Vulnerability Management
Één van de belangrijkste oorzaken van beveiligingsincidenten en datalekken bij organisaties, is het misbruiken van kwetsbaarheden in verouderde of foutief geconfigureerde software. Met Vulnerability Management krijgen organisaties periodiek inzicht in de actuele stand van kwetsbaarheden in hun IT-omgeving. Door deze kwetsbaarheden vervolgens te verhelpen ontstaat een betrouwbare informatievoorziening.
Baaten ICT Security ondersteunt organisaties bij het inrichten van Vulnerability Management, maar kan dit ook as-a-service leveren. Ook wanneer de IT-omgeving elders is ondergebracht of wordt onderhouden. Vulnerability Management as a Service (VMaaS) maakt in begrijpelijke taal inzichtelijk welke kwetsbaarheden zich in zich in uw IT-omgeving bevinden, en adviseert concrete verbeteringen om aangetroffen kwetsbaarheden weg te nemen of te neutraliseren.
Zoals het onderstaande overzicht laat zien, beschouwen veel (internationale) normen en autoriteiten op het gebied van informatiebeveiliging Vulnerability Management als een belangrijk onderdeel van het informatiebeveiligingsproces van een organisatie. En sinds de komst van de AVG (GDPR) is het zelfs wettelijk verplicht wanneer er persoonsgegevens worden verwerkt.
Relevante steekwoorden
Betrouwbare informatievoorziening, informatiebeveiliging, kwaliteitsaspect, periodiek inzicht, IT-omgeving, concrete verbeteradviezen, midden en klein bedrijf (MKB), kwetsbaarhedenscan, vulnerability management, vast bedrag per maand, ondersteuning bij implementatie.
Neem contact op voor meer informatie of een vrijblijvende kennismaking!
Cybersecuritybeeld Nederland 2015
“Kwetsbaarheden in software zijn nog altijd de achilleshiel van digitale veiligheid.”
“De belemmeringen die organisaties ervaren bij het installeren van updates, zorgen ervoor dat ze het installeren ervan soms achterwege laten. Zolang de updates niet geïnstalleerd zijn, blijven delen van hun netwerk kwetsbaar.”
Cybersecuritybeeld Nederland 2016
“Kwetsbaarheden blijven vaak aanwezig omdat updates niet worden geïnstalleerd of omdat er soms geen updates beschikbaar zijn wanneer apparaten een aantal jaar oud zijn.”
“Het up-to-date houden van apparaten en software blijft een uitdaging. Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd.”
Cybersecuritybeeld Nederland 2017
“Toch worden basale maatregelen als het installeren van beveiligingsupdates vaak niet getroffen. Zowel grote als kleine organisaties doen dit vaak niet tijdig, waardoor malwarebesmettingen mogelijk worden.”
“Aanvallers blijven inspelen op kwetsbaarheden in software die vaak niet tijdig opgelost worden, gecombineerd met het bespelen van gebruikers, bijvoorbeeld via phishing-e-mails.”
Cybersecuritybeeld Nederland 2018
“Organisaties worden succesvol aangevallen met eenvoudige methoden. De afgelopen periode laat zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkt had kunnen worden met behulp van basismaatregelen. Die worden door lang niet alle organisaties getroffen. Onder andere tekortkomingen in configuraties en het niet tijdig implementeren van beveiligingsupdates zorgen ervoor dat aanvallers succesvol zijn.”
Cybersecuritybeeld Nederland 2019
“Digitaal onveilige producten en diensten zijn een fundamentele oorzaak van incidenten. Onveilige producten en diensten werken voor aanvallers drempelverlagend, omdat deze het makkelijker maken succesvolle aanvallen uit te voeren. De onveiligheid kan ontstaan doordat leveranciers standaard onveilige configuraties leveren of geen updates (meer) beschikbaar stellen, doordat deze updates niet eenvoudig te installeren zijn of doordat updatemechanismen gecompromitteerd worden. Ook als updates wel beschikbaar zijn, worden zij niet altijd ingezet bij organisaties.”
