/
Kwetsbaarhedenbeheer


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Kwetsbaarhedenbeheer

  • GEVALIDEERD

    • Kwetsbaarhedenbeheer (vulnerability management) is het proces van identificeren, beoordelen, rapporteren, beheren en verhelpen van kwetsbaarheden op gebruikersapparatuur, infrastructuurcomponenten en toepassingen.

    Inhoud

     

     

    Doel

     

    Het primaire doel van een beleid voor kwetsbaarhedenbeheer is het beschermen van de organisatie tegen de exploitatie van kwetsbaarheden, die kunnen leiden tot ongeautoriseerde toegang, datadiefstal, netwerkinbreuken en diverse andere cyberaanvallen.

    Dit beleid stelt een systematisch en gestructureerd kader vast voor het identificeren, evalueren, prioriteren en aanpakken van kwetsbaarheden binnen alle onderdelen van de organisatie, waaronder gebruikersapparatuur, infrastructuurcomponenten en softwaretoepassingen. Het richt zich op het proactief verminderen van risico's en het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van de informatiesystemen. Door het vaststellen van duidelijke procedures en verantwoordelijkheden helpt dit beleid bij het continu monitoren en verbeteren van de beveiligingsmaatregelen van de organisatie.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.12

      We hebben zicht op potentiële dreigingen en kwetsbaarheden en treffen passende mitigerende maatregelen.
    • Page:
      OD.14

      We faciliteren en ondersteunen de melding van kwetsbaarheden en gebeurtenissen.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

    Wat zijn kwetsbaarheden?

    Kwetsbaarheden (vulnerabilities) verwijzen naar zwakke punten, gebreken of tekortkomingen in een softwaresysteem, hardware, netwerk of toepassing die kunnen worden geëxploiteerd door cyberaanvallers om ongeautoriseerde toegang te verkrijgen of schade aan te richten. Deze kwetsbaarheden kunnen ontstaan door een verscheidenheid aan factoren:

    • Softwarefouten: Programmeringsfouten of bugs in software kunnen leiden tot kwetsbaarheden. Voorbeelden hiervan zijn onjuiste invoervalidatie, inadequate foutafhandeling, en kwetsbaarheden in de beveiliging van applicaties.

    • Configuratiefouten: Onjuiste of suboptimale configuraties van systemen en netwerken kunnen zwakke punten creëren. Dit kan variëren van slecht geconfigureerde firewalls tot onbeveiligde databasetoegang.

    • Ontwerpfouten: Zwakke punten kunnen ook inherent zijn aan het ontwerp van de software of het systeem, waarbij de architectuur van de applicatie of het netwerk beveiligingslacunes vertoont.

    • Verouderde hardware of software: Het gebruik van verouderde hardware of software die niet langer wordt ondersteund of geactualiseerd, kan kwetsbaarheden in de hardware chips of software code bevatten die niet kunnen worden aangepakt.

    Kwetsbaarheden kunnen worden geclassificeerd op basis van hun ernst. De ernst van een kwetsbaarheid wordt bepaald aan de hand van de volgende factoren:

    • De beschikbaarheid van een exploit: Is er al een exploit beschikbaar die de kwetsbaarheid kan uitbuiten?

    • De impact van de exploit: Hoe ernstig kunnen de gevolgen van de exploit zijn als deze wordt uitgevoerd?

    Toepassingsgebied van kwetsbaarhedenbeheer

    Procedures voor het beheer van technische kwetsbaarheden moeten worden toegepast op volgende bedrijfsmiddelen:

    • Applicaties, besturingssysteemsoftware, middleware en firmware op:

      • Computerapparatuur (met inbegrip van servers en desktopcomputers)

      • Mobiele apparaten (met inbegrip van tablets en smartphones)

      • Virtuele systemen (met inbegrip van virtuele servers, virtuele desktops en virtuele toepassingen)

      • Netwerkopslagsystemen (met inbegrip van storage area networks (SAN) en network-attached storage (NAS))

      • Netwerkapparatuur (met inbegrip van routers, switches, draadloze toegangspunten (access points) en firewalls)

      • VoIP-telefoniesoftware en vergaderapparatuur

      • Kantoorapparatuur (met inbegrip van netwerkprinters, kopieerapparaten, multifunctionele apparaten, enz.)

