Vulnerabilities in onze IT, hoe vind ik ze en hoe houd ik ze onder controle?

juni 2020

Wat is een vulnerability (kwetsbaarheid)?

Een steeds belangrijker onderwerp in IT security is het onder controle brengen van onze IT omgeving als het gaat om de vulnerabilities die er leven. Wij brengen je graag op de hoogte op welke manier.

Een kwetsbaarheid in onze IT omgeving is een technische mogelijkheid waar cybercriminelen gebruik van kunnen maken om toegang te krijgen tot de IT omgeving. Dit kunnen veel verschillende kwetsbaarheden zijn. Van een opening in de beveiliging van IP camerasoftware tot een bug in de softwareversie van een server. Je kan je voorstellen dat vandaag de dag er zoveel kwetsbaarheden zijn dat je het eigenlijk niet meer zelf onder controle kan houden. Omgevingen begeven zich op zeer veel plaatsen, denk aan in de cloud, op het eigen IT platform, maar ook “Bring your own device” apparatuur. Een virus, malware of simpelweg een inbreker binnenbrengen op onveilige apparatuur die niet door de organisatie worden gemanaged is aan de orde van de dag.

CVSS

Deze kwetsbaarheden kan je toetsen met het Common Vulnerability Scoring System (CVSS). Dit is een gratis en open industriestandaard voor het beoordelen van de ernst van kwetsbaarheden in de IT omgeving. CVSS kent scores toe aan kwetsbaarheden, zodat we prioriteit kunnen geven op basis van de volgende zaken:

  • Hoeveel inzet is er nodig om de kwetsbaarheid te gebruiken.
  • Hoeveel impact is er als de kwetsbaarheid wordt gebruikt.
  • Hoe groot is de kans dat men deze kwetsbaarheid zal gebruiken.

CVSS kent een score toe op basis van formules. De hoogte van deze score is afhankelijk van de impact op gebruikers en het mogelijke effect van misbruik Scores variëren van 0 tot 10, waarbij 10 de meest ernstige is. De CVSS scores veranderen mee met de markt, de standaard zit op dit moment op versie 3.1. Met CVSS is er een open standaard waarin bijna alle kwetsbaarheden worden onderzocht en in kaart gebracht. Dit is één van de handvatten die we kunnen gebruiken om een goed overzicht te verkrijgen van alle kwetsbaarheden waaraan de IT omgeving bloot is gesteld. Ook worden alle nieuwe kwetsbaarheden zo snel mogelijk opgenomen in de CVSS database, zodat de markt zich hier tegen kan wapenen.

Penetratie testen

Een traditionele manier om te controleren of er “lekken” in de beveiliging van de IT-omgeving zitten is het uitvoeren van een penetratietest (pentest). Dit is een vrij arbeidsintensief project en omvat ook veel meer invalshoeken omdat de IT omgevingen veel groter zijn geworden. Ook het feit dat men veelal met een cloud- of een hybride cloud omgeving werkt, in combinatie met een “Bring your own device” beleid maakt het complexer de omgeving te beveiligen en dus ook te pentesten. Wij zien een grotere behoefte om voorafgaande aan de pentest onderzoek te doen naar de kwetsbaarheden die aanwezig zijn. De pentest wordt vervolgens ingezet als validatie op dit onderzoek.

Je kan het zien als de beveiligingsspecialist die eerst een ronde over het te beveiligen terrein maakt om de risico’s in kaart te brengen. Vervolgens bepaalt hij waar hij camera’s en bewegingsmelders wil plaatsen en bij welke deuren een bewaker moet staan. Daarna kan een zogenaamde “mystery guest” testen of hij binnen kan komen.
Vulnerability management (kwetsbaarheden managen)

Steeds vaker hebben organisaties een actief kwetsbaarhedenbeleid. Dit doet men om meerdere redenen.

Op de hoogte blijven van de nieuwste kwetsbaarheden;
Een real-life check of/en welke kwetsbaarheden er daadwerkelijk in de IT omgeving aanwezig zijn;
Volledig inzicht in welke apparatuur er allemaal met het netwerk connecteert;
Projectmatig inzicht in het elimineren van kwetsbaarheden op basis van prioriteit;
Prima meetinstrument voor de security afdeling om te zien welke doelen gehaald worden en welke nog gehaald moeten worden.

