CYBER SECURITY.
CYBER SECURITY.
Websec
Preventie
Inzicht
Cyberlab

Van patchbeheer naar kwetsbaarheidsbeheer

Als IT’ers zijn we ons er allemaal van bewust dat er elke dag nieuwe kwetsbaarheden bekend worden. Kwetsbaarheden in de software van een organisatie kunnen verstrekkende gevolgen hebben wanneer ze niet op tijd worden gevonden en opgelost. Maar hoe weet u zeker dat uw organisatie up-to-date blijft en de nieuwste patches effectief zijn toegepast? In dit artikel gaan we het hebben over hoe Vulnerability Management meer zekerheid geeft dan patchbeheer.
19 augustus, 2019

Alleen al in de afgelopen twee weken zijn er diverse ernstige kwetsbaarheden gepubliceerd of zijn er waarschuwingen uitgebracht dat eerder bekende kwetsbaarheden nog steeds niet zijn verholpen door bedrijven. Hieronder een aantal voorbeelden (via security.nl):

Windows kwetsbaar door lekken in DHCP, LNK en Word

Microsoft waarschuwt voor twee zeer ernstige Windows-lekken

Microsoft waarschuwt opnieuw voor BlueKeep-kwetsbaarheid

Hierin schuilen meteen een aantal uitdagingen en het is verstandig om een antwoord op de volgende vragen te formuleren:
 

1. Is uw organisatie op de hoogte van nieuw uitgebrachte patches?

Handmatig alles up-to-date houden: wie er ervaring mee heeft, zal zeggen dat het bijna geen doen is. In een organisatie met veel verschillende besturingssystemen en softwarepakketten is het een dagtaak om op de hoogte te blijven van alle bekende kwetsbaarheden. Daarnaast is er snel iets over het hoofd gezien.
 

2. Wat doet u wanneer er nog geen patch is voor een kwetsbaarheid?

Het direct uitvoeren van een nieuwe patch is hoe dan ook verstandig. Sterker nog: in cybersecurityland is het een doodzonde dit niet te doen. Maar staar uzelf niet blind op die patches. Wanneer al uw patches up-to-date zijn, wil dat niet zeggen dat alles vrij van kwetsbaarheden is. Vaak kost het ontwikkelaars even om een passende beveiligingsupdate te faciliteren in het geval van een kwetsbaarheid. In de dagen (of weken) dat er nog geen patch is, bent u dus niet veilig. Vaak is er wel een workaround mogelijk om uw organisatie veilig te stellen tot de beveiligingsupdate beschikbaar is.

3. Weet u zeker of het systeem daadwerkelijk kwetsbaar is?

Daarnaast is het de vraag of elke kwetsbaarheid daadwerkelijk gevaarlijk gaat zijn voor uw bedrijf. Vaak hebben (ook ernstige) kwetsbaarheden een aantal afhankelijkheden: bijvoorbeeld dat ze alleen misbruikt kunnen worden wanneer er ook sprake is van een specifieke registerinstelling. Dat betekent dat als uw systemen anders zijn ingesteld, de kwetsbaarheid geen probleem oplevert. Met geautomatiseerde Vulnerability Management is het niet meer nodig kwetsbaarheden handmatig te kwalificeren en prioriteren. Zo kijkt een tool als InsightVM direct wat voor risico u loopt en welke kwetsbaarheden de hoogste prioriteit hebben.
 

4. Weet u zeker dat de kwetsbaarheid daadwerkelijk is opgelost?

Het oplossen van sommige kwetsbaarheden kan afhankelijk zijn van ‘externe’ factoren. Wat veel IT’ers bijvoorbeeld niet weten, is dat sommige Microsoft-updates een kwetsbaarheid pas oplossen wanneer er ook handmatig een registeraanpassing wordt gedaan. Dit was bijvoorbeeld het geval bij de oplossingen voor de Spectre- en Meldown-kwetsbaarheden op Windows. Er zal daarom altijd een controle moeten plaatsvinden, op elk systeem, om te zien of de kwetsbaarheid daadwerkelijk is verholpen.
 

5. Wordt dit proces continu gemonitord?

Een verholpen kwetsbaarheden is natuurlijk een goede zaak. Maar hoe lang blijft u veilig? Kijk bijvoorbeeld eens naar Adobe: zij hebben tijdens de laatste ‘Patch Tuesday’ meer dan 100 kwetsbaarheden in hun software opgelost, waarvan 75 alleen al in Adobe Reader. Dit betekent dat u tegen de tijd dat de nieuwe kwetsbaarheden bekend worden gemaakt, er mogelijk alweer vele honderden kwetsbare systemen zijn. Ook al heeft u de vorige keer alle kwetsbaarheden netjes opgelost. Daarom is het zo belangrijk om dit proces voortdurend te monitoren.
 

6. Mijn patchmanagementsysteem lost dit toch allemaal op?

Een opmerking die wij vaak horen van klanten is: “Mijn patchmanagementsysteem lost de kwetsbaarheden voor mij op, dus wij hoeven er niet meer naar om te kijken.” Wij twijfelen er niet aan dat een patchmanagementsysteem noodzakelijk is om gecentraliseerd updates te installeren. Echter zien wij in bijna alle gevallen dat het patchmanagement niet zo goed is als men wellicht denkt.

Problemen die we vaak tegen komen? Denk aan systeemupdates die soms al weken of zelfs maanden niet lopen, systemen die zich niet meer melden bij het patchmanagementsysteem of zelfs nooit zijn geactiveerd in dit systeem. Een patchmanagementsysteem weet daarnaast niet of een kwetsbaarheid daadwerkelijk is opgelost en kan het ook geen overzicht tonen van de aanwezige kwetsbaarheden.

Een Vulnerability Management-systeem gebruiken

Daarom adviseren wij het gebruik van een Vulnerability Management-systeem. Hiervoor maakt IP4Sure gebruik van InsightVM van Rapid7. Goed om te weten: dankzij onze uitgebreide ervaring en kennis hebben we de status van Gold Partner verworven bij Rapid7.
 

Bent u geïnteresseerd in Vulnerability Management?

Hier vindt u meer informatie over hoe InsightVM bijdraagt aan een veiligere digitale omgeving. Advies over hoe uw organisatie het beste over kan stappen naar Vulnerability Management? Neem vrijblijvend contact met ons op.

 

 

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor