Moet je Vulnerability Management zien als een eenmalige dienst of een continu proces? Die vraag krijg ik regelmatig in gesprekken met IT-partners. Hieronder leg ik uit hoe ik erover denk.
Regelmatig heb ik gesprekken met IT-partners over de noodzaak van het in beeld brengen van kwetsbaarheden. De meest gestelde vraag is of je dit als eenmalige dienst moet gebruiken om inzicht te krijgen in de basis-situatie van de klant. Of dat je dit juist als continue dienst moet inzetten. Om zo de klant verder te begeleiden in het verhogen van de cyberveiligheid van zijn organisatie.
Scheuren
De wereld blijft veranderen. Om die veranderingen blijvend te kunnen volgen, heb je meerdere opnames nodig om ze daadwerkelijk op te merken. Een beetje zoals Galileo Galilei vertelde dat onze planeet om de zon draait.
Het is te vergelijken met een foto die je neemt van een gebouw. Als dat de basis is, weet je hoe het gebouw eruit ziet. Je hebt dan in beeld of er scheuren zijn of dat er een raam kapot is. Je laat de scheur en het raam repareren, maar is dat dan voldoende om weer tien jaar vooruit te kunnen? Je weet niet zeker of er in die periode een ander raam sneuvelt. Of dat de werkzaamheden aan de eerste scheur niet een tweede schade veroorzaken. Alleen als je regelmatig controles uitvoert, heb je een continu beeld van de staat van het gebouw.
Kwetsbaarheden vastleggen
Digitale kwetsbaarheden verschijnen iedere dag. Iedere dag worden er fouten gemaakt in een configuratie. Een server vergeten af te sluiten gebeurt iedere dag. Al deze bewuste en onbewuste gevoeligheden wil je continu in beeld krijgen. Daarom zou er volgens mij minstens één keer per week een kwetsbaarheden scan moeten plaatsvinden. Zo leg je de kwetsbaarheden vast.
Het is goed om deze “scheuren” in je IT-omgeving tijdig in beeld te krijgen om erger te voorkomen. Het is goed om te weten dat de firewall een update gehad heeft of een aangepaste configuratie krijgt. Dan kun je nalopen of dit allemaal goed en kundig is uitgevoerd.
Maar ook als IT-dienstverlener heb je een taak naar je klant om deze zaken te rapporteren. Hiermee voorkom je achteraf discussies over het wel of niet melden van een kwetsbaarheid in de IT-omgeving van de klant. Met name in situaties waar gedeelde verantwoordelijkheden zijn vastgelegd over het IT-beheer. In juni 2020 is een IT-dienstverlener door de rechter veroordeelt om gedeeltelijk de rekening te betalen van schade bij een klant door ransomware. De rechter bepaalde dat de IT-dienstverlener vanuit haar expertise de klant beter had moeten wijzen op de gevaren. Iets wat je door middel van duidelijke rapportering kunt vastleggen.
Is Vulnerability Management de heilige graal in IT beveiliging?
Kwetsbaarheden tot een minimum beperken is slechts een onderdeel van een grotere strategie om je gebruikers en je netwerk veilig te houden. Nieuwe gaten in software worden iedere dag ontdekt en uitgebuit. De lagen in IT-beveiliging minimaliseren de risico’s. Dat geldt ook voor bevoegde gebruikers die onbevoegde handelingen verrichten. Beperk daarin de mogelijkheden. En monitor gedrag en afwijkende handelingen. Zorg voor een systeem dat kan detecteren wat er speelt op je netwerk en je kan vertellen hoe hierop te reageren.
Of zoek daarin de hulp van een expert.
Categorieën