22 aug
Thuiswerken, gebruiken van de cloud, implementeren van IoT-toepassingen: bedrijfssystemen en -netwerken veranderen continu. Dat betekent ook iets voor het veilig houden ervan.
Het begint met inzicht
Je moet ten eerste weten hoe het netwerk eruitziet en welke websites, portalen en andere systemen aan het internet zijn aangesloten. Wij zien het daar al vaak ‘misgaan’. Zelfs de koffieautomaat die is aangesloten op internet kan criminelen een opening bieden tot het bedrijfsnetwerk. Veel organisaties hebben eigenlijk geen idee wat ze allemaal in huis hebben of aan internet hebben gekoppeld. En als je niet weet wat je hebt, kun je het ook niet beschermen…
Dan volgt (continu) meten
Ten tweede moet je om cyberweerbaar te zijn en te blijven, continu meten. Want niet alleen verandert het netwerk en wat daaraan wordt gekoppeld, ook internetcriminelen zitten bepaald niet stil. Meer softwaregebruik en slimmere inbraaktechnieken zorgen ervoor dat je als organisatie niet meer wegkomt met één hacktest, pentest of vulnerability scan per jaar – waarbij aangetekend moet worden dat een groot aantal organisaties zelfs nog nooit een test heeft uitgevoerd, omdat zij er simpelweg niet de tijd, kennis of middelen voor hebben.
Nog steeds blijkt dat de helft van de aanvallen voorkomen had kunnen worden, doordat een kwetsbaarheid is misbruikt die al meer dan een jaar aanwezig is. Maar liefst 60% van de inbraken vindt plaats terwijl er ‘gewoon’ een patch beschikbaar was (maar blijkbaar niet is uitgevoerd). ‘Meten is weten’ is het adagium. Maar voor een goede cyberweerbaarheid moet dat zijn ‘continu meten is weten’.
Op tijd het juiste doen
Al heb je frequente vulnerability scanning dan geregeld, dan is het zaak om te bepalen welke kwetsbaarheden voor jouw organisatie relevant zijn. Je wil en kan immers niet op elke gesignaleerde kwetsbaarheid actie ondernemen. Alleen op die zwakke plekken waarbij de kans op misbruik hoog is en het systeem waarop de kwetsbaarheid zich voordoet van groot belang is voor de business wil je directe actie ondernemen. De bepaling van het risico is namelijk altijd nog de formule van kans maal impact.
Als je dit goed wilt doen, dan ontkom je niet aan vulnerability management: het identificeren, classificeren, prioriteren, herstellen en wegnemen van softwarekwetsbaarheden. Daarmee kun je als organisatie op tijd de juiste actie ondernemen om de kans op misbruik van een kwetsbaarheid die impact kan aanrichten te verkleinen of tot nul te reduceren.
Daarbij is het belangrijk om ook de scope van de metingen goed te bepalen, zonder zomaar aannames te doen. Wij werken onder andere voor hostingpartijen die aangeven dat alle servers die ze hebben op dezelfde wijze zijn opgebouwd. De aanname dat kwetsbaarheden op alle servers dan gelijk zijn en er dus maar één gecontroleerd hoeft te worden zien wij als een gevaarlijke. In de praktijk blijkt namelijk met grote regelmaat dat een server patches of updates heeft gemist of toch net iets anders is geconfigureerd (hoewel dit proces geautomatiseerd verloopt).
In control met continu meten en verbeteren
Bij ThreadStone zetten we niet voor niets steeds meer in op vulnerability management. Voor klanten met 50 assets of meer (grofweg vanaf zo’n 20 medewerkers) zorgen we voor het continu scannen, het terugkoppelen van de bevindingen en het gericht adviseren op vaste afgesproken momenten of ad hoc als dat nodig is. Zo helpen wij organisaties op een heel pragmatische manier om hun digitale veiligheid te verbeteren. Zeker voor ondernemingen die volledig leunen op de kennis en kunde van hun interne of externe IT- professional is deze objectieve manier van meten en opvolgen waardevol om werkelijk ‘in-control’ te komen op het gebied van informatiebeveiliging.