Context Is King: Van Vulnerability Management naar Exposure Management

Tenable® is het bedrijf voor Exposure Management. Ongeveer 43.000 organisaties over de hele wereld vertrouwen op Tenable voor inzicht in en vermindering van cyberrisico’s. Als maker van Nessus® heeft Tenable zijn expertise op het gebied van kwetsbaarheden uitgebreid tot het eerste platform ter wereld waarmee elk digitaal bedrijfsmiddel op elk computerplatform kan worden bekeken en beveiligd. Tot de klanten van Tenable behoren ongeveer 60 procent van de Fortune 500, ongeveer 40 procent van de Global 2000 en grote overheidsinstellingen. 

Kwetsbaarhedenbeheer blijft een hoeksteen van preventieve cybersecurity, maar organisaties worstelen nog steeds met een overvloed aan kwetsbaarheden en geavanceerde dreigingen. Tenable’s nieuwe Exposure Signals biedt securityteams uitgebreide context, zodat ze kunnen overstappen van kwetsbaarhedenbeheer naar blootstellingsbeheer en effectief prioriteit kunnen geven aan hoog-risico blootstellingen binnen hun complexe aanvalsoppervlak.

Een kritieke kwetsbaarheid is onthuld, en wereldwijd maken aanvallers hier actief misbruik van. Jouw team voor kwetsbaarhedenbeheer komt direct in actie en constateert dat de kwetsbaarheid aanwezig is in honderden systemen binnen de organisatie. Maar welke systemen pak je als eerste aan? Hoe prioriteer je de herstelacties, en op basis van welke criteria? De klok tikt, en hackers liggen op de loer.

Historisch gezien zou jouw team vertrouwen op ernstscores zoals de Vulnerability Priority Rating (VPR). Dat is een goed uitgangspunt, maar biedt slechts één indicator van risico. Om herstelacties nauwkeurig en effectief te prioriteren, moet je echter rekening houden met diverse andere factoren, zoals het type, de eigenaar en de functie van een kwetsbaar systeem, de toegangsrechten en privileges, en kritieke aanvalspaden binnen je omgeving.

Een dergelijke uitgebreide, holistische context helpt om correct te prioriteren, maar dat kan alleen met een aanpak die verder gaat dan traditioneel kwetsbaarhedenbeheer. Deze aanpak heet exposure management.

Met exposure management kan jouw kwetsbaarhedenbeheerteam bijvoorbeeld vaststellen welke systemen die getroffen zijn door een hypothetische kwetsbaarheid extern toegankelijk zijn, domeinniveau-privileges hebben, en deel uitmaken van een kritiek aanvalspad. Zo weten ze waar het grootste risico ligt en welke systemen ze als eerste moeten beveiligen. Met deze diepgaande inzichten en context wordt risico-inschatting nauwkeuriger, waardoor het team snel, strategisch en doeltreffend kan optreden.

In deze blog leggen we uit waarom jouw kwetsbaarhedenbeheerteam moet overstappen naar een exposure management-benadering, en hoe Tenable hen daarbij kan ondersteunen.

Om de risicovolste kwetsbaarheden te identificeren, heeft kwetsbaarhedenbeheer bredere context nodig

In het huidige, steeds veranderende cybersecuritylandschap blijft kwetsbaarhedenbeheer een fundamenteel onderdeel van een proactieve verdedigingsstrategie. Toch hebben teams vaak moeite om de toenemende risico’s aan te pakken, veroorzaakt door de constante stroom van Common Vulnerabilities and Exposures (CVEs) en andere zwakke punten.

Veel securityteams worden regelmatig overspoeld door de enorme hoeveelheid kwetsbaarheden en de beperkte middelen om deze effectief te beheren. De verfijning en snelheid van dreigingsactoren zijn toegenomen, met aanvallers die meer toegangspunten hebben en nieuwe tactieken, technieken en methoden gebruiken om kritieke onderdelen van het bedrijf binnen te dringen. Dit bewijst dat aanvallen niet langer lineair zijn, maar vanuit meerdere invalshoeken plaatsvinden.

Het is normaal dat security-teams moeite hebben met:

• • Kwetsbaarheidsoverload – Dit aloude probleem blijft verergeren. Security-teams vinden het steeds moeilijker om door de stortvloed aan CVE’s heen te komen en de bedrijfsgebieden met het hoogste risico te identificeren.
  • Gebrek aan context voor prioritering van blootstellingen – Teams nemen beslissingen zonder cruciale contextlagen. Dreigingsinformatie en ernstscores voor kwetsbaarheden zijn een goed begin, maar bieden alleen geen volledige context die nodig is om goed te prioriteren.
  • Traag herstelproces – Zowel proactieve als reactieve security-teams besteden enorm veel tijd aan het reageren op kritieke kwetsbaarheden. Omdat middelen schaars zijn, is het belangrijker dan ooit dat teams gericht de grootste risico’s kunnen aanwijzen bij het aanbevelen van herstelmaatregelen.