Je kan je voorstellen dat het handmatig doornemen van de volledige omgeving en alle crosschecks tussen softwareversie, type apparatuur en de CVSS database een enorme klus is. Zelfs als de IT omgeving niet zo groot is. Het is dus zeer aan te raden om oplossingen te implementeren die dit geautomatiseerd kan doen. Dit zijn vulnerability-management oplossingen. Er zijn momenteel meerdere op de markt die daadwerkelijk veel waarde toevoegen met verkrijgbare inzichten het inzicht.

Inzicht krijgen?

Als onze klanten vragen hebben over welke oplossingen/maatregelen nu prioriteit dienen te krijgen en echt waarde toevoegen, voeren wij een vulnerability assessment uit. Hiermee genereren we het inzicht over de status quo van de omgeving als het gaat om kwetsbaarheden.

Deze feiten geven vervolgens een heel duidelijk beeld over de te nemen stappen en de investeringen in financiële en operationele zin die hiermee gemoeid zijn.

 

Vulnerabilities in our IT: how do I find them and keep them under control?

juni 2020

Controlling our IT environment when it comes to the vulnerabilities that are present is becoming an increasingly important topic in IT security. We will be happy to tell you how to do this!

What is a vulnerability?

A vulnerability in our IT environment is a technical flaw that cybercriminals can use to gain access to the IT environment. This may involve many different vulnerabilities. They range from gaps in the security of IP camera software to bugs in the software version of a server. You can imagine that there are so many vulnerabilities these days that it is basically impossible to keep them all under control yourself. Environments cover many different locations, such as the cloud, your own IT platform, but also “Bring your own device” equipment. Giving a virus, malware or simply a hacker access to unsecured equipment that is not being managed by the organisation is something that happens every day.

CVSS

These vulnerabilities can be tested with the Common Vulnerability Scoring System (CVSS). This is a free and open industry standard for assessing the severity of vulnerabilities in the IT environment. CVSS assigns scores to vulnerabilities, allowing us to prioritise them based on the following aspects:

  • How much effort is required to make use of the vulnerability?
  • What is the impact if the vulnerability is used?
  • What is the probability of this vulnerability being used?

CVSS assigns a score based on formulas. The score value depends on the impact on users and the possible effect of misuse. Scores vary from 0 to 10, whereby 10 is the most severe. The CVSS scores change along with the market, the standard is currently at version 3.1. CVSS provides an open standard in which almost all vulnerabilities are investigated and mapped out. This is one of the tools that we can use to obtain a clear picture of all the vulnerabilities to which the IT environment is being exposed. Every new vulnerability is also added to the CVSS database as quickly as possible, allowing the market to arm itself against them.

Penetration testing

A traditional way of checking whether there are any “leaks” in the security of the IT environment is to perform a penetration test (pen test). This is a rather labour-intensive project and includes many more angles, because IT environments have become much bigger over time. The fact that a cloud or a hybride cloud environment is often used in combination with a “Bring your own device” policy also makes it more complex to secure the environment and perform pen tests as a result. We have noticed a greater need for investigating which vulnerabilities are present prior to a pen test. The pen test is then used to validate this investigation.

You could view this as a security specialist who first carries out an inspection round on the site to be secured to map out the risks. He then determines where cameras and motion detectors should be installed and at which doors guards should be posted. A so-called “mystery guest” can then test whether he can gain access.
Vulnerability management

An increasing number of organisations have an active vulnerability policy. This is done for various reasons:

Staying abreast of the latest vulnerabilities.
A real-life check of whether/which vulnerabilities are actually present in the IT environment.
Full picture of all the equipment that connects to the network.
Project-related insight into eliminating vulnerabilities based on priority.
A great tool for the security department to check which targets have been achieved and which ones still need to be achieved.

You can imagine that manually checking the whole environment and performing all the cross-checks between software versions, equipment types and the CVSS database is a huge undertaking, even if the IT environment is not that large. So it is highly advisable to implement solutions that can do this automatically. These are vulnerability management solutions. Several of them are currently available, which really add a lot of value with the insights they provide.

Do you want more insight?

When our customers have questions about which solutions/measures should be prioritised and truly provide added value, we carry out a vulnerability assessment. This allows us to obtain an insight into the status quo of the environment in terms of vulnerabilities.

These facts provide a very clear picture of the steps to be taken and the associated investments in a financial and operational sense.

If you are curious about how this works exactly, feel free to contact me; I will be happy to tell you all about it.

Alwin Veen – Product specialist
a.veen@felton.nl
06-52869094