Articles

Hoe bouwt u een programma voor kwetsbaarheidsbeheer

Een programma voor kwetsbaarheidsbeheer identificeert, evalueert, prioriteert en beperkt systematisch de kwetsbaarheden die een risico kunnen vormen voor de infrastructuur en toepassingen van een onderneming. Een modern programma voor kwetsbaarheidsbeheer combineert automatisering, informatie over bedreigingen en gegevenswetenschap om te voorspellen welke kwetsbaarheden het grootste risico voor een specifieke omgeving vormen.

Waarom is een programma voor kwetsbaarheidsbeheer van cruciaal belang?

Het aantal kwetsbaarheden dat is waargenomen in apparaten, netwerken en toepassingen is de afgelopen jaren drastisch toegenomen. Een blik op de National Vulnerability Database onthult dat het aantal Common Vulnerabilities and Exploits (CVE’s) sinds 2016 is verdrievoudigd.

Ook in opkomst: zeer geraffineerde pogingen om die kwetsbaarheden uit te buiten. Volgens het Identity Theft Resource Center (ITRC) is het aantal geregistreerde datalekken van 2018 tot 2019 met 17% gesprongen. In alleen al de eerste twee maanden van 2020 werden 1,66 miljard records blootgesteld in 11.476 inbreuken.

Toch zijn de meeste bedrijven nog steeds niet voldoende voorbereid. In 2019 stelde PwC vast dat “minder dan de helft van de bedrijven wereldwijd voldoende is voorbereid op een cyberbeveiligingsaanval.” Cybercriminelen worden steeds geavanceerder en organisaties worstelen om ervoor te zorgen dat de cyberbeveiligingsvaardigheden, -tools en -processen van hun team deze bedreigingen kunnen aanpakken.

Dit alles komt op een reële kostenpost voor bedrijven. Cybersecurity Ventures voorspelt dat de door cybercriminaliteit veroorzaakte schade tegen 2021 de wereld jaarlijks 6 biljoen dollar zal kosten (tegenover 3 biljoen dollar in 2015) – kosten die bedrijven zich in een tijd van historische economische ontwrichting nauwelijks kunnen veroorloven.

Nadat kwetsbaarheden en gediversifieerde aanvallen blijven toenemen, hebt u een programma voor het beheer van kwetsbaarheden nodig om uw infrastructuur, toepassingen en gegevens goed te beschermen.

Kan een traditioneel programma voor het beheer van kwetsbaarheden dit bijbenen?

Veel ondernemingen vertrouwen nog steeds op de gewoonte om alles boven een bepaalde drempel te patchen, zoals Common Vulnerability Scoring System (CVSS)-scores van zeven of hoger. Sommigen gebruiken nog steeds enorme spreadsheets van kwetsbaarheden die ze vervolgens sorteren op basis van intuïtie, het publieke profiel van een kwetsbaarheid, of het aantal getroffen assets. Voor het grootste deel werkte deze basisbenadering van een kwetsbaarhedenbeheerprogramma – dat wil zeggen, totdat aanvallers geraffineerder werden en infrastructuren ingewikkelder, gevoeliger en omvangrijker werden.

Het probleem voor de organisaties van vandaag is dat deze traditionele programmamodellen voor het beheer van kwetsbaarheden hen dwingen om te proberen prioriteiten te stellen voor kwetsbaarheden zonder de context die nodig is om nauwkeurig te kunnen beoordelen welk risico een kwetsbaarheid vormt voor hun specifieke organisatie. Een kwetsbaarheid kan bijvoorbeeld in het nieuws komen en onrust veroorzaken onder belanghebbenden en leidinggevenden. Veel kwetsbaarheden zijn onder deze omstandigheden gepatcht. Maar in veel gevallen is de kwetsbaarheid er niet een die actief wordt misbruikt binnen uw branche; met andere woorden, het vormt een relatief laag risico voor uw infrastructuur. Als u over deze context beschikt, kunt u beter bepalen welke kwetsbaarheden moeten worden verholpen en kunt u uw beslissing om geen prioriteit te geven aan het verhelpen van kwetsbaarheden die de krantenkoppen halen, tegenover anderen verdedigen.

