Vulnerability Management: zo identificeer je kwetsbaarheden en pak je ze aan

Steeds meer organisaties zijn de dupe van cyberattacks en betalen daar ook de prijs voor.

Zowel in de vorm van ‘ransom’, als door andere gevolgschade. Jaarlijks bedraagt de totale schade als gevolg van cyberincidenten in Nederland, zo´n 10 miljard euro. Dat blijkt uit onderzoek van het Ministerie van Economische zaken.

In een tijd waarin de dreiging toeneemt en het ‘aanvalsoppervlak’ van organisaties steeds verandert, is Vulnerability Management een actuele uitdaging voor IT-managers. Ontdek hoe je het aanvalsoppervlak van jouw organisatie minimaliseert en effectief Vulnerability Management toepast.

Inhoud

1. Wat is Vulnerability Management
2. De uitdaging van continue verandering
3. De vier effectieve stappen van Vulnerability Management
4. OT Security

Wat is Vulnerability Management?

Vulnerability Management gaat om het in kaart brengen van kwetsbaarheden en het beheren van de beveiliging van systemen en toegangspunten. Deze punten vormen samen het ‘aanvalsoppervlak’, waarop cybercriminelen binnendringen.

Het is een proces dat beveiligingskwetsbaarheden in systemen en de software identificeert, evalueert, mitigeert en rapporteert. Dit proces van attack surface management helpt organisaties om mogelijke bedreigingen te prioriteren en te minimaliseren.

De geprioriteerde kwetsbaarheden verhelp je vervolgens met patching, om te voorkomen dat hackers een bedrijfsproces, een product of informatie compromitteren. Patches zijn updates of ‘fixes’, waarmee organisaties beveiligingslekken dichten, functies toevoegen of functionaliteitsfouten corrigeren.

De uitdaging van continue verandering

Door de groei van IT- en OT-systemen en door de complexiteit van netwerkveiligheid, ontstaan er constant nieuwe kwetsbaarheden. Net zoals kwetsbaarheden, veranderen potentiële externe dreigingen ook na verloop van tijd. Door deze dynamiek wordt het minimaliseren en beheren van kwetsbaarheden in IT- en OT-netwerken steeds uitdagender. Maar ook steeds belangrijker.

Vulnerability Management is daarom alleen effectief als continu proces, met continue aandacht en monitoring. Zonder adequate aanpak, bedreigen nieuwe kwetsbaarheden steeds de continuïteit van bedrijfsprocessen.

De vier effectieve stappen van Vulnerability Management

Hoe pak je Vulnerability Management effectief aan? Voor een gedegen aanpak, volg je tenminste deze vier stappen:

• Stap 1: Asset management
• Stap 2: Prioriteer assets
• Stap 3: Scan
• Stap 4: Response

Stap 1. Asset management

Het fundament van elk beveiligingsbeleid is weten wat beschermd moet worden. Breng alle systemen en software binnen de organisatie gedetailleerd in kaart en voer Vulnerability Assessments uit.

Deze assessments bieden belangrijke context over de kwetsbaarheden. Dit stelt teams in staat om kwetsbaarheden die de grootste bedreigingen vormen te prioriteren.

Stap 2. Prioriteer assets

Na de inventarisatie wordt vastgesteld welke assets cruciaal zijn voor de bedrijfsvoering.  Vervolgens voer je grondige risicoanalyses uit om de prioriteit van elke asset te bepalen.

Stap 3. Scan

Met de kennis van de aanwezige assets worden kwetsbaarheden systematisch geïdentificeerd. Dit kan door assets regelmatig te scannen met een vulnerability scanner of door agents te plaatsen.

Agents geven om de paar uur de status van kwetsbaarheden weer. Deze aanpak heeft onze voorkeur, omdat er weinig belasting van het netwerk is. Daarbij zijn er geen risicovolle technische aanpassingen nodig.

Stap 4. Response

Op basis van prioriteit voorzie je de meest kritieke assets als eerst van patches. Het juiste Patch Management verhelpt kwetsbaarheden en borgt de bedrijfscontinuïteit.

Voor de toepassing van patches weeg je de effectiviteit af tegen de risico’s van de security patch. Vervolgens test je de patching in een gecontroleerde omgeving om compatibiliteitsproblemen te voorkomen. Na het toepassen van de patch blijf je deze monitoren.

OT Security

Operationele Technologie (OT) krijgt gelukkig steeds meer aandacht binnen het domein van cybersecurity.

OT-systemen besturen en monitoren vaak kritieke fysieke processen, zoals productielijnen, energiecentrales en transportnetwerken. OT-systemen die onderdeel uitmaken van (Vitale) Infrastructuur of de Zorg zijn heel kwetsbaar. Deze organisaties hebben een extra grote verantwoordelijkheid als het op cybersecurity aankomt.

Het verschil tussen Vulnerability- en Patch Management voor OT en IT

Informatietechnologie-systemen (IT) verwerken voornamelijk gegevens. IT Security is daarom vaak gericht op het beschermen van gegevens tegen diefstel, verlies of oneigenlijk gebruik. Kwetsbaarheden in informatiebeveiliging leiden tot datalekken, reputatie- of financiële schade.

Kwetsbaarheden in OT-cybersecurity leiden ook vaak tot fysieke schade en kunnen zelfs de veiligheid of gezondheid van mensen in het geding brengen. Voor de beveiliging van OT-systemen is daarom veel specialistische kennis nodig.

De systemen zijn vaak ontworpen in een tijd waarin connectiviteit en cyberbedreigingen geen prioriteit kregen. Daarom zijn ze vaak niet uitgerust met de nieuwste beveiligingsfuncties.

Een specialistische aanpak voor OT-systemen

Vulnerability- en Patch Management is voor OT Security anders dan voor IT. Het vraagt om een specialistische aanpak. We lichten de drie belangrijkste verschillen toe:

1. Asset Management

Om kwetsbaarheden te identificeren zijn specialistische scan en assessment-tools nodig. Deze zijn speciaal ontworpen voor de OT-omgeving.

2. Prioriteer assets

Bij het prioriteren van kwetsbaarheden weegt zowel het risico als de impact op operationele processen mee.

3. Response

De gebruikelijke IT-patches of updates kun je niet op OT-systemen toepassen, zonder primaire processen te verstoren. Het vraagt om een heel ander soort patch managementbeleid.

De continuïteit van OT-processen is het allerbelangrijkst. Vulnerability- en Patch Management of security updates mogen deze nooit verstoren. De impact en risico’s van patches op operationele processen wegen dus altijd mee bij de beveiliging van OT-systemen. De gevolgen van een verkeerde aanpak voor OT-systemen zijn extra groot. Daarom is het goed om een expert met specialistische OT-kennis in de arm te nemen.