Het thuiswerktijdperk vereist een totaal andere aanpak van vulnerability management

Voor hackers is een heel nieuwe en interessante doelgroep beschikbaar gekomen van mensen die wellicht op apparatuur werken die niet volledig up to date is.

Elke beheerder weet dat de grote, bekende softwareleveranciers dagelijks aan updates werken om eventuele kwetsbaarheden in hun producten aan te pakken. Daardoor lijkt de oplossing voor de nieuwe dreigingen voor thuiswerkers gemakkelijk: zorg ervoor dat zij hun apparatuur consequent updaten of patchen zodra dat kan. Dan kan er niks misgaan.

De praktijk is echter weerbarstiger. Want iedere beheerder weet ook dat het zelfs onder ideale omstandigheden – waarbij alle medewerkers dagelijks op kantoor komen – al moeilijk is om alle apparatuur volledig up to date te houden. Oorzaken zijn onder meer een grote verscheidenheid aan apparatuur, onduidelijke processen en gebrekkig inzicht in de gehele infrastructuur.

Het gaat om inzicht

Willen we zeker nu, nu medewerkers minder of helemaal niet op kantoor komen, de veiligheid van data en systemen kunnen waarborgen, dan zijn inzicht, rapportages en monitoring de eerste vereisten. Het gaat erom dat we vulnerability management samenvoegen met realtime detectie en response tot een gezamenlijke aanpak: VMDR (vulnerability management, detection & response).

Deze aanpak begint bij het vaststellen van de vier fases van vulnerability management. De eerste fase is inzicht. Je kunt immers niet beschermen waar je geen kennis van hebt. Een infrastructuur verandert in de loop van de jaren door upgrades van applicaties en platforms en de opkomst van nieuwe applicaties en platforms. Daarnaast is er de opkomst van cloud en datacenters, mobile devices en virtuele omgevingen. Dit alles zorgt voor een sterke toename van de complexiteit. En dat zorgt voor uitdagingen.

De tweede fase is vulnerability-assessment. Elk onderdeel van de infrastructuur is een potentiële ingang voor een hacker. Dat betekent dus dat je elk onderdeel moet kennen. Wat is de status en welke patches zijn wel en niet doorgevoerd?

De derde fase is prioriteiten stellen. Het is met de huidige omvang van infrastructuren onmogelijk om op alle meldingen van kwetsbaarheden te reageren. Zaak is om de ernstigste bedreigingen als eerste aan te pakken. Dat kan gaan om kwetsbaarheden met de grootste impact of om kwetsbaarheden die het vaakst door hackers worden benut. Hackers zoeken naar waarde. Een oude kwetsbaarheid kan daardoor voor hen interessanter zijn dan het prestige dat ze in eigen kring wellicht krijgen als ze met succes een zero-day weten te benutten.

Fase vier is remediation. Hoe maak je de keuze tussen patchen en configuratie? En wat is je strategie bij een aanval?

De belangrijkste uitdaging van een VMDR-aanpak is de bestaande fragmentatie in organisaties: de activiteiten van de verschillende fases liggen vaak verspreid bij gescheiden teams voor IT, security en compliance. Als het lukt om voor hen een enkel platform te creëren met gezamenlijke workflows voor verschillende functies, dan is er al heel veel gewonnen. Dan is discovery, prioriteitstelling en patchen van de meest kritische kwetsbaarheden in realtime op grote schaal mogelijk.

VMDR identificeert devices binnen het digitale landschap automatisch, waardoor er een accuraat beeld van de wereldwijde IT-assets voorhanden is. Vervolgens kunnen teams op een betrouwbare manier kwetsbaarheden, verlopen certificaten en slechte configuraties identificeren en deze meteen van een prioriteit voorzien. Verder kun je met VMDR je omgeving vanuit verschillende invalshoeken bekijken, afhankelijk van je rol: hoe oud of kritisch zijn kwetsbaarheden, hoe is er in de loop van de tijd gepatcht, welke cloudonderdelen gebruiken we en hoe compliant zijn onze thuiswerkers op dit moment?

Door metadata te verzamelen over alles wat we doen en alles wat er in onze omgevingen gebeurt en die te vergelijken met wat er bekend is over kwetsbaarheden en hun misbruik, krijgen we een duidelijker beeld van onze beveiligingsstatus. Als we vervolgens informatie over cyberdreigingen en extra geolocatiegegevens van apparaten en applicaties toevoegen, wordt het beeld nog duidelijker. Bij VMDR is context de basis voor het leveren van bruikbare informatie in realtime. Door al deze informatie te presenteren in een visueel rijk beeld, is de prioriteitstelling veel intelligenter mogelijk.

Zo komen slimme besluitvorming en gerichte risicobeperking binnen handbereik als het gaat om het beschermen van on-premises apparaten, cloud, mobiel, containers, web-apps en API’s. VMDR heeft zo een veel hoger rendement dan de meer traditionele op CVE gebaseerde oplossingen die de neiging hebben een vals gevoel van veiligheid te geven omdat ze geïsoleerd werken zonder gebruik te maken van historische gegevens. Voor VMDR maakt on-premises, cloud of hybride en virtueel of fysiek niet uit. Alles is zichtbaar en beheersbaar en kan goed worden beschermd. En dat is goed nieuws, nu we meer en meer thuis of op afstand werken.

Geschreven door Chantal ‘t Gilde, Managing Director Benelux en Nordics bij Qualys