08 nov
Bij ThreadStone volgen wij berichtgeving over nieuwe kwetsbaarheden op de voet. Begin november waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor een kwetsbaarheid in OpenSSL. Dit is een van de meest gebruikte softwarebouwstenen voor het versleutelen van netwerkverbindingen. Een kwetsbaarheid in OpenSSL kan vervelende gevolgen hebben.
Net als bij Log4J vorig jaar rijst bij onze klanten en andere bedrijven de vraag: is dit een kwetsbaarheid waar wij als onderneming rekening mee moeten houden? Waar zit OpenSSL in? Raakt het op enigerlei wijze onze systemen? Zijn we mogelijk kwetsbaar? Moeten we in actie komen?
Gelukkig is het NCSC met een lijst gekomen van applicaties waar OpenSSL in wordt gebruikt.
Verder heeft het de oproep gedaan om de patch die inmiddels is gemaakt, uit te voeren voor de OpenSSL-versies waar het om gaat.
Voor ons bewijzen dit soort kwetsbaarheden het belang van goed Vulnerability Management. Dit sluit ook aan op de adviezen van het DTC en NCSC: meet met regelmaat op kwetsbaarheden. Daarmee houd je als bedrijf eenvoudig het overzicht over al je systemen. En een minstens zo belangrijk effect van Vulnerability Management is dat je weet welke systemen je allemaal hebt en welke bedrijfs-kritisch zijn. Zit er in die belangrijke categorie een kwetsbaarheid die werkelijk risico kan opleveren (en dat hoeft niet per se een kwetsbaarheid te zijn met een kritische classificatie), dan weet je dat je direct actie moet ondernemen. Als het gaat om een minder cruciaal onderdeel of een onderdeel dat niet wordt geraakt door een nieuw ontdekte kwetsbaarheid, dan hoef je niet meteen door te schakelen in z’n vijf. Het is en blijft het aloude adagium: meten is weten.
Het NCSC adviseert organisaties om in kaart te brengen op welke plekken zij gebruikmaken van OpenSSL. Ons advies gaat een stap verder: omarm Vulnerability Management om sowieso in control te zijn en te blijven – ook als er weer een nieuwe kwetsbaarheid wordt ontdekt met potentieel grote impact. Bij ThreadStone bieden we VM-oplossingen die snel implementeerbaar en uitstekend betaalbaar zijn. Kom ‘in-control’!