Cybersecuritybeeld Nederland 2020
“ Uit onderzoek blijkt dat nog niet de helft van de kwetsbaarheden binnen 90 dagen wordt gepatcht. Systemen zijn soms zelfs jarenlang kwetsbaar omdat beveiligingsupdates niet zijn geïnstalleerd. Bij veel geslaagde cyberaanvallen is gebruik gemaakt van een kwetsbaarheid die al jaren bekend is en waarvoor ook al jaren een update beschikbaar is. Doordat organisaties zich onvoldoende beschermen tegen kwetsbaarheden, is misbruik van bekende kwetsbaarheden in hard- en software nog steeds een succesvolle aanvalstechniek.”
Cybersecuritybeeld Nederland 2021
“Verschillende incidenten zijn illustratief voor voor de structurele kloof tussen bekendwording van kritieke kwetsbaarheden en het (later) uitvoeren van beveiligingsupdates.”
Cyber Security Raad
“ICT verandert voortdurend en kwaadwillende hackers verzinnen steeds nieuwe manieren om bij u binnen (proberen) te komen. Cybersecurity vereist dan ook doorlopend aandacht. Het is mogelijk dat de door uw bedrijf gebruikte ICT niet langer voldoende beveiligd is. U dient bovendien te controleren of de beveiligingsmaatregelen consequent worden toegepast. Het is raadzaam om uw beveiliging regelmatig door een externe partij te laten valideren en om u daarover te laten adviseren.”
Verplicht beheer van technische kwetsbaarheden
Baseline Informatiebeveiliging Overheid (BIO)
Baseline Informatiebeveiliging Hoger Onderwijs (BIHO)
Normenkader Informatiebeveiliging MBO
NEN7510 voor zorginstellingen
Geeft invulling aan top 5 CIS Controls
CSC 1 – Inventory of Authorized and Unauthorized Devices.
CSC 2 – Inventory of Authorized and Unauthorized Software.
CSC 3 – Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers.
CSC 4 – Continuous Vulnerability Assessment and Remediation.
CSC 5 – Controlled Use of Administrative Privileges.
AVG / GDPR
Artikel 32 – “een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.”
ISO 27001:2013
A.12.6.1 – “Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken.”
Nationaal Cyber Security Center (NCSC)
ICT-Beveiligingsrichtlijnen voor Webapplicaties C.03 – “Identificeren van de kwetsbaarheden en zwakheden in de ICT-componenten van de web applicatie zodat tijdig de juiste beschermende maatregelen kunnen worden getroffen.”
Handreiking Cybersecuritymaatregelen – “Software bevat programmeerfouten. Zulke fouten kunnen leiden tot kwetsbaarheden. Leveranciers brengen updates uit om kwetsbaarheden in hun software te verhelpen. Zorg voor een proces dat updates voor uw software identificeert, test en installeert. Breng hierbij alle software en systemen binnen uw organisatie in kaart, ook webbrowsers en plugins.”
Digital Trust Center
“Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risico-analyse.”
“Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen.”
“Controleer of apparaten en software up-to-date zijn.”
Waarom?
Dagelijks kunnen zich nieuwe risico’s manifesteren
Veel organisaties onderschatten het risico van een slechte informatiebeveiliging, en overschatten de mate waarin ze hun informatiebeveiliging op orde hebben óf in staat zijn om deze op orde te brengen. De gedachte dat een virusscanner en een firewall voor voldoende veiligheid zorgen, is niet meer van deze tijd. De digitale dreiging neemt al jaren toe en blijft dat doen. Cybercrime is wereldwijd inmiddels lucratiever dan drugshandel.
Informatiebeveiliging is een niet te negeren factor voor elke organisatie die het belang van een betrouwbare informatievoorziening onderschrijft. Door een continu veranderende dreiging én IT-omgeving kunnen zich op ieder moment nieuwe risico’s manifesteren. Stilstaan heeft een onmiddellijke toename van informatiebeveiligingsrisico’s tot gevolg.
Daarom is het belangrijk dat organisaties zorgen dat ze bijblijven door kwetsbaarheden in hun IT-omgeving met gepaste prioriteit aan te pakken. VMaaS helpt door kwetsbaarheden op te sporen en te adviseren over hoe ze verholpen kunnen worden.
