Van paniek naar proces: de belangrijkste KPI bij kwetsbaarheden
Ondanks het groeiende aantal aanvallen van buitenaf en pogingen om kwetsbaarheden te misbruiken, is er binnen veel organisaties geen duidelijk proces om kwetsbaarheden aan te gaan. Security-teams worstelen al met rapportages: welke KPI’s maken we de board duidelijk wat er speelt op het gebied van netwerkbeveiliging? Vaak leiden deze strubbelingen ertoe dat er op de verkeerde metrics wordt gerapporteerd, zoals het aantal virusaanvallen.
Dit soort KPI’s zeggen namelijk niets over de veiligheid van het netwerk. Het aantal aanvallen geeft aan dat je - net als alle andere organisaties - een doelwit bent. Maar het zegt niets over het vermogen om deze aanvallen te weerstaan. Wat wél iets zegt over je netwerkbeveiliging, is de time-to-patch - de tijd die je nodig hebt om kwetsbaarheden te patchen vanaf het moment dat de kwetsbaarheid bekend is.
Het belang van time-to-patch als KPIOngepatchte kwetsbaarheden zijn een van de meest voorkomende toegangswegen voor aanvallen. KPI’s rond patching zijn dan ook essentieel om de focus op security te behouden te midden van deze verschillende belangen. Hoe snel ben je in staat bedreigingen te verhelpen? Worden je patching-processen doorlopend verbeterd? Door dit soort vragen als richtlijn te gebruiken, kunt je concreet sturen op verbetering van je netwerkbeveiliging.. |
Hoe zet je nu een gedegen patchingproces op? Daar moet je een aantal belangrijke stappen voor nemen:
1. Neem verantwoordelijkheid
Maak duidelijke afspraken over verantwoordelijkheid. Wie is verantwoordelijk voor het grote plaatje? Wie is verantwoordelijk voor informatievergaring? Wie doet de patching? Het toewijzen van verantwoordelijkheden is het begin van ieder goedlopend proces.
2. Weet wat er speelt
Ontwikkel een goed beeld van het dreigingslandschap voor de organisatie. Dit beeld moet binnen de organisatie leven, zelfs als je werkt met externe leveranciers. Het hoeft geen full-time baan te zijn om deze ontwikkelingen te volgen, maar je moet wel gebruikmaken van de juiste kanalen. Als een kwetsbaarheid op het achtuurjournaal voorbij komt, ben je te laat. Door je in te schrijven bij een betrouwbare community als die van het Digital Trust Center, wordt je op de hoogte gehouden van actuele bedreigingen. Maak daarnaast actief gebruik van Twitter - het is één van de snelste nieuwskanalen wat betreft cybersecurity. Volg ten slotte de adviezen van de NCSC op de voet, die de nodige handvatten bieden om bedreigingen tegen te gaan.
3. Leer de signalen herkennen
Het kan binnen de organisatie aan IT-kennis ontbreken. Maar de belangrijkste waarschuwingen kan iedereen leren herkennen. We weten allemaal dat een luchtalarm betekent dat we naar binnen moeten gaan en de ramen moeten sluiten. Zo moet je ook leren dat een update van het DTC of NCSC met de code “high high” de security-versie van het luchtalarm is. Door de signalen te herkennen, weet je wanneer je snel interne óf externe security-expertise moet inschakelen.
4. Maak het fundament in orde
Naast een beeld van het dreigingslandschap, is asset management onmisbaar. Weet welke devices er aangesloten zijn op het netwerk. En weet welke applicaties er binnen de organisatie draaien. Dat geldt óók voor applicaties en systemen die zijn geoutsourcet, omdat je dan bijvoorbeeld bij een nieuw alert van het Digital Trust Center snel kunt schakelen met je leveranciers om te bepalen of je kwetsbaar bent en dit vervolgens zo snel mogelijk verhelpen.
Een van de beste handvatten die je hiervoor kunt hanteren, is de CIS-lijst met 18 kritieke security-controls. Ga deze in de genoemde volgorde af en je bent dicht bij een solide fundament.
5. Doe een risk-based impact-analyse
“Maar wat als het fout gaat?” Er is altijd het risico dat er iets verkeerd kan gaan bij een patch, bijvoorbeeld door onvoorziene afhankelijkheden met andere systemen binnen je netwerk. Maak dus een risicogebaseerde afweging: wat is het risico van een patch vergeleken met het risico van een hack? Wat is de business-impact van een systeem dat kort omvalt versus de gevolgen van een ransomware-aanval op een ongepatcht systeem?
6. Evalueer doorlopend
Een evaluatiemoment na iedere patch is tenslotte cruciaal om verbeteringen te identificeren. Hoe snel duurde het van het moment dat een patch beschikbaar kwam tot het moment dat deze was doorgevoerd? En, niet onbelangrijk: hoe kunnen we het de volgende keer beter doen?
Security is een constante race tegen criminelen. Patching is je pitstop, waar je gaten zo snel mogelijk probeert te dichten. Een pit crew die een seconde van een pitstop kan schaven, kan het verschil maken tussen eerste en tweede plaats. En een “patch crew”, die iedere keer weer iets sneller volgens gedegen processen kan acteren om kwetsbaarheden te verhelpen, is van onschatbare waarde in het beperken van bedrijfsschade.
