fbpx

To patch or not to patch, that is not a question

Vulnerability Management brengt kwetsbaarheden aan het licht

Eduard de Pineda en Frank Westers, cyberdefense consultants bij Ordina, over Vulnerability Management. In maart 2017 werd in Apache Struts, een framework voor het bouwen van websites, een kwetsbaarheid ontdekt. Snel kwam er een update beschikbaar en daarmee leek het probleem opgelost. Enkele maanden later kwam echter naar buiten dat het bedrijf Equifax is gehackt. Hackers hadden ruim twee maanden in het systeem gezeten, ruim 300 miljoen persoonsgegevens buitgemaakt en het bedrijf schikte voor een gigantische boete van 575 miljoen dollar. Hoe heeft dit alles kunnen gebeuren? Equifax had simpelweg de update van Apache Struts niet doorgevoerd. En hierin stond het bedrijf toen, maar staat het ook vandaag de dag, zeker niet alleen.

Ook in Nederland gebruiken veel bedrijven verouderde en kwetsbare software. Al in 2018 concludeerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in haar jaarlijkse rapport, dat veel cyberaanvallen kunnen worden voorkomen door software frequenter te updaten. Alle software bevat kwetsbaarheden die vroeg of laat aan het licht komen. Dit heeft ermee te maken dat software almaar complexer en groter wordt. Naar schatting bevatten duizend regels code gemiddeld vijftien tot vijftig bugs. Oftewel fouten waardoor software zich anders gedraagt dan gepland en dus mogelijk toegang geeft tot achterliggende systemen. Als een softwareproduct uit tienduizenden regels bestaat, zijn kwetsbaarheden dus onoverkomelijk. Vanuit technisch perspectief is het updaten van software vaak een relatief eenvoudige klus. Het probleem is dat deze updates vaak te laat of niet worden uitgevoerd. Dit komt onder andere doordat de omvang en complexiteit van IT-omgevingen toeneemt. Daarnaast worden kwetsbaarheden in systemen en applicaties steeds sneller gevonden en misbruikt. Het is onmogelijk om op een traditionele manier grip te houden op de bestaande en nieuwe risico’s die zich voordoen in het IT-landschap. Vulnerability Management biedt in veel situaties de uitkomst. 

Vulnerability scan

Vulnerability scan software, een onderdeel van Vulnerability Management, kun je gebruiken om kwetsbare componenten in het IT-landschap te ontdekken. Veel organisaties maken geen gebruik van Vulnerability Management en voeren dit soort scans niet of te weinig uit. Er zijn verschillende Vulnerability Management-oplossingen op de markt die real-time scanning aanbieden. Deze sporen kwetsbare componenten vrijwel direct op. Dit stelt organisaties in staat om snel en adequaat te acteren op de gevonden kwetsbaarheden wat het risico op misbruik aanzienlijk verkleint. Echter, de praktijk leert dat een Vulnerability Scan erg veel nieuwe kwetsbaarheden detecteert. Acteren op al deze kwetsbaarheden heeft een overweldigende en averechtse werking op IT-organisaties. Dit vraagt om een andere aanpak.

Risico gebaseerd acteren

Het doel van Vulnerability Management is het verkleinen van securityrisico’s door het in kaart brengen en verhelpen van kwetsbaarheden in een IT-omgeving. We vertelden zojuist dat het oplossen van alle kwetsbaarheden niet bijdraagt aan het doel maar eerder zorgt voor verlamming van een IT-organisatie. Om dit te voorkomen is prioritering en focus noodzakelijk. Dat vraagt om een aanpak, waarbij je als organisatie bewust op basis van risico en urgentie bepaald welke kwetsbaarheden verholpen dienen te worden. Dit kan in drie stappen:

  1. Het prioriteren van cruciale systemen en systemen die gevoelige data bevatten.
  2. Toevoegen van de risicoscore (CVSS-score) van de kwetsbaarheid.
  3. Controleren of er voor de gevonden kwetsbaarheid een hacktool (exploit kit) beschikbaar is. Dit vergroot namelijk de kans op misbruik en daarmee de urgentie van de kwetsbaarheid.

Snel inzicht bij 0-days

Een bijkomend voordeel van Vulnerability Management is dat organisaties een actueel inzicht hebben in de software, operating systems en applicaties. Op het moment dat er een nieuwe kwetsbaarheid waar nog geen update voor is (0-day) wordt ontdekt, is direct inzichtelijk welke componenten gevoelig zijn voor die nieuwe kwetsbaarheid en kunnen alternatieven oplossingen worden ingezet.

Borging van dit proces

Het succes van een goed toegepaste Vulnerability Management oplossing is, naast het risico-gebaseerd prioriteren, mede afhankelijk van het proces voor het opvolgen en oplossen van de gedetecteerde en geprioriteerde kwetsbaarheden. Ordina kan met haar Cyberdetection & Response- specialisten je organisatie ondersteunen bij het inrichten van Vulnerability Management, samen het risico-gebaseerd prioriteren uitwerken en zorgdragen voor het borgen van een passend proces. Hiermee verlaag je de kans op een cyberaanval en voorkom je een scenario als bij Equifax. Voorkomen is immers beter dan genezen.

Wil je weten hoe Ordina je kan helpen? Neem dan contact op met Peter Groenewegen.