Hoe werkt het?
Continue controle
Dagelijks worden kwetsbaarheden binnen uw IT-omgeving in kaart gebracht. Wij gebruiken hiervoor verschillende tools variërend van specialistische software tot zelfgemaakte scripts. Met een overeengekomen frequentie (bijvoorbeeld maandelijks) ontvangt u een rapport met de aangetroffen kwetsbaarheden. Stuiten wij tussentijds op een ernstige kwetsbaarheid, dan nemen we eerder contact met u op.
Iedere bevinding wordt voorzien van een concreet verbeteradvies, en door aan te sluiten op uw interne processen kunnen wij uw medewerkers helpen om verbeteringen met de juiste prioriteit aan te pakken. Daarnaast kijken we ook naar trends. Uw interne (beheer)processen dienen een veilige informatievoorziening te garanderen. Door voortdurend te kijken naar het resultaat van deze processen, kan worden vastgesteld of deze goed functioneren. Om deze reden is elk rapport voorzien van een trendgedeelte waarin u kunt zien hoe het aantal kwetsbaarheden in uw organisatie zich ontwikkelt. Wij helpen u graag bij het optimaliseren van uw interne processen zodat u in toenemende mate succesvol wordt in het beheersen van uw risico’s.
Aquire
Iedere dag scannen wij uw IT-omgeving en zoeken we naar bekende zwakke plekken in software en configuraties.
Assess
Wij analyseren de aangetroffen kwetsbaarheden en classificeren het risico voor uw organisatie.
Action
U ontvangt maandelijks een rapportage met verbetermogelijkheden, en u wordt tussentijds gebeld bij kwetsbaarheden met een hoog risico.
Voor wie?
In het bijzonder voor het MKB
VMaaS kan bij iedere organisatie worden ingezet, maar is ontworpen met kleine en middelgrote organisaties (MKB) in het achterhoofd. Uit onafhankelijk onderzoek blijkt namelijk dat de MKB-sector een beveiligingsachterstand kent waardoor deze organisaties onnodig informatiebeveiligingsrisico’s lopen. Gebaseerd op onze eigen ervaring wordt deze achterstand veroorzaakt door één of meerdere van de volgende situaties:
- Budgetten zijn beperkt en het MKB is in de huidige markt vaak een minder interessante werkgever voor security specialisten;
- De dagelijkse focus ligt vooral op het op het realiseren van de bedrijfsdoelen zoals bijvoorbeeld het invullen van klantbehoeften, en minder op kwaliteitsaspecten zoals informatiebeveiliging;
- Het ontbreekt vaak aan de juiste kennis of expertise om een IT-omgeving te beoordelen vanuit een informatiebeveiligingsperspectief. Een IT-beheerder of IT-manager is geen security specialist.
Ondanks de beperkte digitale weerbaarheid heeft het MKB wel met minimaal dezelfde risico’s te maken hebben. Met VMaaS is het hebben van grip op beveiligingsrisico’s niet langer voorbehouden aan grote enterprises en multinationals. Wij brengen specialistische expertise binnen handbereik en helpen organisaties met het borgen van een veilige informatievoorziening.
Maatwerk?
VMaaS is geheel naar wens in te richten
VMaaS kan bij iedere organisatie worden ingezet, maar is ontworpen met kleine en middelgrote organisaties (MKB) in het achterhoofd. Uit onafhankelijk onderzoek blijkt namelijk dat de MKB-sector een beveiligingsachterstand kent waardoor deze organisaties onnodig informatiebeveiligingsrisico’s lopen. Gebaseerd op onze eigen ervaring wordt deze achterstand veroorzaakt door één of meerdere van de volgende situaties:
- Budgetten zijn beperkt en het MKB is in de huidige markt vaak een minder interessante werkgever voor security specialisten;
- De dagelijkse focus ligt vooral op het op het realiseren van de bedrijfsdoelen zoals bijvoorbeeld het invullen van klantbehoeften, en minder op kwaliteitsaspecten zoals informatiebeveiliging;
- Het ontbreekt vaak aan de juiste kennis of expertise om een IT-omgeving te beoordelen vanuit een informatiebeveiligingsperspectief. Een IT-beheerder of IT-manager is geen security specialist.
