Auteur: Mélanie Pilpré
Het beheer van kwetsbaarheden heeft een crisispunt bereikt. Met een steeds groter aanvalsoppervlak is het voor bedrijven onmogelijk om alles te patchen. Een op risico's gebaseerde aanpak kan helpen om prioriteiten te stellen waar bedrijven zich moeten richten op het repareren en verhelpen van kwetsbaarheden.
In 2021 werden er meer dan 18.000 nieuwe kwetsbaarheden ontdekt. Dit is niet verrassend als je bedenkt hoe snel het netwerkoppervlak van de gemiddelde onderneming groeit.
"Uitbuiting van kwetsbaarheden is de afgelopen jaren een van de belangrijkste aanvalsvectoren geworden bij inbreuken en compromitteringen", zegt Stephen Carter, CEO en medeoprichter van Nucleus Security. "Vijf of zes jaar geleden stond het nog niet eens op de radar en nu domineert het met een duidelijke opwaartse trend in het massaal uitbuiten van kwetsbaarheden. Hierdoor worstelen veel organisaties met de vraag welke van de honderdduizenden kwetsbaarheden het eerst verholpen moeten worden."
Als deze problemen snel zouden worden verholpen, zou het niet zo'n probleem zijn. Dat is echter niet het geval: 72% van de kwetsbaarheden is niet binnen 30 dagen verholpen.
In wezen zijn er vijf belangrijke uitdagingen bij het beheer van kwetsbaarheden:
De meeste bedrijven hebben geen duidelijk overzicht van al hun bedrijfsmiddelen, verbindingen en vereisten. Bovendien betekent het spookbeeld van schaduw-IT dat veel organisaties op veel meer software draaien dan ze beseffen, waardoor het onmogelijk is om bij te houden waar patches nodig zijn en hoe ernstig de kwetsbaarheden zijn.
Bedrijven ontvangen een spervuur aan communicatie over kwetsbaarheden van leveranciers, die hen vertellen wat ze moeten doen en wanneer. Het probleem is dat er weinig tot geen consistentie is in de manier waarop het bericht wordt afgeleverd, aan wie het wordt gestuurd en in welke vorm het wordt aangeboden. Een groot deel wordt massaal verstuurd, met weinig personalisatie. Dit legt de verantwoordelijkheid bij bedrijven om te begrijpen hoe het verband houdt met hun eigen opstelling, waardoor de druk op de toch al overbelaste teams toeneemt.
Als bedrijven niet zeker weten wat er op hun bedrijfsmiddelenlijst staat, is het bijna onmogelijk om te weten waar ze zich op moeten richten. Ze moeten ook rekening houden met het bedreigingslandschap, hoe aanvallen hen waarschijnlijk zullen bedreigen en wat dat betekent voor de patches die ze moeten implementeren. Dit alles maakt het moeilijk om te weten waar je moet beginnen.
Informatie in handen krijgen die zinvol is, kan één uitdaging zijn, maar dan moet je ze ook op de juiste manier kunnen gebruiken. Er kan een kleine kwetsbaarheid zijn gemeld op een missiekritisch systeem. Door de aard van de software zal dit echter alarmbellen doen rinkelen in de hele organisatie en zullen er middelen worden ingezet om het probleem op te lossen.
Het niet verwerven van de juiste vaardigheden belemmert organisaties in hun vermogen om effectief te werken. Vanuit het perspectief van cyberbeveiliging omvat dit alles, van het omgaan met geavanceerde bedreigingen tot het uitvoeren van een uitgebreid programma voor kwetsbaarhedenbeheer. Als je tientallen of honderden apparaten hebt, kun je het misschien bijbenen. Maar als je een middelgrote tot grote onderneming bent met duizenden apparaten en apps, kun je gewoonweg niet genoeg mensen aannemen om zoveel kwetsbaarheden snel te verhelpen.
Het is duidelijk dat het alleen proberen aan te pakken van kwetsbaarhedenbeheer een zware en uiteindelijk onmogelijke taak is voor bedrijven. Een hands-on aanpak om alles te patchen werkt simpelweg niet, dus bedrijven moeten hun houding ten opzichte van patchen veranderen om hun verdediging op peil te houden. Een die oplossingen biedt voor deze uitdagingen.
Het vraagt om een aanpak die zich richt op wat en waar de risico's echt zijn en dan automatiseren op schaal. Niet alles proberen te patchen of overweldigd worden zodat je door de ruis de signalen uit het oog verliest. Bij een op risico's gebaseerde aanpak van kwetsbaarhedenbeheer gaat het erom vast te stellen waar de kwetsbaarheden een duidelijk en aanwezig risico vormen voor jouw organisatie en prioriteit te geven aan het verhelpen ervan.
Om dit te doen, moeten bedrijven interne en externe gegevens combineren om een uitgebreid risicoprofiel op te stellen. Interne bronnen omvatten kennis van het aanvalsoppervlak, hoe kritisch bedrijfsmiddelen zijn en wat een aanval met een kwetsbaarheid voor het bedrijf zou betekenen. Externe informatie is afkomstig van informatie over bedreigingen en bekende activiteiten van aanvallers.
More specifically, there are five steps that we believe businesses should take to implement a risk-based approach to vulnerability management:
Zoals je ziet, is een op risico's gebaseerde aanpak van kwetsbaarhedenbeheer zeer waardevol. We streven ernaar onze klanten te helpen dit in hun eigen programma's te implementeren.
Volgens een recent Forrester Wave-rapport dat in augustus 2022 werd gepubliceerd, "biedt Orange differentiële waarde in zijn hoogwaardige threat intelligence en incident response services, die zeer worden gewaardeerd door zijn klanten. Klanten benadrukten dat het gebruik van Nucleus voor vulnerability management superieure resultaten bood voor vulnerability prioritization en remediation support, wat bijdraagt aan betere VRM-programma-uitkomsten."
Uiteindelijk zal een op risico's gebaseerde aanpak van het beheer van kwetsbaarheden helpen om het aanvalsoppervlak te verkleinen en de organisatie tot een moeilijker doelwit te maken voor kwaadwillenden. Dit gebeurt zonder dat er grote hoeveelheden nieuwe middelen nodig zijn, maar in plaats daarvan wordt veel van wat er al is gebruikt om het op een slimme, gerichte manier in te zetten.
Om bedrijven te ondersteunen bij het implementeren van een risicogebaseerde aanpak voor het beheer van kwetsbaarheden, heeft Orange Cyberdefense Managed Vulnerability Intelligence [identify] ontwikkeld.