Vulnerability Management: Volledig inzicht belangrijk, prioriteren cruciaal!

De laatste maanden zien wij een enorme toename in het aantal cyberaanvallen, met de huidige gezondheidsituatie als grote aanjager. Criminelen misbruiken deze situatie actief in phishing-aanvallen en met malicious websites. We zien over het algemeen dat aanvallers gebruik maken van twee zwakheden. Namelijk de menselijke factor waarbij ze je proberen te verleiden om bijvoorbeeld je gegevens af te staan. En daarnaast zien we dat veel aanvallers gebruik maken van vulnerabilities (fouten/lekken) in de software om binnen te komen. Om dit laatste risico inzichtelijk te maken en vervolgens ook actief te kunnen gaan mitigeren, adviseren wij om gebruik te maken van een Vulnerability Management oplossing. Kortom: een Vulnerability Management oplossing helpt je bij het inzichtelijk maken van het cyberrisico en het verkleinen van het aanvalsoppervlak. In deze blog ga ik nader in op de eerste twee stappen van het Vulnerability Management proces.

Een effectief securitybeleid begint met het creëren van inzicht. Zonder een compleet beeld van je omgeving is het niet mogelijk om de verdediging effectief te organiseren. Een vergeten Windows Server 2008 kan je als organisatie bijvoorbeeld enorm in de problemen brengen. Welke risico’s loop je, nu een groot deel van de medewerkers thuis zitten? Wat als ze op een eigen device zitten? Voldoet deze aan de policy? Is die goed gepatcht?

Vulnerability Management geeft je dit inzicht door middel van het scannen van de omgeving op het gebied van vulnerabilities, ook wel kwetsbaarheden genoemd. Deze kwetsbaarheden zijn fouten in software die gebruikt worden door kwaadwillenden om jouw omgeving aan te vallen. Het is dus van groot belang om inzichtelijk te krijgen welke assets en welke kwetsbaarheden er binnen de omgeving zijn. Bij voorkeur in een gecentraliseerd dashboard dat in één oogopslag inzicht geeft in jouw cyberrisico’s.

Vanuit een management perspectief wil je als organisatie dit voor de gehele omgeving zien. Vanuit een beheerperspectief zou dit bijvoorbeeld voor alleen de kantoorautomatisering of de serveromgeving gedaan kunnen worden. Zodat je als beheerder zicht hebt op hetgeen wat uitsluitend voor jou relevant is.

Wij zien bij onze klanten dat de complexiteit van hun IT-omgeving toeneemt. Denk aan de toename van medewerkers die thuiswerken, maar ook aan cloud en multi-cloudomgevingen.

• Heb je op dit moment inzicht wat op het device van de thuiswerkende medewerker draait?
• Hoeveel servers heeft de organisatie in de cloud draaien?
• Zijn deze gepatcht?
• Zijn alle servers juist geconfigureerd?

Maar is ook de testserver, die even snel was opgezet, weer uitgezet en verwijderd? Tegelijkertijd zien we een toename van IoT en OT die gekoppeld worden aan het internet of netwerk. Al deze ontwikkelingen dragen bij aan de toename van de complexiteit. Tegelijkertijd zorgt dit voor nieuwe kwetsbaarheden en een groter aanvalsoppervlak voor kwaadwillenden. De grote vraag is dan dus ook hoe ga je dit effectief beveiligen?

De eerste stap richting een goede beveiliging is het verkrijgen van inzicht in de risico’s. Een goede Vulnerability Management oplossing stelt je als organisatie in staat om dit inzicht te krijgen. Allereerst door het netwerk in kaart te brengen en vervolgens door de vulnerabilities in kaart te brengen. Om een compleet inzicht te krijgen is het benodigd om op verschillende manieren te scannen. Dit is afhankelijk van het doel van de scan en de gewenste output. Een goede Vulnerability Management oplossing heeft dan ook een arsenaal aan verschillende scanmogelijkheden tot zijn beschikking.

