Scannen op kwetsbaarheden

Een onmisbare gids voor het identificeren en prioriteren van kwetsbaarheden

Scannen op en identificeren van beveiligingsrisico's is een integraal onderdeel van het handvest inzake beveiliging van elk bedrijf. Zodra u heeft vastgesteld welke kwetsbaarheden er in uw omgeving zijn, kunt u de kwetsbaarheid verhelpen om het risicoprofiel van uw bedrijf te verlagen.
Een onmisbare gids voor het identificeren en prioriteren van kwetsbaarheden

Scannen op en identificeren van beveiligingsrisico's is een integraal onderdeel van het handvest inzake beveiliging van elk bedrijf. Maar voordat u de risico's voor uw bedrijf kunt identificeren, moet u vaststellen welke technologie en services uw bedrijf gebruikt. Met een activum- of servicevoorraad kan uw beveiligingsteam bepalen wat er gescand of op doordringing getest moet worden.  

Denk eerst na over een aantal basisvragen:

  • Draait mijn bedrijf in een publieke cloudomgeving (bijvoorbeeld AWS, GCP)?
  • Welke leveranciers of open source-producten en -software gebruiken we?
  • Welke besturingssystemen gebruiken we?

Zodra deze (en nog vele andere!) vragen zijn beantwoord, kunt u de juiste tools voor de kwestie kiezen.

Scannen op kwetsbaarheden

Kwetsbaarheidsscanners zijn tools die helpen bij het identificeren van kwetsbaarheden in componenten zoals applicaties, infrastructuur en netwerken middels geautomatiseerde scans. Elk activum wordt gescand op mogelijke kwetsbaarheden, zoals het gebruik van een component met een bijbehorende CVE, een onbedoeld bestand dat op internet wordt weergegeven, of het gebruik van standaard inloggegevens. Bij sommige scanners kan de gebruiker een aantal regels configureren waarmee de begrenzing van de scan en het type scan dat wordt uitgevoerd, kan worden ingesteld.

Er zijn twee primaire methoden voor het uitvoeren van scans: credentialed scans en non-credentialed scans.

Credentialed scans omvatten uitgebreide scans binnen de omgeving. Bij deze aanpak krijgen de scantools bevoorrechte toegang via een serviceaccount of een agent die op het apparaat is geïnstalleerd om de omgeving te verkennen op kwetsbaarheden. Door de activa grondig te onderzoeken, kunnen credentialed scans zwakke configuraties en kwetsbaarheden blootleggen.

Aan de andere kant zijn er voor non-credentialed scans geen credentials nodig om toegang te krijgen tot het gescande activum. In vergelijking met credentialed scans leveren non-credentialed scans minder gedetailleerde bevindingen op, omdat de scanner geen volledig beeld van de omgeving heef. Deze scans worden meestal gebruikt door doordringingstesters, onderzoekers en aanvallers om inzicht te krijgen in de externe risico's die het activum met zich meebrengt.

Door gebruik te maken van credentialed en non-credentialed scans kunnen organisaties waardevolle inzichten krijgen in de kwetsbaarheden in de omgeving, zodat ze weloverwogen beslissingen kunnen nemen om de beveiligingsmaatregelen te verbeteren.

Terwijl de resultaten van een kwetsbaarhedenscan nuttige informatie bieden en de hoogwaardige beveiliging van het systeem tonen, omvat een doordringingstest een grondige analyse van de beveiligingsrisico's in de omgeving.

Doordringingstesten

Een andere effectieve aanpak om kwetsbaarheden in de omgeving te identificeren is door een doordringingstest uit te voeren. In dit proces valt een beveiligingsingenieur het systeem aan om de kwetsbaarheid en mogelijke exploits te ontdekken. Om een realistisch cyberaanvalscenario te creëren, kan de doordringingstester zelfs de tactieken, technieken en procedures (TTP's) stimuleren die door vijanden worden gebruikt.

Bedrijven huren vaak extern iemand in om doordringingstesten uit te voeren, omdat de meest waardevolle resultaten worden behaald wanneer een doordringingstest wordt uitgevoerd door iemand die niet bekend is met de omgeving.

Dit wordt ook wel een externe doordringingstest genoemd. Maar er zijn tegenwoorden veel meer bedrijven die hun eigen offensieve beveiligingsteams hebben om een interne doordringingstest uit te voeren. Zowel interne als externe doordringingstesten zijn zeer nuttig, omdat hun twee cases respectievelijk een aanvaller binnen en buiten het netwerk omvatten.

Een doordringingstest bestaat uit zeven hoofdstappen:

  1. Pre-engagement
  2. Verkenning of open source-intelligence (OSINT) verzamelen
  3. Scannen of ontdekken
  4. Kwetsbaarheidsbeoordeling (toegang krijgen)
  5. Exploitatie (toegang behouden)
  6. Post-exploitatie, rapporteren en risicoanalyse
  7. Sanering

Na afloop van de test wordt een rapportage gegenereerd met alle kwetsbaarheden die zijn gevonden, inclusief hun risicobeoordeling en saneringsdetails. Dit helpt organisaties om de problemen aan te pakken en hun beveiliging in de omgeving te versterken.

Prioriteitstelling van bevindingen

Zodra u heeft vastgesteld welke kwetsbaarheden in uw omgeving zijn middels geautomatiseerde scans en doordringingstesten, is de volgende stap om de kwetsbaarheid verhelpen om het risicoprofiel van uw bedrijf te verlagen. Misschien denkt u: "Ik heb een lijst met duizenden kwetsbaarheden, hoe kan ik deze allemaal prioriteit geven?" We hebben goed nieuws, prioriteitstelling is niet nodig! Hoewel u zich zou kunnen richten op wat de tools zeggen over de ernst van de kwetsbaarheid, is het effectiever om prioriteiten te stellen op basis van de impact van de kwetsbaarheid op uw bedrijf. Hiervoor moet u bepalen welke services, omgevingen en producten het belangrijkst zijn voor uw bedrijf: Is deze service of dit product klantgericht? Bevat het klantgegevens? Zal het leiden tot aanzienlijk omzetverlies als er downtime is?

Door de bedrijfsimpact met de ernst van de kwetsbaarheid te combineren, kunt u een geprioriteerde lijst opstellen van kwetsbaarheden die moeten worden verholpen, te beginnen met de belangrijkste kwetsbaarheden en services, waardoor die lijst van duizenden verandert in een van honderden of zelfs minder!

Aanbevolen verhalen