Bedenk nu dat slechts 2%-5% van de kwetsbaarheden van een organisatie waarschijnlijk zal worden uitgebuit. Traditionele manieren om kwetsbaarheden te beheren zullen waarschijnlijk niet veel helpen bij het lokaliseren van de kwetsbaarheden die de meeste kans hebben om als wapen te worden gebruikt. Kwetsbaarhedenscanners en CVSS-scores bieden IT- en beveiligingsteams weinig inzicht in het specifieke risico dat elke kwetsbaarheid voor een organisatie oplevert.

Hierdoor moeten beveiligingsteams IT en DevOps overhalen om een groot aantal kwetsbaarheden te verhelpen, die uiteindelijk het risico niet verlagen en kostbare cycli verspillen die aan meer strategische en zinvolle initiatieven kunnen worden gewijd. De wrijving tussen beveiliging en IT-teams is iets wat organisaties met traditionele programma’s voor het beheer van kwetsbaarheden maar al te goed weten.

Traditionele versus risicogebaseerde programma’s voor het beheer van kwetsbaarheden

Een moderner alternatief voor traditionele methoden wordt risicogebaseerd beheer van kwetsbaarheden genoemd, waarbij data science, realtime informatie over kwetsbaarheden en automatisering worden ingezet om een geprioriteerde en efficiënte aanpak te creëren voor het beter isoleren en begrijpen van de risico’s die daadwerkelijk een bedreiging vormen voor een organisatie. Bedrijven die tijd willen besparen, efficiëntere workflows voor herstel willen creëren en hun risicoprofiel willen verlagen, maken gebruik van risicogebaseerd kwetsbaarheidsbeheer.

Volgens toonaangevende analisten is de toekomst van programma’s voor kwetsbaarheidsbeheer gebaseerd op risico’s. In de afgelopen maanden, nu kwetsbaarheden en bedreigingen blijven toenemen en evolueren, heeft Gartner de noodzaak erkend van het prioriteren van kwetsbaarheden op basis van risico. “Gartner heeft de kritieke noodzaak genoemd om assets te beoordelen op configuratieproblemen en kwetsbaarheden, en om in staat te zijn prioriteit te geven aan wat je met die beoordeling doet, op basis van het risico voor je organisatie.”

En eind vorig jaar merkte Forrester ook op dat risicogebaseerde prioritering de toekomstige moderne vulnerability management programma’s zal definiëren.

Wat zijn de stappen voor het opzetten van een vulnerability management-programma?

Organisaties die hun vulnerability management-programma’s willen opzetten of versterken, kunnen het beste beginnen met deze zes belangrijke stappen.

