← Terug naar het overzicht

Vulnerability Management: De theorie en de praktijk

Laten we eerlijk zijn; Vulnerability Management is makkelijker gezegd dan gedaan. Je kan in één adem uitleggen wat het is om te doen, maar om het in praktijk te brengen is nog best lastig. Om het met de woorden van Louis van Gaal te zeggen: “that’s another cook”.

De 5 stappen van vulnerability management

Maar goed, laat ik met de theorie beginnen. Wat zegt die? Eigenlijk zijn er vijf stappen om te volgen. Deze stappen zijn losjes gebaseerd op ISO 27001.

  1. Identificeer de assets waar kwetsbaarheden aanwezig zouden kunnen zijn

    In de regel betekent dit dat je selecteert welke computersystemen onderdeel uitmaken van je organisatie en die je mee wilt nemen in vulnerability scanning. Kort gezegd: wat is de scope?

  2. Het uitvoeren van een risicoanalyse

    Hiermee bedoel ik het identificatieproces van technische kwetsbaarheden in de scope van stap 1. Dat kan met tooling (automatisch), een pentest (handmatig), of zelfs door met de hand te valideren of er een patch op een systeem is geïnstalleerd waarvan je weet dat die een kwetsbaarheid wegneemt.

  3. Documenteer de bevindingen

    Het is belangrijk om een soort rapportage van de bevindingen te hebben in plaats van een lange lijst met kwetsbaarheden. Eerlijk gezegd is dat laatste vrij waardeloos. Een goed rapport prioriteert de aan te pakken kwetsbaarheden door aan te geven welke risico’s het grootste zijn. In de praktijk kan een identieke kwetsbaarheid op verschillende systemen toch een ander risico vormen. Dit komt omdat het ene systeem bijvoorbeeld kritischer is voor de continuïteit of bedrijfsvoering dan het andere systeem. Ook hoort er in dit rapport te staan welke oplossing er is: een patch, andere configuratie of zelfs het uitschakelen van een service die niet nodig is. Het liefst zo concreet mogelijk.

  4. Implementeer de gekozen oplossingen

    Met het rapport in de hand kun je verder met het implementeren van de oplossingen voor de (meest risicovolle) kwetsbaarheden die erin staan.

  5. Verifieer het resultaat

    Een herhaling van de scan of pentest moet aantonen dat de kwetsbaarheid er niet meer is. Pas dan is de afhandeling eigenlijk echt klaar.

Vulnerability management in praktijk brengen

Na het lezen van de bovenstaande vijf stappen is vulnerability management redelijk goed te doen, toch? Toch heb ik in de praktijk meermaals organisaties zien worstelen die hiermee aan de slag willen gaan. Ze scannen met een tool het hele netwerk. De software spuugt een lange lijst van gedetecteerde kwetsbaarheden uit en vervolgens weet men eigenlijk niet zo goed waar te beginnen.

Breng zelf je kwetsbaarheden in kaart. Voordat een hacker het doet

Met InsightVM van Rapid7 krijg je direct inzicht in alle kwetsbaarheden en risico's van je IT-omgeving én wordt je geadviseerd hoe je dit kunt herstellen. Het is uitgerust met live dasboards die je op maat en naar wens kunt inrichten. Door de intelligente Real Risk Score Module weet je direct welke kwetsbaarheden prioriteit hebben en hoe je ze kunt oplossen.

Lees meer over InsightVM van Rapid7

Welke kwetsbaarheden kosten weinig moeite, maar geven een groot risicoreductie?

De crux zit hem in de derde stap, om van die lijst met kwetsbaarheden naar concrete acties te komen. Er zijn namelijk duizenden kwetsbaarheden. Welke van die kwetsbaarheden zijn het meest risicovol? Welke kwetsbaarheden komen op de meeste systemen voor? Welke kwetsbaarheden kosten weinig moeite om aan te pakken, maar geven een grote reductie in risico? En dan zijn er ook nog de ‘false positives’. Je ziet het, het hebben van een lijst met kwetsbaarheden is één ding. Bepalen hoe je die aanpakt is twee.

Tips om te starten met vulnerability management

Hoe kun je dan toch starten met vulnerability management? Hierbij wat tips die nergens anders op gebaseerd zijn dan op persoonlijke ervaring.

  1. Laat je niet ontmoedigen

    Klinkt misschien als een suffe tip, maar ik heb meermaals gezien dat er wel op kwetsbaarheden wordt gescand maar dat daar eigenlijk niets mee wordt gedaan. Het wordt vooruitgeschoven, omdat het wordt gezien als complex en overweldigend. Geef niet op! Maak een keuze in de aanpak en ga door. Het wordt vanzelf makkelijker. Echt.

  2. Begin klein

    Eigenlijk borduurt dit voort op punt 1. Maak op basis van de informatie die je hebt de keuze uit drie kwetsbaarheden waarvan je denkt dat die de meeste risico vormen. Draag de kwetsbaarheid en de oplossing over aan de collega’s die dit moeten oplossen. Waarschijnlijk heb je al een ticketing systeem in huis wat je hiervoor kunt gebruiken.

  3. Laat vulnerability management geen ‘one man show’ zijn

    Eén is geen. Als je vulnerability management belangrijk vindt, zorg dan dat er tenminste twee of drie man zijn die verantwoordelijk zijn voor het proces. Laat ze samen de prioritering doen van de op te pakken kwetsbaarheden.

  4. Geef het team dat met vulnerability management aan de slag gaat mandaat

    Zorg dat het oplossen van kritische kwetsbaarheden (met een hoge CVSS-score) voorrang krijgt op gewone changes. Anders weet je het wel. Zorg dat iedereen (tot en met de directie) dat weet. Als een ‘gewone’ change toch voorrang zou moeten hebben, dan moet die beslissing het liefst ook op dat niveau genomen worden.

  5. Kies een vulnerability scanner die prioriteiten geeft

    Er zijn meerdere scanners op de markt. Zelfs een aantal gratis varianten. In een aantal gevallen leveren die alleen een hele grote lijst met kwetsbaarheden en CVSS-scores. Zoals ik al zei komt dat heel dicht in de buurt van waardeloos. De output van de scanner móet een indicatie geven over prioriteiten. Al is het maar iets als een CVSS-score * het aantal systemen waar de kwetsbaarheid voor komt. Dan heb je in ieder geval al iets. Er zijn ook systemen die daarin nog veel verder gaan, zoals InsightVM van Rapid7. Deze is ontzettend uitgebreid.

  6. Volg de status en vier je succes

    Zorg dat je betrokken blijft bij de tickets die je hebt aangemaakt om de kwetsbaarheden te verhelpen. Je mag best een klein feestje vieren als je ziet dat de eerste kwetsbaarheden verholpen zijn! Daarna selecteer je de volgende paar kwetsbaarheden en herhaal je de stappen van het proces.

Meer weten?

Ben je benieuwd naar de mogelijkheden van Rapid7 InsightVM voor jouw organisatie? Meld je dan aan voor een live demonstratie op 24 Oktober van 11:00 - 12:00.

Aanmelden Webinar InsightVM

Meer weten?

Co Ploegaert helpt je graag verder. Je kunt hem bereiken op: co@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

Trellix Endpoint Update 101