      • Gespecialiseerde systemen, waaronder systemen die industriële besturingssystemen ondersteunen (bijv. SCADA-systemen, Distributed Control Systems (DCS), Programmable Logic Controllers (PLC), IoT-apparaten, enz.)

    Kortom, kwetsbaarhedenbeheer is van toepassing op alle gebruikersapparatuur, infrastructuurcomponenten, software en toepassingen binnen de organisatie, ongeacht of deze zelf ontwikkeld of aangekocht zijn.

    Het identificeren van technische kwetsbaarheden

    Het identificeren van kwetsbaarheden is de eerste stap in het kwetsbaarhedenbeheerproces.

    Om kwetsbaarheden te identificeren, kan de organisatie gebruik maken van diverse methodes, waaronder:

    • Vulnerability scanners: Deze tools scannen systemen, netwerken en applicaties op bekende kwetsbaarheden.

    • Penetration tests: Onderzoek en simulatie van cyberaanvallen om kwetsbaarheden in systemen, applicaties en netwerken te identificeren.

    • Code reviews: Handmatige of geautomatiseerde beoordeling van de broncode van een applicatie om kwetsbaarheden te vinden.

    • Responsible disclosure: Het proces voor het melden van kwetsbaarheden door gebruikers of professionals (bijvoorbeeld ethische hackers).

    Het wordt aanbevolen om een combinatie van de bovengenoemde methodes te gebruiken om de effectiviteit van het identificeren van technische kwetsbaarheden te waarborgen. Deze aanpak dient afgestemd te zijn op de informatieklasse (zie het Vo-ICR) van de betreffende bedrijfsmiddelen. Het ontwerpen en ontwikkelen van veilige systemen en software dient ook te voldoen aan Veilig ontwerpen en ontwikkelen.

    Om de detectie van technische kwetsbaarheden mogelijk te maken is het belangrijk dat de organisatie een volledig en actueel overzicht heeft (asset management) van alle bedrijfsmiddelen, inclusief informatie over de vendor (fabrikant), versie en end-of-life informatie, specifiek gebruik binnen de organisatie en eigenaar ervan. Zie IT service management voor meer informatie.

    Vulnerability scan

    Vulnerability scans zijn geautomatiseerde processen die applicaties en hun onderliggende infrastructuur doorzoeken op kwetsbaarheden, zoals componenten die niet de juiste beveiligingsupdates of bekende kwetsbare configuraties hebben. Deze scanners gebruiken een database met bekende kwetsbaarheden om te controleren of dergelijke kwetsbaarheden aanwezig zijn in de gescande systemen.

    Vulnerability scans kunnen effectief worden ingezet in combinatie met netwerkdiscovery scans. Het doel van een netwerkdiscovery scan is om een volledig overzicht te verkrijgen van alle hardware en software binnen het netwerk, waardoor kwetsbaarheden in onbekende of niet-beheerde bedrijfsmiddelen ook geïdentificeerd kunnen worden.

    Bij het plannen van vulnerability scans is het essentieel om de scope, het tijdstip en de frequentie zorgvuldig te bepalen. Dit zorgt ervoor dat geen enkel bedrijfsmiddel over het hoofd wordt gezien, de beschikbaarheid van de productieomgeving niet wordt beïnvloed, en dat bekende kwetsbaarheden binnen een redelijke termijn kunnen worden aangepakt.

    Penetratietest

    Bij penetratietesten (of pentesten) wordt een gespecialiseerde tester ingeschakeld die kwetsbaarheden in specifieke applicatie onderzoekt. Deze testen hebben een duidelijk gedefinieerde scope, aanvalsvectoren en timing.

    Penetratietesten kunnen plaatsvinden in de acceptatieomgeving als deze identiek is aan de productieomgeving. De timing van deze testen moet zo gepland worden dat ze geen piekmomenten in de productieomgeving verstoren. Recurrente testen vinden doorgaans plaats in de productieomgeving.

    Er zijn drie soorten penetratietesten:

    Dit is een document voor publiek gebruik.