Volgens de folklore konden heksen in een zeef varen, een zeef met gaten in de bodem. Helaas werken heksen niet in cybersecurity – waar netwerken over het algemeen zoveel kwetsbaarheden hebben dat ze op zeven lijken.
Voor de meesten van ons vereist het overeind houden van de zeef van onze netwerken verschrikkelijk hard werk en frequente compromissen over welke gaten als eerste moeten worden gedicht.
De reden? In 2010 werden iets minder dan 5000 CVE’s geregistreerd in de MITRE-database met kwetsbaarheden. Tegen 2021 was het jaartotaal omhooggeschoten naar meer dan 20.000. Vandaag de dag zijn software en netwerkintegriteit synoniem voor bedrijfscontinuïteit. En dit maakt de kwestie van welke kwetsbaarheden als eerste moeten worden aangepakt cruciaal voor de missie. Maar vanwege de talloze gedocumenteerde kwetsbaarheden die op de loer liggen in een typisch enterprise-ecosysteem – op duizenden laptops, servers en op internet aangesloten apparaten – minder dan een op tien moet eigenlijk gepatcht worden. De vraag is: hoe kunnen we weten welke plekken ervoor zorgen dat onze zeef niet zinkt?
Dit is de reden waarom steeds meer bedrijven zich wenden tot Vulnerability Prioritization Technology (VPT). Ze zoeken oplossingen die de stroom valse positieven wegfilteren die worden gegenereerd door verouderde tools en slecht geconfigureerde oplossingen en pakken alleen die kwetsbaarheden aan die hun netwerken rechtstreeks beïnvloeden. Ze laten traditionele paradigma’s voor kwetsbaarheidsbeheer achter zich en schakelen over op de volgende generatie VPT-oplossingen.
De evolutie van kwetsbaarheidsbeheer
Het is geen nieuws dat zelfs de meest hulpbronnenrijke onderneming onmogelijk elke afzonderlijke kwetsbaarheid in hun ecosysteem kan sorteren, prioriteren en patchen. Daarom begon de verschuiving naar VPT in de eerste plaats.
Aanvankelijk richtte Vulnerability Management (VM) zich op het scannen en detecteren van kernnetwerken op eventuele kwetsbaarheden. Dit stond bekend als Vulnerability Assessment (VA), en het resultaat was een enorm lange lijst van kwetsbaarheden die weinig praktische waarde hadden voor de toch al overbelaste IT-middelen.
Om VA meer actiegericht te maken, omvatte de volgende generatie VM-tools prioriteitsstelling voor kwetsbaarheden op basis van elke kwetsbaarheid wereldwijde CVE-score. Dit werd verder verfijnd door een nieuwe prioriteitslaag toe te voegen op basis van schattingen van potentiële schade, bedreigingscontext en, idealiter, een correlatie met lokale context om de potentiële zakelijke impact te evalueren op basis van DRAAD type modellen. Deze meer geavanceerde aanpak staat bekend als Risk Based Vulnerability Management (RBVM) en was een enorme sprong voorwaarts van VA.
Maar zelfs geavanceerde VM-tools die RBVM implementeren, lopen achter op het gebied van verfijning en bruikbaarheid. Deze tools kunnen alleen detecteren wat ze weten, wat betekent dat verkeerd geconfigureerde detectietools vaak leiden tot gemiste aanvallen. Ze kunnen niet beoordelen of beveiligingscontroles zijn geconfigureerd om de ernst van een bepaalde kwetsbaarheid te compenseren volgens de CVE-score die is gecorreleerd met het lokale contextrisico. Dit resulteert nog steeds in opgeblazen patchlijsten en betekent ook dat – net als bij early-gen VA-tools – patchen vaak onderaan de takenlijst belandt of gewoon wordt genegeerd door IT-teams.
Gebruikmaken van Next-Gen VPT
Geavanceerde VPT-oplossingen zijn de volgende generatie VM’s en bieden organisaties een heel andere kijk op hun unieke cyberrisico’s.
Voortbouwend op traditionele VA-detectie en meer geavanceerde RBVM-mogelijkheden, voegt de nieuwste generatie VPT-oplossingen de kritieke context van activa, omgevingscontext en meerdere, vooraf geïntegreerde bronnen voor bedreigingsinformatie toe. Op deze manier vergroot het effectief de ernst van de kwetsbaarheidsgegevens met geavanceerde analyses en in-context toepasbaarheid. Deze analytische mogelijkheden stellen geavanceerde VPT-oplossingen in staat om zeer gedetailleerde validatie van bedreigingen te integreren, waardoor de volgende generatie mogelijkheden ontstaat die de traditionele VM versterken: Op aanvallen gebaseerd kwetsbaarheidsbeheer (ABVM).
ABVM is een gamechanger. Omdat zodra netwerkbelanghebbenden in staat zijn om de reële bedreigingen waarmee hun netwerken worden geconfronteerd, effectief te valideren, ze hun omgevingen kunnen testen op basis van werkelijke blootstellingsniveaus en permeabiliteit voor aanvallen. Volgens Gartner, is de verschuiving naar ABVM cruciaal voor een betere prioritering en beoordeling van kwetsbaarheden. Het stelt leiders op het gebied van beveiliging en risicobeheer in staat om zowel aanbevelingen te genereren als deze rechtstreeks toe te passen op hun beveiligingsprogramma’s, waarbij geprioriteerde bevindingen worden aangepakt.
Door gebruik te maken van ABVM, kunnen beveiligingsbelanghebbenden identificeren: alle onopgemerkte aanvallen, gegevens en use-cases genereren die continue verbetering van de configuratie van detectie- en responstools mogelijk maken, en potentiële end-to-end aanvalspaden in kaart brengen met gedetailleerde lokale context. Zodra deze nog onbeveiligde aanvalspaden duidelijk in kaart zijn gebracht, is patchen dat ook, omdat dreigingsvalidatie in combinatie met een diep begrip van aanvalspaden lasergerichte patchprioritering mogelijk maakt. Met ABVM wordt het eenvoudig om schaarse patchingbronnen te optimaliseren om alleen die gaten te dichten die de zeef dreigen te doen zinken.
De overstap van traditionele, op scores gebaseerde VA- of RBVM-benaderingen naar ABVM kan de patchbelasting met 20%-50% verlagen en tegelijkertijd de algehele beveiligingshouding aanzienlijk verbeteren. Door beveiligingsdrift te voorkomen, helpt ABVM ook bij het stroomlijnen van SIEM-toolsets – het verbeteren van de toolconfiguratie, het elimineren van overlap en het identificeren van ontbrekende mogelijkheden.
Het komt neer op
Door de beveiliging te verbeteren, de kosten te verlagen, de toewijzing van middelen te verfijnen en de samenwerking tussen teams te versterken, biedt ABVM een nieuwe horizon van productiviteit en efficiëntie voor beveiligingsteams. Door traditionele VPT naar een hoger niveau te tillen, lost ABVM de chronische overbelasting van patching van kwetsbaarheden op, waardoor netwerken overeind kunnen blijven, zelfs in de door bedreigingen verstikte wateren.