  1. Stel uw team samen. Begin met het leggen van de basis voor uw programma door alle belangrijke spelers te identificeren die nodig zijn. Organisaties hebben vaak een beveiligingsdirecteur of -manager die is belast met het beheer van kwetsbaarheden en ten minste één analist die kwetsbaarheden in uw omgeving identificeert, opspoort en beoordeelt. Het teamlid dat verantwoordelijk is voor het verhelpen van de kwetsbaarheden kan meerdere afdelingen omvatten, zoals IT, DevOps en AppSec.
  2. Schaf de juiste tools aan. Gangbare tools voor het opsporen van kwetsbaarheden die door beveiligingsteams worden gebruikt, brengen kwetsbaarheden in de omgeving aan het licht. Zodra deze kwetsbaarheden zijn gelokaliseerd, biedt een configuratiebeheerdatabase gedetailleerde informatie over alle hardware- en software-assets in een organisatie. Een oplossing voor het beheer van kwetsbaarheden maakt gebruik van deze verkregen gegevens en sorteert ze, waarna de kwetsbaarheden worden geïdentificeerd die het grootste risico voor de organisatie vormen. Deze worden vervolgens ingevoerd in een herstelwerkstroom (meestal met behulp van een ticketsysteem) die wordt gedeeld met IT en DevOps.
  3. Vergelijk het bedreigingslandschap met uw omgeving. Vergelijk uw kennis over uw bedrijfsmiddelen en bekende kwetsbaarheden binnen uw organisatie met uw informatie over bedreigingen. Dit helpt u bij het bepalen van de impact van een potentiële exploit – een andere belangrijke factor bij het bepalen van het risico. Tools zoals CVE-lijsten, CPE-informatie (common platform enumeration) en CWE-informatie (common weakness enumeration) bieden een begin, maar om effectief kruisverwijzingen uit te voeren, hebt u brede, real-world gegevens nodig die in een modern programma voor vulnerability management zijn opgenomen.
  4. Ken uw bedrijfsmiddelen, toepassingen en risicotolerantie. Inzicht in uw huidige bedrijfsmiddelen en het acceptabele risiconiveau van uw organisatie is essentieel voor een effectieve prioritering. Voor een gedetailleerde inventarisatie van uw bedrijfsmiddelen kunt u gebruikmaken van geautomatiseerde hulpmiddelen die u bij deze ontdekkingstaak helpen. Deze hulpmiddelen scannen uw organisatie om bedrijfsmiddelen zoals servers, werkstations, virtuele machines, opslagarrays en netwerkapparaten te identificeren. Uw risicotolerantie kan worden bepaald door uw bedrijfstak of specifieke bedrijfsrichtlijnen. Zoek binnen uw bedrijf naar bronnen die u kunnen wijzen op richtlijnen voor risicobeoordeling met betrekking tot andere aspecten van het bedrijf. Voor specifieke kwetsbaarheden is het van cruciaal belang om te begrijpen hoeveel risico u kunt accepteren en welke afwegingen u kunt maken tussen nu verhelpen of wachten.
  5. Meet, evalueer en prioriteer uw kwetsbaarheden. Dit is de fase waarin de keuze van een platform voor het beheer van kwetsbaarheden van cruciaal belang wordt. Wanneer u het juiste platform voor uw organisatie overweegt, zoek dan naar een platform dat informatie over werkelijke kwetsbaarheden, data science, geautomatiseerde risicoanalyses, aangepaste risicometrische gegevens en zelfs risicogebaseerde SLA’s integreert. De beste moderne platforms combineren dit alles in een metriek – of score – die eenvoudig, begrijpelijk en herhaalbaar is.
  6. Communiceren, verhelpen en rapporteren. Uw oplossing voor het beheer van kwetsbaarheden moet uw interne communicatie tussen de belangrijkste teams helpen, niet hinderen. De oplossing moet u ook in staat stellen snel en efficiënt te verhelpen, iedereen op de hoogte te houden en eenvoudig en intuïtief te rapporteren over uw voortgang. Zorg ervoor dat u een platform zoekt dat integratie met populaire ticketing-systemen biedt en de mogelijkheid biedt om statistieken en aangepaste dashboards te ontwikkelen, zodat de belangrijkste belanghebbenden een constant en gemakkelijk te begrijpen overzicht hebben van de voortgang van het risicobeheer van uw bedrijf. De meeste organisaties maken gebruik van een mix van drie veelvoorkomende hersteltactieken, waaronder geautomatiseerde patches, patchmanagementtools en handmatige updates.

Leer hoe u een modern, risicogebaseerd programma voor kwetsbaarheidsbeheer kunt implementeren

De noodzaak voor een bedrijf om een modern programma voor kwetsbaarheidsbeheer op te zetten, is duidelijk. Door te vertrouwen op traditionele methoden voor het beheer van kwetsbaarheden blijven herstelteams kwetsbaarheden najagen die hun algehele risico mogelijk niet verminderen en ontstaan inefficiënties binnen workflows. Moderne programma’s voor het beheer van kwetsbaarheden stellen organisaties in staat om een proactieve, datagestuurde houding aan te nemen ten opzichte van bedreigingen en stroomlijnen interne activiteiten om tijd en geld te besparen, verspilde inspanningen te verminderen, de samenwerking tussen teams te verbeteren en een zinvolle impact te hebben op hun risicoprofielen.

Voor een diepgaande blik op hoe u een risicogebaseerd kwetsbaarheidsbeheerprogramma kunt implementeren, downloadt u How to Implement Risk-Based Vulnerability Management Now: A Practical Guide. Dit eBook staat vol met praktische tips en best practices en gaat in op het belang van een modern vulnerability management-programma in het huidige evoluerende bedreigingslandschap. Ook worden de zes belangrijkste stappen voor het opzetten van een risk-based vulnerability management-programma, zoals hierboven beschreven, in detail doorlopen.

Download het eBook vandaag nog en begin met het toekomstbestendig maken van uw bedrijf.