Document toolboxDocument toolbox

5.6.1. Het Proces Kwetsbaarhedenbeheer 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 11 Dec, 2024 by Tom De CubberVersion comment
5 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Het proces kwetsbaarheden beheer 

Het doel van kwetsbaarhedenbeheer is om proactief beveiligingsrisico's binnen systemen en applicaties te identificeren, te evalueren en te mitigeren, met als uiteindelijk doel de integriteit, vertrouwelijkheid en beschikbaarheid van informatie te waarborgen. Dit proces richt zich zowel op interne zwakke punten, zoals in de broncode of configuraties, als op externe dreigingen die door derden worden gerapporteerd via responsible disclosure of andere kanalen. 

Kwetsbaarhedenbeheer is een cyclisch proces waarbij continue verbetering centraal staat. Elke fase van het proces levert informatie en inzichten op die worden gebruikt om beveiligingsmaatregelen aan te scherpen en te laten evolueren. Dit helpt de organisatie veerkrachtiger te worden tegen toekomstige beveiligingsrisico's en zorgt ervoor dat het proces flexibel blijft en mee-evolueert met nieuwe dreigingen en technische ontwikkelingen. 

 

Kwetsbaarheden beheer in het kader van informatieclassificatie 

Kwetsbaarhedenbeheer is en belangrijk onderdeel in het beschermen van informatie die geclassificeerd is op basis van vertrouwelijkheid, integriteit en beschikbaarheid. De classificatie van informatie bepaalt welke beveiligingsmaatregelen noodzakelijk zijn en welke prioriteit kwetsbaarheden krijgen tijdens het beheerproces. Voor informatie met een hogere classificatie, zoals vertrouwelijke of kritieke gegevens, zijn de eisen aan kwetsbaarhedenbeheer strenger, en worden aanvullende controles vereist. 

In dit kader wordt kwetsbaarhedenbeheer afgestemd op de classificatie van de betrokken informatie: 

  • Vertrouwelijkheid: Kwetsbaarheden die vertrouwelijke informatie in gevaar kunnen brengen, zoals ongeoorloofde toegang, worden met hoge prioriteit behandeld. Dit omvat bijvoorbeeld kwetsbaarheden die leiden tot datalekken of het ongeautoriseerd inzien van gevoelige informatie. 

  • Integriteit: Voor gegevens die een hoge mate van integriteit vereisen, worden kwetsbaarheden die de juistheid en volledigheid van de informatie kunnen schaden, zoals manipulaties van gegevens of systemen, geïdentificeerd en zo snel mogelijk opgelost. 

  • Beschikbaarheid: Bij kritieke systemen waarvan de beschikbaarheid essentieel is, wordt extra aandacht besteed aan kwetsbaarheden die de continuïteit van de dienstverlening kunnen verstoren. Dit omvat bijvoorbeeld DoS-aanvallen en systeemuitval door onopgeloste beveiligingsproblemen. 

Het proces van kwetsbaarhedenbeheer moet er dan ook voor zorgen dat kwetsbaarheden consistent worden geprioriteerd op basis van de classificatie van de getroffen informatie, en dat mitigerende maatregelen proportioneel zijn aan het risiconiveau van de gegevens die worden beschermd.  

De informatieclassificatie zorgt ervoor dat de middelen en inspanningen die worden ingezet voor kwetsbaarhedenbeheer, nauw aansluiten bij de behoeften van de organisatie, en dat kwetsbaarheden in kritieke systemen en gegevens extra aandacht krijgen. 

Het omgaan met en beheren van kwetsbaarheden omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn 

  • Identificatie van een kwetsbaarheid; 

  • Registratie van de kwetsbaarheid; 

  • Beoordeling van de kwetsbaarheid; 

  • Beheersing van de kwetsbaarheid; 

  • Validatie van de genomen beheersingsmaatregelen; 

  • Rapporteren van de kwetsbaarheid; 

  • Uitvoeren van lessons learned. 

 

Kwetsbaarhedenbeheer is een kernproces in het ICR. 

De minimale beschikbaarheid van het proces ‘kwetsbaarhedenbeheer’ zelf is afhankelijk van het type en klasse van de betreffende informatie. We onderscheiden beschikbaarheid van dit proces tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen). 

