update proces volgt de kwetsbaarheid op.
- Aandacht: De kwetsbaarheid vereist additionele aandacht van de interne personen op toezichthoudend niveau van de organisatie. Noodzakelijke acties zijn onder meer het vragen om hulp of informatie over de kwetsbaarheid en kunnen bestaan uit het intern en/of extern publiceren van een melding. Remediation mogelijk sneller dan het reguliere update proces
- Handelen: De kwetsbaarheid vereist direct handelen en daarmee ook aandacht van interne personen, het toezichthoudend niveau en het leiderschapsniveau van de organisatie. Noodzakelijke acties zijn onder meer het vragen om hulp of informatie over de kwetsbaarheid, maar ook het intern en/of extern publiceren van een melding. Remediation zo snel als mogelijk.
Aanpak afhankelijk van situatie
Met welke processen, mensen en technieken Vulnerability Management op effectieve wijze kan worden toegepast verschilt per organisatie en per het security-volwassenheidniveau van een organisatie. Alle resources inzetten op Vulnerability Management terwijl andere basisbeschermingsmaatregelen zoals Toegangscontrole of E-mail beveiliging niet op orde zijn een organisatie fataal komen te staan. Het opzetten van een maatregelen routekaart passend bij het huidige niveau beschermingsniveau van een organisatie kan hierbij helpen.
Vulnerability Management – veel meer dan techniek alleen
Vulnerability Management is meer dan een technologische oplossing; het is een integrale en gelaagde benadering van cybersecurity maatregelen. Door geautomatiseerde scans, gestroomlijnde processen en menselijke betrokkenheid te combineren, kunnen organisaties proactief kwetsbaarheden identificeren, behandelen en hun digitale weerbaarheid vergroten. Het inschalen van risico's biedt een gedifferentieerde aanpak, waardoor prioriteiten worden gesteld op basis van de unieke behoeften en risicoprofielen van elke organisatie. Door het implementeren van een doordachte Vulnerability Management -strategie kunnen organisaties zich effectief beschermen tegen steeds veranderende cyberdreigingen en de integriteit van hun systemen handhaven.