Document toolboxDocument toolbox

5.6.4. De details over 'vulnerability scans'

Wat is het?
Met “vulnerability scans” doelen we op (geautomatiseerde) scans van een toepassing en haar onderliggende infrastructuur. Deze gaan op zoek naar onder andere op kwetsbare varianten van infrastructuurcomponenten die niet de juiste patches hebben geïnstalleerd. Ze kunnen ook gekend kwetsbare instellingen opsporen. Dit is een scan die meestal op regelmatige intervals gebeurd, bijvoorbeeld één keer per maand.

De waarschuwingen en opgespoorde issues die hieruit voortkomen, behandel je als een security incident. Deze controles staan beschreven op de pagina 4.5. Minimale maatregelen - Incidentbeheer.

Als je diensten afneemt van een Security Operations Center (SOC), kun je dat in deze context beheren. Dit zal ook helpen om heel kort op de bal te spelen als er een issue is met een grote reikwijdte. Een snelle reactie op een melding of incident zorgt voor een risicoreductie en heeft budgettaire voordelen.

In welke omgeving doe je vulnerability scans?

  • Als de acceptatie-omgeving op exact dezelfde manier is ingericht als de productieomgeving, kunnen “vulnerability scans” gebeuren in de acceptatie-omgeving vóór een gewijzigde architectuur live gaat, bijvoorbeeld in parallel met integratietests. Dit geldt dan enkel voor testen in het kader van een wijziging

  • Als dat niet zo is, kun je “false positive” kwetsbaarheden vinden en moet je sowieso dezelfde oefening nog eens opnieuw doen in productie. Of kun je bepaalde reële kwetsbaarheden niet vinden omdat de context anders is. Dit is een verlies van tijd, energie en geld

  • Recurrente testen gebeuren in de productieomgeving. Deze gebeuren met de reguliere producten die op de markt beschikbaar zijn volledig automatisch

Wat?

  • De scope van kwetsbaarheden waartegen je scant, leg je vast in overleg met de specialist informatieveiligheid van je entiteit. Dit leidt tot het instellen van parameters in de gebruikte tooling

  • Je maakt een risico-afweging van welke kwetsbaarheden je moet oplossen

  • Het streefdoel is dat je zoveel mogelijk kwetsbaarheden oplost in de mate van het financieel/projectmatig haalbare

  • Als er rest-risico’s zijn, moet de toepassingsbeheerder deze formeel laten aanvaarden door het top management, zoals beschreven staat op pagina 5.5. Minimale maatregelen - proces risicobeheer

Welke tools?

  • De Vlaamse overheid legt geen specifieke tools op. Het team Informatieveiligheid kan wel advies

  • verlenen Dit is een dienst die je kunt afnemen binnen het raamcontract

Scope?

  • Alle toepassingen en hun onderliggende infrastructuurcomponenten die zich binnen de verantwoordelijk van de Vlaamse overheid bevinden

  • Deze toepassingen en hun infrastructuurcomponenten kunnen in eigen beheer zijn, of gelegeerd naar een leverancier.

  • In het geval van uitbesteding, moet je contractueel afdekken dat de leveranciers deze controles uitvoert en dat de Vlaamse overheid inzicht krijgt in de resultaten en remediëring van de gevonden kwetsbaarheden