Niet alle kwetsbaarheden zijn gelijk: de noodzaak van context en prioriteiten stellen

Abonneer je gratis op Techzine!

Iedereen die zich in Nederland bevindt, wordt in gelijke gevallen gelijk behandeld. Het zijn de allereerste woorden van onze grondwet. En ze kloppen voor mensen, maar niet voor kwetsbaarheden. Organisaties zullen al snel overweldigd raken als ze proberen alle kwetsbaarheden gelijk te behandelen. Gezien het enorme aantal kwetsbaarheden vereist een effectieve cybersecuritystrategie het vermogen om kwetsbaarheden in de juiste omgeving te bekijken en prioriteiten te stellen.

Definieer ‘kwetsbaarheid’

Om te beginnen moeten organisaties vaststellen wat het betekent wanneer ze zeggen dat ze een kwetsbaarheid hebben. Kwetsbaarheden worden vaak geïdentificeerd en gedefinieerd in een silo of vacuüm dat geen rekening houdt met andere relevante factoren. De realiteit is dat een kwetsbaarheid slechts zo erg is als de dreiging die ervan uitgaat en de potentiële impact die een succesvolle uitbuiting zou kunnen hebben.

Zo kan bijvoorbeeld een kapot slot van een voordeur als kwetsbaar worden beschouwd. Er bestaat een risico op onbevoegde toegang als gevolg van deze kwetsbaarheid. Echter, als er geen meldingen zijn van inbrekers die ’s nachts in uw stad deuren controleren die niet op slot zitten, is het misschien niet zo urgent om uw kapotte slot te repareren. Of als er recentelijk meldingen zijn geweest, maar het slot zit op een deur van een lege loods, dan is de potentiële impact nihil. In beide gevallen is het slot van de deur nog steeds kapot, maar de mate waarin de ‘kwetsbaarheid’ ernstig is, hangt af van de situatie.

Organisaties richten zich vaak op CVSS (Common Vulnerability Scoring System) en CVE (Common Vulnerabilities and Exposure) als cijfers om kwetsbaarheden te rangschikken of te prioriteren, maar geen van beide kunnen op zichzelf worden gebruikt om kwetsbaarheden effectief te beheren.

CVSS meet de ernst van een kwetsbaarheid, maar houdt geen rekening met risico’s. Het is een worstcasescenario van de omvang van de impact of de schade als de kwetsbaarheid met succes wordt uitgebuit, maar niet hoe aannemelijk het is dat de uitbuiting zal plaatsvinden. De CVE is nog minder bruikbaar vanuit een risicomanagementperspectief, omdat het slechts een benaming is voor het identificeren van specifieke kwetsbaarheden.

Context is de sleutel tot het stellen van prioriteiten voor kwetsbaarheden

Een kwetsbaarheid kan ernstig zijn maar een laag risico vormen en een kwetsbaarheid kan een hoog risico vormen maar niet ernstig zijn. De twee termen zijn niet verwisselbaar en het is belangrijk om het verschil te begrijpen.

IT-beveiligingsteams hebben de neiging zich te richten op de meest recente kwetsbaarheden, met name kwetsbaarheden met een hoge mate van ernst. Aanvallers daarentegen geven niet noodzakelijkerwijs prioriteit aan de ernst ervan. Zij richten zich over het algemeen op het gemak van de exploitatie en een hoog rendement op de investering. Veel aanvallen zijn gericht op oude kwetsbaarheden waarvoor al maanden of jaren patches bestaan, omdat aanvallers gewoon een tool kunnen kopen en het proces van discovery en exploitatie kunnen automatiseren.

Speltheorie en kwetsbaarheidsmanagement

Een van de grootste misvattingen als het gaat om kwetsbaarheidsmanagement is dat het een spel met getallen is. Veel organisaties hebben een vertekende, metrische aanpak van kwetsbaarheidsmanagement die de illusie wekt dat er vooruitgang en succes wordt geboekt, terwijl het bedrijf aan grote risico’s wordt blootgesteld.

Als er 1.000 kwetsbaarheden worden vastgesteld en het IT-beveiligingsteam erin slaagt om 990 ervan te herstellen of te beperken, is 99 procent van de kwetsbaarheden verholpen. Op het eerste gezicht klinkt dat indrukwekkend, maar aanvallers hebben maar één kwetsbaarheid nodig. De echte vraag is wat de tien resterende kwetsbaarheden zijn en wat de potentiële impact is voor de organisatie als een van de kwetsbaarheden met succes wordt verwijderd.

In plaats van kwetsbaarheidsmanagement te zien als een cijferspel en het meten van succes op basis van een willekeurig percentage van het totale aantal gedetecteerde kwetsbaarheden, zouden organisaties kwetsbaarheidsmanagement moeten zien als een functie van de speltheorie. Er zijn verschillende factoren die in overweging moeten worden genomen om effectief prioriteit te geven aan kwetsbaarheden en om kwetsbaarheidsmanagement effectief te doen. IT-beveiligingsteams moeten rekening houden met en onderhandelen over meerdere factoren – kwetsbaarheid, in hoeverre de assets kritiek zijn, toegankelijkheid van de assets, beperking van de controles, potentiële impact, enz. – en moeten tactisch nadenken over de tegenstander om een succesvolle strategie te ontwikkelen.

Waakzaamheid is cruciaal

Het uiteindelijke doel van een effectieve strategie voor kwetsbaarheidsmanagement is dat deze doorlopend moet zijn. Het uitvoeren van een maandelijkse of zelfs wekelijkse kwetsbaarheidsscan om kwetsbaarheden te identificeren, geeft alleen een momentopname weer.

Aanvallers werken niet op een wekelijks of maandelijks schema. Het internet is wereldwijd, en het is altijd ergens tien uur ‘s ochtends. Aanvallers werken de klok rond, dus uw inspanningen op het gebied van kwetsbaarheidsmanagement moeten 24/7 waakzaam zijn.

Inzicht in de context bij het prioriteren van inspanningen om kwetsbaarheden te verhelpen, een strategie op basis van speltheorie in plaats van kwetsbaarheidsmanagement te zien als een puur cijferspel, en een systeem van continue kwetsbaarheidsmonitoring – deze combinatie van maatregelen helpt u om uw aanvalsoppervlak te verkleinen en uw beveiligingspositie te verbeteren.

Dit is een ingezonden bijdrage van Chantal ’t Gilde, Managing Director Benelux & Nordics bij Qualys. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.