Vulnerability management: de kwetsbaarheden in kaart en onder controle

In de media is bijna dagelijks te lezen over IT gerelateerde incidenten bij organisaties. Deze incidenten zijn vaak direct of indirect het gevolg van onvoldoende grip op de IT security van bedrijfsgegevens. Maatregelen om vulnerabilities (of kwetsbaarheden) in kaart te brengen en uiteindelijk onder controle te krijgen sneeuwen op IT afdelingen vaak onder door de vele dagelijkse brandjes (operations) die geblust moeten worden. Naast deze brandjes gaat er ook veel tijd op aan changes/projecten en is er weinig tijd over voor zaken als monitoring van systemen. 

IT security bezorgt directies van organisaties kopzorgen

Organisaties maken zich dan ook in toenemende mate zorgen over bedreigingen zoals cybercriminaliteit en bedrijfsspionage, en terecht. Het is tegenwoordig niet meer dan normaal dat bedrijfsnetwerken middels VPN, B2B koppelingen en andere remote access methodieken toegankelijk worden gemaakt voor meer dan enkel de eigen medewerkers. (End-to-end) dataencryptie wordt eveneens veelvuldig toegepast. De beveiliging van data en bedrijfsmiddelen moet daarom op een proactieve wijze worden beschermd. Denk daarbij aan winstgevende intellectuele eigendommen, de bedrijfscontinuïteit en merkreputatie.

Standaard maatregelen zijn niet meer dan een pleister die een deel van een wond afdekt

De beveiliging van netwerken is in de basis niet bepaald toereikend. Wat we daarmee bedoelen? Het beveiligen van een netwerk stopt vaak bij standaard maatregelen als regulier patch management en de toepassing van gebruikelijke antivirus software. Deze basismaatregelen zijn voor de betere hacker niet bepaald een onneembare horde. Het gevaar zit ook vaak in onjuiste configuraties, is applicatie gerelateerd of heeft te maken met verouderde technologieën. Binnen hardware kan de standaard configuratie schadelijk zijn voor de veiligheid van een netwerk. Een beheerder moet een heleboel zaken in gedachten houden om tot een juiste en passende netwerkbeveiliging te komen. Al deze inzichten samen geven de urgentie van dit thema duidelijk weer. Het loont dat ook de moeite om regelmatig een vulnerability scan uit te voeren. Een schakel die niet mag ontbreken binnen de vulnerability management strategie van een organisatie.

Organisaties geven vulnerability management (nog) geen topprioriteit

Buiten het tijd- en prioriteitsaspect is het vreemd om te constateren dat lang niet alle MKB+ en mid-enterprise organisaties een vulnerability management strategie hebben geformuleerd. Organisaties worden immers in veel gevallen niet daartoe verplicht in het kader van wetgeving, met uitzondering van specifieke branches. Een vergelijking naar de dagelijkse praktijk en in de consumentensfeer spreekt mogelijk tot de verbeelding. Consumenten zien bijvoorbeeld veel toegevoegde waarde in het laten doen van een total body scan – even los van financiële (on)mogelijkheden. Dat er binnen organisaties bijna niet omgekeken wordt naar deze ‘total body scan’ van het netwerk is opmerkelijk.

We herinneren ons allemaal nog de recente impact van de Wannacry en Petya malware.

Wat leren organisaties van een vulnerability scan en wat kan men ermee?

De periodieke vulnerability scan is feitelijk een momentopname van alle bekende kwetsbaarheden binnen een IT systeem. Bijvoorbeeld of en hoeveel (end-of-life) Windows 2003 servers er nog binnen een netwerk operationeel zijn, of dat er op één van de servers een verouderde Java of Flash versie draait. Resultaten kunnen ook een overzicht van open poorten of verouderde  (beveiligings)protocollen bevatten en welke Windows updates er bijvoorbeeld nog missen. Deze kwetsbaarheden/aandachtspunten dienen vervolgens op basis van prioriteit behandeld en opgelost te worden. Nuttig, maar geen permanente oplossing voor het beschermen van de IT infrastructuur. Organisaties kunnen ook kiezen voor het permanent inzetten van vulnerability tooling, waarbij ook historie wordt opgebouwd en dus wijzigingen inzichtelijk worden. Uit de vulnerability tooling komt een rapportage die grotendeels technisch is en goed geïnterpreteerd dient te worden. Voor de juiste interpretatie is de expertise nodig van een specialistische kennispartner. Een partner die kan adviseren welke logische stappen organisaties op basis van prioriteit en/of urgentie kunnen nemen om de kwetsbaarheden aan te pakken en die deze effectief kan uitvoeren.

Pen-testing als next step

Een logische volgende stap is het uitvoeren van een penetration test (pen-test) waarin gespecialiseerde ethische hackers de kwetsbaarheden daadwerkelijk zullen proberen uit te buiten. Veelal interessante eye-openers die aantonen met welk gemak een zwakte in de beveiliging door een specialist kan worden doorbroken en hoe snel bedrijfsgegevens op straat kunnen liggen.

Giant ICT biedt laagdrempelige vulnerability scan en dienstverlening

Giant ICT kan organisaties van dienst zijn middels het uitvoeren van een laagdrempelige vulnerability scan, alsmede het uitvoeren van een zogeheten second opinion. Daarnaast kan Giant ICT relevante kennis inbrengen en organisaties ondersteuning bieden bij het doorvoeren van de noodzakelijke aanpassingen die voortkomen uit de vulnerability scan rapportage. Neem contact met ons op voor meer informatie.

Door: Jacco Hoffer (Information Security Consultant) en Arnold Derksen (foto, Sales Consultant), Giant ICT

Giant ICT seminar IT beveiliging is topsport: zonder beveiliging geen wedstrijd

Op donderdag 27 september 2018 organiseert Giant ICT een seminar over IT beveiliging waarin onder andere het thema in deze blog besproken wordt. Tijdens dit event zal ook een ethical hacker uitleg geven over het doen en laten van hackers. Hoe gaan ze te werk, hoe kiezen ze hun doelen enzovoorts. Het volledige programma (inclusief inschrijfmogelijkheid) is te lezen via:

https://www.giant.nl/seminar-it-beveiliging-is-topsport-zonder-beveiliging-geen-wedstrijd/