Patchen: Hoe organisaties kwetsbaarheidsbeheer kunnen beheersen

Het uitbuiten van kwetsbaarheden is al lange tijd een populaire tactiek onder dreigingsactoren. Maar deze methode wordt steeds vaker toegepast – een feit dat elke netwerkbeheerder zou moeten alarmeren. Het aantal waargenomen gevallen waarin kwetsbaarheden worden uitgebuit en leidde tot datalekken is in 2023 verdrievoudigd volgens een schatting. Aanvallen die zich richten op beveiligingslekken blijven een van de drie belangrijkste methoden voor ransomware-aanvallen.

Nu het aantal CVE’s (Common Vulnerabilities and Exposures) recordhoogtes blijft bereiken, worstelen organisaties met het bijhouden ervan. Een meer consistente, geautomatiseerde en op risico gebaseerde aanpak is essentieel om kwetsbaarheidsgerelateerde dreigingen te beperken.

Overbelasting door bugs

Softwarekwetsbaarheden zijn onvermijdelijk. Zolang mensen computercode schrijven, zullen menselijke vergissingen in het proces sluipen, resulterend in bugs die kwaadwillenden vakkundig uitbuiten. Dit gebeurt vaak op grote schaal en met hoge snelheid, waardoor niet alleen ransomware en datadiefstal een risico vormen, maar ook geavanceerde spionageoperaties en destructieve aanvallen.

Helaas blijft het aantal CVE's dat elk jaar wordt gepubliceerd hardnekkig hoog, dankzij verschillende factoren:

• Complexiteit en afhankelijkheden
  Nieuwe softwareontwikkeling en continue integratie leiden tot steeds complexere systemen en frequente updates. Dit vergroot het aanvalsoppervlak en introduceert soms nieuwe kwetsbaarheden. Tegelijkertijd gebruiken bedrijven nieuwe tools die vaak afhankelijk zijn van componenten van derden, open-source bibliotheken en andere afhankelijkheden die onontdekte kwetsbaarheden kunnen bevatten. 
• Snelheid boven veiligheid
  Snelheid krijgt vaak voorrang op beveiliging, wat betekent dat er software wordt ontwikkeld zonder adequate codecontroles. Hierdoor kunnen bugs in productiecode sluipen - soms afkomstig van de open source componenten die door ontwikkelaars worden gebruikt.
• Meer ethische onderzoekers
  Dankzij de toename van bug bounty-programma’s van organisaties zoals het Pentagon en Meta worden steeds meer kwetsbaarheden ontdekt en verantwoord gemeld. Als bedrijven patches echter niet tijdig toepassen, blijven zij blootgesteld aan exploits.
• Legale grijze gebieden rond commerciële spyware
  Commerciële spywareleveranciers opereren in een juridisch grijs gebied en verkopen malware en exploits voor hun klanten - vaak autocratische regeringen - om hun vijanden te bespioneren. Het Britse National Cyber Security Centre (NCSC) schat dat de commerciële “cyberinbraaksector” elke tien jaar verdubbelt.
• Professionalisering van de cybercrimeketen
  De toeleveringsketen van cybercriminaliteit wordt steeds professioneler, met initiële toegangsmakelaars (IAB's) die zich uitsluitend richten op het binnendringen van slachtofferorganisaties - vaak via uitbuiting van kwetsbaarheden. Een rapport uit 2023 registreerde een toename van 45% van het aantal IAB's op cybercrimeforums, en een verdubbeling van het aantal IAB-advertenties op het dark web in 2022 ten opzichte van de voorgaande 12 maanden.
  
  

Welke kwetsbaarheden domineren het dreigingslandschap?

De kwetsbaarheden die het meest worden misbruikt, vertonen een combinatie van continuïteit en verandering. Veel van de gebruikelijke verdachten komen voor in MITRE's top 25 van de meest voorkomende en gevaarlijke softwarefouten die tussen juni 2023 en juni 2024 zijn gezien. Veelvoorkomende categorieën, zoals cross-site scripting (XSS), SQL-injectie, use-after-free, out-of-bounds read, code-injectie en cross-site request forgery (CSRF), blijven prominent aanwezig. Omdat deze bekend zijn bij cybersecurityprofessionals, kunnen ze doorgaans effectiever worden aangepakt via verbeterde beveiliging en DevSecOps-praktijken.

Andere trends zijn zorgwekkender. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) beweert in zijn lijst van 2023 Top Routinely Exploited Vulnerabilities (Top routinematig geëxploiteerde kwetsbaarheden) dat een meerderheid van deze zwakke plekken aanvankelijk als zero-day werd geëxploiteerd. Dit betekent dat er op het moment van exploitatie nog geen patches beschikbaar waren, waardoor organisaties afhankelijk waren van alternatieve verdedigingsmechanismen om hen veilig te houden of om de impact te minimaliseren..

