Risicovol ondernemen: Kwetsbaarheden beheren door risico's te prioriteren

Een netwerk beschermen tegen cybercriminelen is gemakkelijker gezegd dan gedaan: Bouw verdediging rond de gebieden die criminelen het meest waarschijnlijk zullen binnendringen. Natuurlijk zijn deze toegangspunten niet altijd duidelijk, waardoor onze netwerken beangstigend kwetsbaar zijn.

Het National Institute of Standards and Technology (NIST) definieert een “kwetsbaarheid” als een “zwakke plek in een informatiesysteem, systeembeveiligingsprocedures, interne controles of implementatie die door een bedreigingsbron kan worden uitgebuit of geactiveerd”. Het identificeren van deze zwakke plekken is een belangrijke stap (het is zelfs de eerste belangrijke functie van het NIST Cybersecurity Framework), maar het mag niet de enige stap zijn. Eenmaal geïdentificeerd, moeten deze kwetsbaarheden worden beschermd.

In het huidige, steeds verraderlijker wordende IT-landschap zijn de meeste mensen bekend met de cyberbeveiligingsconcepten kwetsbaarheidsscanning en penetratietests. Beide zijn bedoeld om kwetsbaarheden in het netwerk op te sporen, zodat een betere verdediging kan worden opgebouwd. Het gebruik van dergelijke tools kan soms een overweldigend aantal kwetsbaarheden aan het licht brengen, vooral bij de eerste scan. Het type bescherming dat nodig is kan variëren afhankelijk van de kwetsbaarheid, maar kan bestaan uit het patchen van het getroffen systeem, het blokkeren van poorten op een centrale of hostgebaseerde firewall, het wijzigen van ACL’s op het netwerk of het aanpassen van machtigingen op een server.

Aangezien veel van deze herstelwerkzaamheden niet alleen uitvoeringstijd, maar ook planning vereisen, en geen enkel bedrijf oneindig veel middelen heeft om deze kwetsbaarheden onmiddellijk aan te pakken, is het belangrijk om prioriteit te geven aan de bescherming van deze kwetsbaarheden.

Traditioneel was de eenvoudigste manier om kwetsbaarheden te rangschikken de CVSS-score. Het Common Vulnerabilities and Exposures (CVE) systeem biedt een kader voor het bekendmaken en scoren van de potentiële impact van de kwetsbaarheid en het vervolgens bijhouden ervan in een centrale database. Als onderdeel van dit systeem is het Common Vulnerability Scoring System (CVSS) een gestandaardiseerde manier om de ernst van een bepaalde kwetsbaarheid op een schaal van 0,0 tot 10,0 aan te geven. Deze score is gebaseerd op verschillende maatstaven en kan organisaties helpen kwetsbaarheden te prioriteren op basis van het gemak en de impact van uitbuiting van de kwetsbaarheid. De CVSS-score van de oorspronkelijke Log4j-kwetsbaarheid (CVE-2021-44228) was bijvoorbeeld een 10,0 (Herinnering: De schaal gaat maar tot 10,0!) gezien het gemak van uitbuiting en de mogelijkheid om willekeurige payloads uit te voeren.

Het nadeel van alleen vertrouwen op de CVSS-score is dat deze niet het gemak en de impact weergeeft waarmee een kwetsbaarheid in een bepaalde omgeving kan worden uitgebuit. Terugkomend op het Log4j voorbeeld: Als die kwetsbaarheid alleen bestond op geïsoleerde systemen, in een bevoorrecht beheernetwerk met minimale toegangsrechten, is het misschien niet zo belangrijk om te verhelpen als een kwetsbaarheid op systemen met de nieuwste Remote Desktop Protocol (RDP) kwetsbaarheid (CVE-2022-26940) die zijn blootgesteld aan het internet, ondanks een score van “slechts” 6,5.

(Kanttekening: stel RDP nooit rechtstreeks bloot aan het internet. Dat is een definitief slechte praktijk).

De prioriteit van een lagere CVSS-kwetsbaarheid is omdat het risico van de Log4j-kwetsbaarheid relatief kleiner is dan de RDP-kwetsbaarheid voor die specifieke omgeving. Een bijkomende factor voor het risico van een bepaalde kwetsbaarheid is of deze actief in het wild wordt uitgebuit, dus met beide factoren moet rekening worden gehouden bij het bepalen van de prioriteit voor het verhelpen van de kwetsbaarheid.

Gezien de omvang van de huidige netwerkomgeving en het aantal kwetsbaarheden dat elk jaar wordt ontdekt – 28.695 in 2021, een nieuw jaarrecord – hebben organisaties een geautomatiseerde manier nodig om kwetsbaarheden te ontdekken en te prioriteren op basis van het risico voor hun omgeving.

Van al die nieuwe kwetsbaarheden in 2021 zijn er iets meer dan 4.100 die op afstand kunnen worden uitgebuit, waarvan een exploit bekend is en die gepatcht kunnen worden. Het toepassen van deze kennis kan de prioriteitenlijst voor herstel drastisch verkorten. Het gebruik van een tool als 11:11 Continuous Risk Scanning (CRS) geeft klanten die kennis in een context die duidelijk maakt welke kwetsbaarheden hen in gevaar brengen op basis van hun eigen infrastructuur en de waarschijnlijkheid dat er misbruik van wordt gemaakt.

Door herstel van kwetsbaarheden te benaderen op basis van het werkelijke risico, kunnen organisaties hun herstelplannen veel efficiënter plannen en uitvoeren, en zo een veiligere omgeving realiseren.

Join the companies doing great things with 11:11 Systems

11:11 Systems is a managed infrastructure solutions provider that holistically addresses the most pressing cloud, connectivity, and security challenges of today while preparing businesses for tomorrow. The 11:11 model empowers customers and partners to "Rethink Connected," by providing fully integrated, fully automated services, activities, and data, powered on a unified platform, that ensures their applications and data are always running, accessible, and protected. 11:11 delivers increased performance and savings to organizations, while freeing up IT resources to focus on the core business. Learn more at 1111systems.com.