Kwetsbaarheden in je it omgeving zo pak je ze aan
In onze vorige blog keken we naar het verschil tussen updates en patches. De belangrijkste conclusie? Hoe je het ook noemt, als een kwetsbaarheid zich voordoet in je software, hardware of firmware, dan moet die eruit. Maar welke maatregelen kun je treffen om die kwetsbaarheden aan te pakken? Daar kijken we naar in deze blog.
Alles begint met inzicht
Veel organisaties hebben überhaupt geen inzicht in welke systemen kwetsbaar zijn. Als je niet weet dat je IT-omgeving kwetsbaarheden heeft, kun je je er ook niet tegen wapenen. Als een kwetsbaarheid openbaar wordt gemaakt, is het zaak zo snel mogelijk te ontdekken of jouw organisatie met deze kwetsbaarheid te maken heeft en – als dat het geval is – deze zo snel mogelijk te verhelpen. Met dat ontdekken gaat het vaak al mis. Vaak wordt er een scriptje uitgebracht waarmee je kunt uitvinden of je kwetsbaar bent. Met dat scriptje moet de IT-beheerder elke server langs. Dat kost aardig wat tijd. Wij hebben klanten die – voor ze klant bij ons waren natuurlijk – soms wel tot tien dagen bezig zijn geweest om te ontdekken of ze kwetsbaar waren of niet. In die tien dagen kan er heel wat fout gaan.
Zero days
Zero-day-aanvallen zijn computeraanvallen waarbij wordt geprobeerd misbruik te maken van een kwetsbaarheid in software, hardware of firmware die nog onbekend is bij de leverancier van de software. Omdat de ontdekker van de kwetsbaarheid deze niet meldt bij de softwarebouwer, heeft deze dus nog geen patch of update. Het begrip ‘zero days’ verwijst naar het aantal dagen dat de softwareleverancier heeft om een patch uit te brengen en de gebruikers van zijn applicatie of systeem te beschermen. Gelukkig ben je niet per se afhankelijk van een script of een patch van een softwareleverancier.
Segmentatie
Door je netwerk te segmenteren, breng je als het ware een beschermingslaag aan tussen de verschillende segmenten, zo adviseert ook het Nationaal Cyber Security Centrum. Als dan de beveiliging van één zone wordt aangetast, kan dat niet direct overslaan naar andere zones. Het is natuurlijk wel zaak dat die segmentatie goed wordt uitgevoerd. In de praktijk blijkt nogal eens dat er toch te veel verkeer wordt doorgelaten, omdat men niet precies weet hoe systemen met elkaar communiceren. Het streven moet altijd zijn om zo min mogelijk netwerkverkeer toe te staan, zonder dat dat je bedrijfsprocessen verstoort. Zo had voorkomen kunnen worden dat Log4j, een kritieke kwetsbaarheid in applicaties die de Apache-loggingmodule gebruiken, zou leiden tot het downloaden van malware om het kwetsbare systeem over te nemen.
Virtual patching
Een andere maatregel is het plakken van virtuele pleisters. Een Intrusion Prevention System (IPS) is een module op een firewall, dat je bedrijfsnetwerk voortdurend controleert op kwaadwillende activiteiten en aanvalspatronen herkent en blokkeert. Zo kun je kwetsbare systemen eenvoudig virtueel patchen en beschermen tegen bekende kwetsbaarheden waar nog geen patch voor is uitgebracht of waar nog geen patch kan worden toegepast. Zo’n IPS beschermt je dus ook voordat er een ‘officiële’ patch bestaat.
Kwetsbaarheidsscanner
Tenslotte is vulnerability-scanning een andere maatregel die je kunt treffen. Wat wij echter vaak zien is dat bedrijven dit wel doen, maar bijvoorbeeld twee keer per jaar. Als je weet dat alleen al in de eerste vijf maanden van dit jaar er meer dan dertigduizend nieuwe kwetsbaarheden zijn gevonden, begrijp je dat dit onvoldoende is. Om deze maatregel effectief te laten zijn, moet het een continu proces zijn.
Meer weten?
Benieuwd wat voor jouw organisatie de beste maatregelen zijn om kwetsbaarheden aan te pakken? Neem gerust vrijblijvend contact met ons op. We leren je graag kennen. Op de hoogte blijven van onze blogs? Volg onze LinkedIn-pagina.