Daarnaast wordt ook vaak de voorkeur gegeven aan bugs met een lage complexiteit die weinig of geen interactie met de gebruiker vereisen. Een voorbeeld hiervan zijn de zero-click exploits die commerciële spywareleveranciers aanbieden om hun malware in te zetten.

Een andere trend is om onderdelen in de omgeving aan te vallen met het misbruiken van kwetsbaarheden. Het National Cyber Security Centre (NCSC) heeft gewaarschuwd voor een toename van dergelijke aanvallen, waarbij het vaak gaat om zero-day exploits die gericht zijn op toepassingen voor bestandsoverdracht, firewalls, VPN's en MDM-aanbiedingen (mobile device management). 

“Aanvallers hebben ontdekt dat de meeste perimeterproducten niet ‘secure by design’ zijn. Dit maakt het gemakkelijker om kwetsbaarheden te vinden in vergelijking met populaire clientsoftware. Bovendien ontbreekt vaak adequate logging, waardoor deze producten ideale springplanken vormen binnen netwerken.” – National Cyber Security Centre (NCSC)

Toenemende uitdagingen

Naast de groeiende dreiging maken verschillende factoren het kwetsbaarheidsbeheer nóg lastiger:

• De enorme snelheid waarmee kwetsbaarheden worden uitgebuit. Onderzoek van Google Cloud schat dat de gemiddelde tijd om kwetsbaarheden te misbruiken in 2023 slechts vijf dagen zal bedragen, terwijl dat eerder 32 dagen was.
• De complexiteit van de huidige IT- en OT/IoT-systemen van bedrijven, die hybride en multi-cloudomgevingen omvatten met vaak ondergeschikte legacy-technologie.
• Kwalitatief slechte leverancierspatches en verwarrende communicatie, waardoor verdedigers dubbel werk doen en vaak niet in staat zijn om hun risicoblootstelling effectief in te schatten.
• Een NIST NVD-achterstand waardoor veel organisaties niet beschikken over een essentiële bron van actuele informatie over de nieuwste CVE's.

Volgens een analyse van Verizon van de KEV-catalogus (Known Exploited Vulnerabilities) van CISA was:

• na 30 dagen 85% van de kwetsbaarheden niet verholpen
• na 55 dagen 50% van de kwetsbaarheden niet verholpen
• na 60 dagen was 47% van de kwetsbaarheden niet verholpen
  
  

Tijd om te patchen

De waarheid is dat er gewoonweg te veel CVE's per maand worden gepubliceerd, op te veel systemen, voor IT- en beveiligingsteams van bedrijven om ze allemaal te patchen. De focus moet daarom liggen op het effectief prioriteren op basis van risicobereidheid en ernst. Overweeg de volgende functies voor elke oplossing voor kwetsbaarheden- en patchbeheer:

✔ Automatische scans van de IT-omgeving op bekende CVE’s
✔ Kwetsbaarheid prioriteren op basis van ernst
✔ Gedetailleerde rapportages voor het identificeren van onder andere kwetsbare software en bedrijfsmiddelen, relevante CVE's en patches
✔ Flexibiliteit om specifieke bedrijfsmiddelen te selecteren voor patching volgens de behoeften van de onderneming
✔ Geautomatiseerde of handmatige patchingopties

Voor zero-day dreigingen kun je advanced threat detection overwegen, die automatisch mogelijke exploits uitpakt en scant en in een cloud-gebaseerde sandbox uitvoert om te controleren of het kwaadaardig is of niet. Machine-learningalgoritmen kunnen op de code worden toegepast om binnen enkele minuten nieuwe bedreigingen met een hoge mate van nauwkeurigheid te identificeren, deze automatisch te blokkeren en een status van elk monster te geven.

Andere tactieken zijn bijvoorbeeld microsegmentatie van netwerken, zero trust-netwerktoegang, netwerkmonitoring (op ongewoon gedrag) en sterke awarenessprogramma's voor cybersecurity.

Naarmate dreigingsactoren steeds meer eigen AI-tools gaan gebruiken, zal het voor hen gemakkelijker worden om te scannen op kwetsbare bedrijfsmiddelen die blootstaan aan aanvallen via internet. Na verloop van tijd kunnen ze GenAI misschien zelfs gebruiken om zero-day kwetsbaarheden te vinden. De beste verdediging is om op de hoogte te blijven en regelmatig in gesprek te blijven met vertrouwde beveiligingspartners.