Grip op kwetsbaarheden

By 4 juni 2020 Blog
Deel dit bericht!

Vrijwel iedere organisatie heeft zijn infrastructuur beschermd met basismaatregelen zoals een firewall en antivirussoftware. Hiermee worden waar mogelijk hackers en malware buiten de deur gehouden. Deze aanpak werkte toen een netwerk nog te vergelijken was met een kasteel, waarbij de kasteelheer de toegang beschermde met een ophaalbrug en een slotgracht. Er was één ingang en die moest beschermd worden tegen indringers.

Tegenwoordig zijn netwerken  meer te vergelijken met steden. Er zijn verschillende ingangen, verschillende eigenaren en er gaat continu verkeer in en uit. Zo worden thuiswerkers gefaciliteerd, kunnen leveranciers op afstand diensten benaderen en moeten de medewerkers op kantoor bij allerhande clouddiensten kunnen. Dit betekent dat een groter deel van het netwerk opengesteld wordt, wat het beschermen lastiger maakt. Om deze reden is het van belang te kijken naar kwetsbaarheden en daar actie op te ondernemen. Hierbij hanteren we als uitgangspunt: wat als een hacker direct toegang had tot dit systeem?

Kwetsbaarheden in kaart brengen
Het in kaart brengen van kwetsbaarheden gebeurt doorgaans op één van de onderstaande twee manieren:

  • Het uitvoeren van een penetratietest
  • Het continu scannen van een netwerk op kwetsbaarheden

Waar de penetratietest (pentest) bedrijfsspecifiek met een opdracht wordt uitgevoerd, is de scan geautomatiseerd en meer generiek. De pentest simuleert een hacker met een gericht doel, de opdracht is dan ook vaak gericht op het toetsen van maatregelen of systemen. De scan simuleert meer de generieke dreigingen. Denk daarbij aan kwaadaardigen die proberen binnen te komen waar ze maar kunnen om bijvoorbeeld een botnet/ransomware of andere narigheden achter te laten.

Zowel de generieke dreigingen als de hackers hebben echter hetzelfde startpunt, ze scannen het netwerk (voor zover bereikbaar) op kwetsbaarheden en proberen via die route binnen te komen. Door zelf dergelijke kwetsbaarheden in kaart te brengen kkunnen ze worden verholpen voordat ze worden misbruikt.

Beheer van kwetsbaarheden
Bij het beheer van gevonden kwetsbaarheden wordt het verschil tussen een penetratietest en het continue scannen groter. De penetratietest levert een rapport met advies, maar (in de basis) zonder historie of verdere afhandeling. Dit maakt het een goede methodiek als onderdeel van eenmalige audits, zoals het acceptatieproces bij het opleveren van nieuwe software(releases) of infrastructuur. Een goede scantool gaat gepaard met tools die helpen met het krijgen van grip op de kwetsbaarheden die worden gevonden. Deze tools zouden (minimaal) een geprioriteerde actielijst en een audittrail op moeten leveren.

Het tonen van een geprioriteerde actielijst op basis van de scanresultaten helpt bij de afhandeling. Niet elke kwetsbaarheid vormt een even groot risico. Op basis van het internationaal gehanteerde Common Vulnerability Scoring System (CVSS) wordt weergegeven hoe kritiek een kwetsbaarheid is. Zo is bijvoorbeeld een kwetsbaarheid die op afstand misbruikt kan worden kritieker dan eentje die dat niet is.

De andere as op basis waarvan prioriteit wordt bepaald is bedrijfscontext. Het ene systeem is kritischer voor de bedrijfsvoering dan het andere. Door deze twee parameters als weegfactoren te hanteren verandert een overzicht met kwetsbaarheden in een actielijst die specifiek is voor de desbetreffende organisatie.

Vervolgens moeten traceerbare acties worden ondernomen op de gevonden kwetsbaarheden. Deze acties kunnen onder andere bestaan uit patchen, uitfaseren of system hardening . Het is daarbij van belang dat er geregistreerd wordt welke acties worden uitgevoerd en door wie deze registratie gedaan is. Indien er toekomstige acties worden gepland, zoals het vervangen van een systeem, dan kan een melding tijdelijk onderdrukt worden, maar ook dit wordt geregistreerd. Zo is er altijd een audittrail beschikbaar met uitgevoerde en geplande activiteiten op kwetsbaarheden.

Deze traceerbaarheid zorgt er voor dat een organisatie aan kan tonen heeft welke acties zij op welke kwetsbaarheden heeft ondernomen, of gepland heeft te ondernemen, om de cyberweerbaarheid te vergroten. Hiermee bent u aantoonbaar in controle, iets dat vanuit verschillende certificeringen (waaronder ISO 27001 en NEN 7510) vereist wordt.