5.6.5. Vulnerability scans (Proces Kwetsbaarhedenbeheer) 3.0
- Kenzo Vertenten (VO)
- Tom De Cubber
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
Wat is het?
Met “vulnerability scans” doelen we op (geautomatiseerde) scans waarbij toepassingen en hun onderliggende infrastructuur regelmatig worden gecontroleerd op bekende kwetsbaarheden zoals ontbrekende patches of misconfiguraties.
In welke omgeving doe je vulnerability scans?
Als de acceptatie-omgeving op exact dezelfde manier is ingericht als de productieomgeving, kunnen “vulnerability scans” gebeuren in de acceptatie-omgeving vóór een gewijzigde architectuur live gaat, bijvoorbeeld in parallel met integratietests. Dit geldt dan enkel voor testen in het kader van een wijziging
Als dat niet zo is, kun je “false positive” kwetsbaarheden vinden en moet je sowieso dezelfde oefening nog eens opnieuw doen in productie. Of kun je bepaalde reële kwetsbaarheden niet vinden omdat de context anders is. Dit is een verlies van tijd, energie en geld
Recurrente testen gebeuren in de productieomgeving. Deze gebeuren met de reguliere producten die op de markt beschikbaar zijn volledig automatisch
Wat te doen?
Vulnerability scans worden gebruikt om bekende kwetsbaarheden in systemen en applicaties te identificeren. Dit omvat regelmatig geautomatiseerde scans van servers, netwerken en applicaties om potentiële risico's zoals ontbrekende patches, misconfiguraties, en verouderde software te detecteren. Bij het uitvoeren van vulnerability scans, kun je de volgende richtlijnen aanhouden:
Gebruik van geautomatiseerde tools
Maak gebruik van scanning tools die gebruik maken van kwetsbaarheidsdatabases, zoals de Common Vulnerabilities and Exposures (CVE), om bekende zwakke plekken te identificeren.Integratie met CVE-databases
Zorg ervoor dat de gebruikte scanning tools geïntegreerd zijn met de meest recente kwetsbaarheidsdatabases zoals CVE security vulnerability database. Security vulnerabilities, exploits, references and more , zodat de nieuwste kwetsbaarheden tijdig worden gesignaleerd.Risico-afweging
Na een scan maak je een afweging welke kwetsbaarheden het meest kritiek zijn voor jouw organisatie. Hierbij kan het CVSS-score systeem (Common Vulnerability Scoring System) helpen om prioriteiten te stellen op basis van de impact en exploitability van de kwetsbaarheid.Rapportage en validatie
Zorg ervoor dat de resultaten van de vulnerability scan duidelijk worden gerapporteerd en dat er validatie plaatsvindt nadat kwetsbaarheden zijn aangepakt. Dit betekent dat er na patching of mitigatie een her-scan moet plaatsvinden om te controleren of de kwetsbaarheid is opgelost.Regelmatige uitvoering
Scans moeten regelmatig worden uitgevoerd, afhankelijk van de risico-appetijt en de gevoeligheid van de systemen. Voor kritieke systemen kan dit bijvoorbeeld wekelijks of maandelijks zijn, terwijl minder kritische systemen op een lagere frequentie worden gescand.
Welke tools?
De Vlaamse overheid legt geen specifieke tools op. Het team Informatieveiligheid kan wel advies verlenen. Dit is een dienst die je kunt afnemen binnen het raamcontract.
Scope?
De scope van vulnerability scans strekt zich uit over alle toepassingen en hun onderliggende infrastructuurcomponenten die onder de verantwoordelijkheid van de Vlaamse overheid vallen. Deze kunnen intern beheerd worden of uitbesteed zijn aan een leverancier. In geval van uitbesteding, moet je contractueel afdekken dat de leverancier zowel vulnerability scans uitvoert als externe meldingen beheert, en dat de Vlaamse overheid inzicht krijgt in de resultaten en remediëring van gevonden kwetsbaarheden. Hoe betrokken je hierin bent, hangt af van je risico-appetijt, zoals ook reeds hierboven besproken.
Opgelegde beperkingen?
Vulnerability scans mogen in geen geval de operationele setup van systemen beïnvloeden of in gevaar brengen. De primaire systeemfuncties moeten altijd beschikbaar blijven, en de stabiliteit, beschikbaarheid of prestaties van het systeem mogen niet worden verstoord.
Bij vulnerability scans, die standaard op afstand worden uitgevoerd, moeten extra voorzorgsmaatregelen worden getroffen om datalekken te voorkomen, met name bij systemen die gevoelige data bevatten. Dit omvat het versleutelen van gegevens tijdens de transmissie, het beperken van de toegang tot gevoelige systemen tijdens de scan, en het toepassen van strikte toegangs- en loggingmaatregelen.