 

Identificatie van een kwetsbaarheid 

Het opsporen van kwetsbaarheden door gebruik te maken van tools zoals scans, penetratietests, of externe meldingen van veiligheidsproblemen. Wanneer een kwetsbaarheid gevonden wordt, moet dit kunnen gemeld worden via de juiste kanalen (ToDo: welke zijn hier de juiste kanalen?) 

 

Registratie van een kwetsbaarheid 

Elke geïdentificeerde kwetsbaarheid wordt vastgelegd in een centraal register met de belangrijkste gegevens zoals datum van ontdekking en betrokken systemen. De vorm waarin dit centraal register is opgesteld kan variëren van een (elektronisch) logboek tot een volledig geautomatiseerd cloud systeem. De keuze voor deze of gene oplossing als registratietool voor kwetsbaarhedenbeheer is afhankelijk van de beslissing genomen door de organisatie waar deze tool zal gebruikt worden en wordt onder meer bepaald door de kost, de complexiteit en de opbrengst voor de organisatie. 

 

Beoordeling van een kwetsbaarheid 

De kwetsbaarheden worden geanalyseerd en geprioriteerd op basis van hun ernst en mogelijke impact op de organisatie, afgetoetst aan vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens die mogelijk geïmpacteerd worden indien de kwetsbaarheid zou uitgebuit worden. Dit dient te gebeuren op basis van het proces rond risicobeheer. 
Er wordt tevens beoordeeld of het risico dat de kwetsbaarheid vormt onmiddellijk moet worden aangepakt of dat dit risico tijdelijk geaccepteerd kan worden. 

 

 

Beheersing van een kwetsbaarheid 

In deze volgende stap worden er maatregelen genomen om de kwetsbaarheid te verhelpen, zoals patching, configuratiewijzigingen, code aanpassingen of het implementeren van compensatiemaatregelen. Gezien al deze maatregelen een wijziging gaan veroorzaken in de systemen, dient de uitvoering ervan opgenomen te worden via het wijzigingsbeheer. 

 

Validatie van de genomen beheersmaatregelen 

Nadat de beheersmaatregelen zijn uitgevoerd (zoals patching of configuratiewijzigingen), wordt gecontroleerd of de kwetsbaarheid daadwerkelijk is verholpen. Dit proces omvat het herhalen van de initiële kwetsbaarheidsscan of test die de kwetsbaarheid heeft geïdentificeerd. Ook wordt nagegaan of de getroffen systemen correct functioneren zonder dat nieuwe problemen zijn geïntroduceerd. Als de kwetsbaarheid niet volledig is opgelost, worden aanvullende maatregelen genomen. Pas na succesvolle validatie kan de kwetsbaarheid als gesloten worden beschouwd. 

 

Rapporteren van een kwetsbaarheid 

In deze stap worden de bevindingen en de status van kwetsbaarheden gedocumenteerd en gedeeld met relevante stakeholders, zoals het management, beveiligingsteams, en soms externe partijen (bijvoorbeeld bij verplichte rapportage of samenwerkingen – opgelet hierbij voor mogelijke veiligheidsrisico’s bij het delen van deze informatie vooral op vlak van vertrouwelijkheid). Het rapport bevat informatie over geïdentificeerde kwetsbaarheden, de risicoclassificatie, de genomen beheersmaatregelen, de resultaten van de validatie, en eventuele resterende risico’s. Daarnaast worden actiepunten en vervolgmaatregelen vastgelegd voor kwetsbaarheden die nog in behandeling zijn. 

 

Uitvoeren van lessons learned 

Na het succesvol afsluiten van een kwetsbaarheid wordt een evaluatie uitgevoerd om te leren van het gehele proces. Dit omvat een terugblik op hoe de kwetsbaarheid werd ontdekt, de effectiviteit van de risicobeoordeling, de snelheid en adequaatheid van de genomen maatregelen, en het validatieproces. Het doel is om te identificeren wat goed is gegaan, maar ook welke verbeteringen er nodig zijn voor toekomstige kwetsbaarheden. Eventuele knelpunten, zoals trage respons of onvoldoende communicatie, worden geïdentificeerd, en er worden aanpassingen voorgesteld voor het verbeteren van procedures of tools. 

Ingeval er aanpassingen dienen te gebeuren aan het proces, dient de uitvoering ervan opgenomen te worden via het wijzigingsbeheer. 

 

 

Overzicht van het proces 

 

image-20241211-115743.png