Waarom organisaties Vulnerability Management pas inzetten nadat ze zijn aangevallen
Iedere 90 minuten wordt er een nieuw beveiligingslek geïdentificeerd. Hackers maken hier regelmatig gebruik van om toegang te krijgen tot het systeem van een organisatie. Als een hacker een succesvolle aanval kan plegen voordat het doelwit het lek kan patchen, dan is er een hoog risico op een datalek. Vulnerability Management Software helpt bedrijven bij het voorkomen van een datalek door kwetsbaarheden in de software en configuraties te identificeren.
De Common Vulnerabilities and Exposures (CVE) identificeert alle bekende kwetsbaarheden. Maar omdat deze lijst voor iedereen toegankelijk is, kunnen hackers hier ook misbruik van maken. Bekende kwetsbaarheden zijn een gemakkelijk doelwit voor hackers, omdat de meeste bedrijven systeemupdates niet snel genoeg uitvoeren. Maar hoe komt dat?
Ten eerste omdat het best wel even kan duren voordat bekende kwetsbaarheden gepatched kunnen worden. Software-updates moeten namelijk getest worden voordat je ze kunt uitrollen. Dat is ook logisch, want organisaties dragen de verantwoordelijkheid om ervoor te zorgen dat kritieke operaties niet verstoord worden. In ziekenhuizen kan te snel handelen bijvoorbeeld levensbedreigende gevolgen hebben.
Ten tweede omdat twee derde van de deskundigen op het gebied van cybersecurity aangeeft dat het lastig is om te bepalen wat als eerste gepatched moet worden. Organisaties moeten aan de hand van een lange lijst kwetsbaarheden bepalen welke kwetsbaarheden het hoogste exploitatierisico vormen en dus het eerste aangepakt moeten worden.
Vulnerability Management is een race tegen de klok
Aanvallen zijn toegenomen in hoeveelheid, ernst en snelheid waarmee ze worden uitgevoerd. Daarom is het verminderen van aanvallen een race tegen de klok. Helaas duurt het gemiddeld 103 dagen voordat kwetsbaarheden kunnen worden opgelost. En dat is best lang in het hedendaagse, steeds sneller ontwikkelende landschap van bedreigingen.
Uit een recente studie van Ponemon blijkt dat organisaties die in de afgelopen twee jaar inbreuken wisten te voorkomen hun capaciteit om kwetsbaarheden tijdig op te sporen 19% hoger inschatten. Bovendien schatten ze hun capaciteit om kwetsbaarheden snel te patchen zelfs 41% hoger in dan organisaties waarbij inbreuk was gepleegd. Dit toont aan dat organisaties die kwetsbaarheden snel vinden en patchen een betere kans hebben op het voorkomen van cyberincidenten.
De uitbraak van WannaCry crypto-ransomware in 2017 is een goed voorbeeld van een bekende kwetsbaarheid die op succesvolle wijze wordt geëxploiteerd. Als organisaties de kwetsbaarheid binnen een maand na ontdekking hadden gepatched zou WannaCry niet zo wijdverspreid, duur en disruptief zijn geweest. Het toont aan dat dingen snel kunnen escaleren als kwetsbaarheden niet onder controle worden gehouden.
1333 manuren of een webapplicatie die de klus in een paar uur klaart?
Waarom staat het aannemen van meer personeel niet gelijk aan betere beveiliging? Binnen veel organisaties moeten de IT-deskundigen te veel tijd besteden aan zaken die makkelijk geautomatiseerd kunnen worden. 61% van de beveiligingsteams geeft zelfs aan dat handmatige processen nadelig zijn bij het patchen van kwetsbaarheden. Wat voor de organisatie weer grote gevolgen kan hebben.
Stel je eens een nieuwe webapplicatie voor met meer dan honderd potentiële aanvalsoppervlakken. Elk toegangspunt dient te worden gecontroleerd op vierhonderd verschillende bedreigingen op kwetsbaarheden van webapplicaties. Dit proces vereist een zeer hoogopgeleide pentester die 40.000 beveiligingstests kan uitvoeren die ieder gemiddeld twee minuten duren. Dat komt neer op 1.333 manuren, of simpeler gezegd, een half jaar aan werk. Deze taak zou binnen een paar uur voltooid kunnen worden door gebruik te maken van een geautomatiseerde webapplicatie scanner.
Vulnerability Management Software kan enorm waardevol zijn bij het identificeren, evalueren, rapporteren en oplossen van de kwetsbaarheid van de beveiliging voor de risicoreductie, -rapportering en inventarisatie volgens de compliancenormen. Het biedt schaalbaarheid door duizenden kwetsbaarheden te inspecteren, zodat IT-deskundigen hun aandacht op twee dingen kunnen richten: het herstellen en verfijnen van processen.
Het prioriteren van kwetsbaarheden zou op basis van het werkelijke bedrijfsrisico moeten gebeuren en niet op basis van de veronderstelde ernst van de kwetsbaarheid. Grote kwetsbaarheid heeft geen hoge herstelprioriteit als deze zich voordoet op een laptop die niet wordt gebruikt. Matige kwetsbaarheid op een bedrijfskritische server die op het internet is aangesloten zal echter zeker een van de belangrijkste herstelprioriteiten zijn. Vulnerability Management Software maakt prioriteitsbepaling op basis van risico’s veel gemakkelijker.
De duurste datalekken kun je voorkomen
Organisaties kunnen het risico op aanvallen met 20% verlagen door simpelweg te scannen op kwetsbaarheden. 57% van de slachtoffers van een datalek werden gecompromitteerd door een bekende kwetsbaarheid die niet was gepatched. Het moge duidelijk zijn dat organisaties die datalekken willen voorkomen, zouden moeten investeren in Vulnerability Management.
Datalekken kunnen zeer kostbaar worden: gemiddeld kost een datalek in totaal zo’n $3,86 miljoen. Er zijn substantiële IT-kosten verbonden aan het opsporen, escaleren, melden van en reageren op datalekken. Maar er zijn ook kosten verbonden aan het mislopen van commerciële kansen: klantverloop, verstoring van de bedrijfsvoering en systeemuitval. Hoe sneller een datalek kan worden geïdentificeerd en ingedamd, hoe lager de kosten.
Organisaties kunnen ook boetes opgelegd krijgen. Onder de Europese GDPR zijn organisaties verplicht om een datalek binnen 72 uur na ontdekking te melden, anders riskeren zij hoge boetes. Organisaties moeten ook een proces hebben waarmee ze de technische maatregelen die een veilige dataverwerking garanderen regelmatig testen, inschatten en evalueren. Daardoor zijn ze gedwongen om databeveiliging serieus te nemen.
Het lijkt erop dat organisaties hardleers zijn en pas hun lesje leren als ze daartoe worden gedwongen. Uit onderzoek van Ponemon blijkt dat de kans op een volgend incident binnen 24 maanden aanzienlijk kleiner was bij organisaties waar een groter datalek had plaatsgevonden.
Zou het niet slimmer (en goedkoper) zijn om van andermans fouten te leren in plaats van zelf een lek door te maken?
Categorieën