Ondanks de beperkte digitale weerbaarheid heeft het MKB wel met minimaal dezelfde risico’s te maken hebben. Met VMaaS is het hebben van grip op beveiligingsrisico’s niet langer voorbehouden aan grote enterprises en multinationals. Wij brengen specialistische expertise binnen handbereik en helpen organisaties met het borgen van een veilige informatievoorziening.
Veelgestelde vragen?
Misvattingen over VMaaS
We hebben al een virusscanner op alle systemen. Daarmee zijn we toch veilig?
Nee, een virusscanner herkent slechts een klein deel van de aanvallen die organisaties voor hun kiezen krijgen. Bovendien is een virusscanner per definitie reactief, en loopt u dus achter de feiten aan aangezien een virusscanner uitsluitend virussen herkent die reeds bekend zijn. Cybercriminelen kunnen virusscanners gemakkelijk omzeilen.
Voorkomt een firewall dat kwetsbaarheden misbruikt kunnen worden?
Nee, een firewall is bedoeld om alleen verkeer met een specifieke bestemming door te laten. Bijvoorbeeld vanaf het internet naar het interne netwerk. Een bestemming is software op een systeem. Bijvoorbeeld een webserver (Apache), een e-mailserver (Exchange), of een VPN-server (Cisco). Wanneer deze software kwetsbaarheden bevat, kunnen cybercriminelen deze misbruiken ongeacht de aanwezigheid van een firewall. Ook via bijvoorbeeld besmette e-mailbijlagen kunnen aanvallers een firewall omzeilen.
Kan onze monitoring omgeving de kwetsbaarheden niet detecteren?
Nee, standaard monitoring oplossingen zijn niet geschikt voor het detecteren van informatiebeveiligingskwetsbaarheden die door cybercriminelen kunnen worden misbruikt. Deze zijn vaak alleen bedoeld voor het detecteren van basale zaken zoals falende componenten, vastgelopen servers, of andere managementinformatie. VMaaS detecteert kwetsbaarheden wel en is daarmee een prima aanvulling op standaard monitoring oplossingen.
We scannen slechts 10 systemen. Kunnen we er vanuit gaan dat de andere systemen dan ook goed zijn?
Dat kan, maar dan houdt u uzelf voor de gek. U controleert ook niet de spanning van één autoband, om er daarna vanuit te gaan de andere drie ook goed zijn. Het is erg risicovol om aan te nemen dat alle systemen exact hetzelfde zijn en blijven. Hoe groter uw IT-omgeving, hoe meer er mis kan gaan. De toegevoegde waarde van VMaaS is maximaal wanneer alle systemen worden gescand. Bedenk goed; een cybercrimineel heeft maar één zwakke plek nodig om voet aan de grond te krijgen in uw IT-omgeving.
Linux en Mac zijn uit zichzelf toch voldoende veilig?
Dit is een fabeltje en is net zo onwaar als de stelling dat u in een Audi geen gordel om hoeft, omdat het kwalitatief zo’n goede auto is. Cybercriminelen richten zich doorgaans op de meest populaire systemen aangezien die het meeste voorkomen, maar voor Linux en/of Mac kunnen de kwetsbaarheden net zo ernstig zijn. En daar zijn ook genoeg voorbeelden van.
Hoe zit het dan met andere maatregelen?
Uw beveiliging is net zo sterk als uw zwakste schakel. Iedere maatregel heeft een bepaalde waarde, maar echte veiligheid ontstaat door het toepassen van meerdere samenhangende en overlappende maatregelen. Het zijn de vele takjes die het moeilijk maken om het geheel te breken. Vroeger hadden auto’s ook alleen een rem, maar tegenwoordig hebben ze ook gordels, ABS, ESP, airbags, en zelfs systemen die ingrijpen wanneer de bestuurder te laat reageert op een situatie.