• Allereerst de non-credential scan.
  • Deze scan zonder credentials geeft je een opsomming van de verschillende poorten, protocollen en services op een assets/host. Vervolgens identificeert het aan de hand hiervan de kwetsbaarheden en misconfiguraties. Dit geeft je een beeld van hoe een aanvaller van buitenaf het netwerk ziet.
• De credential scan geeft je een dieper inzicht.
  • Doordat je met meer rechten op de asset/host scant krijg je een completer beeld. Denk bijvoorbeeld aan de kwetsbaarheden in de lokale software. Dat je deze niet ziet met de non credential scan betekent niet dat je geen risico loopt. Malware kan bijvoorbeeld niet herkent worden door de antivirus en vervolgens gebruik maken van een kwetsbaarheid in de software die nog niet gepatcht is.
• Agent based scanning
  • Door middel van het installeren van een agent op de assets/host krijg je een volledig beeld van de kwetsbaarheden op een device. Groot voordeel hiervan is dat de agent ook verbinding kan maken met de cloudomgeving. Zodoende als de asset buiten het eigen bedrijfsnetwerk is, geeft deze alsnog inzicht in de vulnerabilities. Het tweede grote voordeel is dat je hiermee een continu beeld hebt van het risico. Tenslotte is het doordat je met een agent scant ook niet meer nodig om credentials te gebruiken. Dit vergroot de veiligheid en betrouwbaarheid.
• Passive scanner
  • Wij zien dat passive scanning op verschillende manieren wordt ingezet. Een passive scanner is een scanner die het netwerk verkeer leest en op basis daarvan inzicht geeft. Passive scanning wordt ingezet om bijvoorbeeld OT en IoT netwerken te beveiligen en om continu beeld van de omgeving te krijgen. De credential en de non credential scan zijn scans die op een specifiek moment lopen en als een device op dat moment nog niet in het netwerk zit dan heb je hier op ook geen zicht. Het zou dus zo kunnen zijn dat je een asset continu niet scant omdat het gedurende de scan window niet aanwezig is. De passive scanner zal dan echter wel dit device detecteren.
• Cloud connector
  • Door middel van de cloud connector krijg je een volledig beeld van je cloudomgeving(en). De eerste scan om te doen met de cloud connector is de discovery scan. Hiermee krijgt de organisatie inzicht in wat er allemaal aan assets in de cloud draait. Vervolgens kan je daarna kiezen om deze assets ook actief te gaan managen om zodoende het daadwerkelijke risico inzichtelijk te krijgen.

Door deze scanners en technieken te combineren krijg je volledig inzicht in de omgeving. Door middel van verschillende dashboards kan je als organisatie vervolgens aan de slag met vulnerability management.

Wat betreft scanning zijn er globaal gezien twee benaderingen. De eerste methode is om de omgeving op basis van schema’s te scannen. Je stelt een scan-window in en op dat moment scan je alle actieve devices. Wij zien dat deze methode wordt gebruikt bij zowel de credential scan als bij de non-credential scan. Daar tegenover staat het continu monitoren. Hiervoor kan je de agent en de passive scanner inzetten.

Zoals hiervoor beschreven krijg je vanuit de verschillende scanners natuurlijk ook verschillende niveau's van inzicht. Wij adviseren je om te kiezen voor een zo compleet mogelijk beeld, en waar mogelijk gebruik te maken van de agents gecombineerd met de passive scanner om eventuele onbekende/nieuwe devices in het netwerk te detecteren.

Je kunt je vast voorstellen dat al deze scans een enorme hoeveelheid data opleveren. Dit betekent ook voor veel klanten dat zij zich voor een enorme berg aan vulnerabilities zien staan. Om hier effectief mee aan de slag te gaan, komen we bij de tweede stap, namelijk het prioriteren van de kwetsbaarheden.

Traditioneel gezien werd er geprioriteerd op basis van de CVE-score, waarbij de hoogste scores als eerst werden aangepakt. We zien echter dat deze manier van werken niet meer de meest efficiënte manier is. Het is nu namelijk mogelijk om op basis van verschillende parameters te prioriteren. Denk dan aan zaken als:

• Welke vulnerabilities worden actief misbruikt?
• Voor welke vulnerabilities zijn er exploits beschikbaar?
• Zijn assets internet facing?

Op basis van deze en nog vele andere parameters is het mogelijk om te bepalen welke assets en welke patches de grootste impact hebben en je direct beveiligen tegen de meest actuele dreigingen. Dit zorgt ervoor dat je geïnformeerd, proactief en efficiënt je beslissingen kunt nemen, waarmee je gelijktijdig focust op de grootste risico’s.

Mijn naam is Wouter Poppenk en ik maak deel uit van het Security-team bij SoftwareONE Nederland. Als Security-team adviseren wij onze klanten omtrent de best passende security-oplossing voor jouw organisatie. Graag kom ik persoonlijk met je in contact om de huidige situatie in kaart te brengen en vanaf daar samen een roadmap te maken die leidt tot nog meer volwassenheid en inzicht in de security van jouw omgeving. Hieronder vind je mijn contactdetails om vrijblijvend en kosteloos een gesprek hierover aan te gaan met het Security-team van SoftwareONE.

Inside Solution Specialist Security

 wouter.poppenk@softwareone.com

 +31 6 5362 6539

 LinkedIn

Senior Solution Specialist Security

 william.jansen@softwareone.com

 +31 6 5778 2516

 LinkedIn

Senior Solution Specialist Security

 eric.bruseker@softwareone.com

 +31 6 3199 6550

 LinkedIn

Solution Specialist Security

 tim.jonker@softwareone.com

 +31 6 3437 0658

 LinkedIn