Het beheren van kwetsbaarheden in het netwerk van een organisatie is vaak een overweldigende klus die nog niet eerder is gedaan. Maar met behulp van automatisering en met de juiste prioriteiten zitten security teams hier bovenop.
Zoals elke security-analist weet, is het beheer van kwetsbaarheden in een bedrijfsnetwerk een taak die nooit stopt. Volgens een onderzoek van Enterprise Management Associates uit 2017, zijn er gemiddeld tien kwetsbaarheden per IT-asset, wat neerkomt op een gemiddelde van ongeveer 20.000 kwetsbaarheden die een middelgroot bedrijf op een bepaald moment moet beheren. Het is dan ook niet verwonderlijk dat 74% van de security-teams heeft gemeld overweldigd te zijn door de hoeveelheid werk dat vulnerability maintenance met zich meebrengt.
Veel security teams ervaren die stress en daarbij hebben ze ook nog te maken met een tekort aan mankracht. Hoe kunnen beveiligingsteams dan grip krijgen op het beheer van de enorme hoeveelheid kwetsbaarheden? Hoewel het praktisch onmogelijk is om elke kwetsbaarheid op te lossen, kunnen security teams ze wèl op een beheersbaar niveau houden en zorg dragen voor de kwetsbaarheden met het grootste risico voor de organisatie. Met behulp van automatisering en door de juiste prioriteiten te stellen. We vroegen Tuomas Miettinen van F-Secure naar tips om de kwetsbaarheden op afstand te houden.
1. Zorg dat je werkstation en serversoftware up-to-date zijn
De meeste gewone malware misbruikt kwetsbaarheden in werkstations en servers. Door deze te patchen, wordt het beschikbare aanvalsoppervlak verkleind en worden bepaalde kwetsbaarheden vanaf het begin voorkomen. Met patchbeheer of software-updatingtools zoals Software Updater, kan dit proces worden geautomatiseerd.
2. Breng bedrijfsmiddelen in kaart
Als je niet weet dat het er is, kun je het ook niet beschermen. Inventariseer de bedrijfsmiddelen – apparaten, services en open poorten, zowel on-premise als op internet. Ga op zoek naar schaduw IT-middelen en ontmantel onnodige open poorten en oude doelen. De apparaten, services en applicaties die deel uitmaken van een netwerk veranderen voortdurend, dus regelmatig inventariseren is essentieel. Ook dit is eenvoudig te automatiseren met tools zoals F-Secure Radar.
3. Scan regelmatig op kwetsbaarheden
Vulnerability scans moet je regelmatig uitvoeren. Eén scan is slechts een momentopname, maar er worden elke dag nieuwe kwetsbaarheden gevonden en gerapporteerd. Frequente scans zijn nodig om op de hoogte te blijven van de huidige situatie. Ze zijn ook nuttig om te bevestigen dat een probleem dat eerder werd behandeld echt is opgelost. Dit proces kan ook worden geautomatiseerd en gepland. En vergeet niet om services te scannen die worden gehost door externe serviceproviders.
4. Focus op de belangrijkste kwetsbaarheden
Scans identificeren veel kwetsbaarheden en dat kan overweldigend zijn. Bedrijfskritische assets moeten prioriteit krijgen. Je hebt een grondige inventaris van activa uitgevoerd, dus je weet nu wat je hebt. Categoriseer die activa en prioriteer. Denk niet in termen van afzonderlijke doelen, maar kijk hoe de assets verbonden zijn met de rest van de IT-omgeving en met internet. Denk na over het effect dat een misbruikte kwetsbaarheid heeft op de rest van de omgeving en herstel de kritieke kwetsbaarheden op alle platforms en services.
5. Documenteer de scanresultaten
Om later te zien wat er eerder gedaan is, is het handig om de scanresultaten en aangebrachte wijzigingen bij te houden. Zodat je aan de hand van historische data en ticketing kunt opsporen wie verantwoordelijk is voor het oplossen van kwetsbaarheden.
6. Maak plannen voor ongrijpbare kwetsbaarheden
Niet elke kwetsbaarheid kan worden hersteld. Voor degenen waarvoor patchen niet haalbaar is, moet een beperkingsplan worden opgesteld. Daarmee beperk je de mogelijkheid van uitbuiting tot een minimum. Markeer dit als een geaccepteerd risico en meld dit aan het hoofd van security. Unpatchable producten aan het einde van hun levensduur zijn kwetsbaar en moeten worden vervangen. Een risicoanalyse maakt duidelijk of het nodig is te investeren in vervanging van kwetsbare legacy-systemen.
7. Niets is vanzelfsprekend
Het maakt niet uit hoe groot of klein je bedrijf is. Je wordt niet aangevallen vanwege je bedrijf, maar omdat er een kwetsbaarheid bestaat die kan worden misbruikt. Cybercriminelen hebben geautomatiseerde hulpmiddelen die internet scannen op kwetsbaarheden. Wanneer ze die in jouw infrastructuur vinden, gebruiken ze die. Ze kijken dan wat ze binnen het bedrijf vinden dat ze kunnen exploiteren voor financieel gewin.
Een programma met regelmatige inventarisatie en continue beoordeling van het aanvalsoppervlak houdt je op de hoogte van kwetsbaarheden. Het vereenvoudigt het proces van vulnerability management. Daarnaast voldoet het aan de GDPR-vereiste voor het hebben van een proces van het regelmatig testen, beoordelen en evalueren van de technische maatregelen om de veiligheid van gegevensverwerking te waarborgen.
Categorieën