Van kwetsbaarheid naar blootstelling-denkwijze

De worstelingen van vandaag maken de voordelen van exposure management helder. Wat ontbreekt tussen een kwetsbaarheid en een blootstelling zijn de extra contextlagen. Multidimensionale context biedt inzicht in niet alleen de kwetsbaarheden zelf, maar ook in hun mogelijke impact binnen het bredere aanvalsoppervlak. Deze aanpak geeft een vollediger beeld van de beveiligingspositie door rekening te houden met factoren zoals dreigingsinformatie, kriticiteit van assets, identiteiten en toegang. Met deze informatie bespaar je tijd op het filteren van kwetsbaarheden en kun je je richten op blootstellingen die risico’s vormen.

Voor wie onbekend is met exposure management, zijn er veel voordelen verbonden aan deze discipline. Bij Tenable hanteren we dezelfde denkwijze met ons exposure management-platform. Het doel is eenvoudig: exposure management stelt organisaties in staat om herstelacties effectiever te prioriteren. Het biedt informatie om strategieën te ontwikkelen die niet alleen gericht zijn op de kwetsbaarheden zelf, maar ook op de blootstellingen die kunnen leiden tot ernstige beveiligingsinbreuken.

De sprong van kwetsbaarheid naar blootstelling

De overgang van kwetsbaarhedenbeheer naar exposure management vereist dat er context wordt verzameld over het volledige aanvalsoppervlak. Kwetsbaarhedenbeheer biedt context door voorspellingen van aanvalslikelihood, leeftijd van de kwetsbaarheid en dreigingsbronnen te tonen. Dit is nuttig, maar om de prioritering verder te verbeteren, is bredere zichtbaarheid en diepere inzichten nodig om een compleet beeld te krijgen van blootstellingen.

Beveiligingsteams hebben specifiek aanvullende context nodig over:

• • Assetcontext – Er zijn meerdere aspecten van een asset die prioriteringsbeslissingen beïnvloeden. Het is essentieel om de kriticiteit van een asset te begrijpen met betrekking tot het type, de functie, de naam van de eigenaar en de relaties met andere assets. Zelfs of een asset toegankelijk is via internet, beïnvloedt de prioriteit voor herstel.
  • Identiteiten – Identiteiten zijn de basis voor succesvolle aanvallen; daarom is het van belang om ze in context te plaatsen binnen exposure management. Inzicht in gebruikersrechten, rollen en gebruikersinformatie helpt om aanvallers te verhinderen om privileges uit te breiden en zijwaarts te bewegen. Prioriteit geven aan kwetsbare assets met domein- en adminrechten is cruciaal om de kans op een inbreuk te verkleinen.
  • Dreigingscontext – Verschillende niveaus van dreigingscontext zijn ook belangrijk om blootstellingen te prioriteren. Dreigingen veranderen continu, dus dynamische scores zoals VPR of Asset Exposure Score (AES) kunnen risicofactoren aantonen. Ook context vanuit aanvalspadmodellen kan herstelbeslissingen vanuit het perspectief van een aanvaller beïnvloeden door inzicht te geven in het aantal kritieke aanvalspaden of knelpunten binnen de omgeving.

Met deze aanvullende informatie kunnen security-analisten een volledig beeld krijgen van de blootstelling. Zo wordt in deze nieuwe wereld van exposure management effectief geprioriteerd.

Introductie van Exposure Signals

Om de overstap naar een exposure management-mentaliteit makkelijker te maken, hebben we een nieuwe prioriteringsfunctie ontwikkeld: Exposure Signals. Deze is beschikbaar in Tenable One, het exposure management-platform van Tenable, en biedt security-teams een centrale plaats voor uitgebreidere context en een gericht overzicht van risico’s.

Er zijn twee manieren om deze nieuwe Exposure Signals te gebruiken. De eerste manier is via een uitgebreide bibliotheek met vooraf gedefinieerde signalen voor hoogrisico-scenario’s. Deze signalen wijzen eenvoudig op potentiële risico’s in je omgeving en vormen een uitstekend startpunt om je exposure management goed te starten. Zo kun je bijvoorbeeld gemakkelijk signalen zien en controleren voor:

• • Domeinbeheerdersgroepen op internettoegankelijke hosts met kritieke kwetsbaarheden
  • Apparaten die via RDP toegankelijk zijn vanaf internet en waarvan de bijbehorende identiteitsaccount een gecompromitteerd wachtwoord heeft
  • Cloud-assets met bevindingen van kritieke ernst en een asset exposure score boven de 700

Met Exposure Signals kun je het aantal overtredingen volgen dat wijst op hoogrisicosituaties binnen je omgeving. Door deze lijst regelmatig te bekijken, krijg je inzicht in trends en kun je zien hoe deze zich in de tijd ontwikkelen. Ontdek zelf welke assets zijn beïnvloed en bekijk de contextuele informatie in onze Inventory Module.

De tweede manier om Exposure Signals te gebruiken is door zelf signalen te creëren met behulp van een query-builder of met de natural language processing (NLP)-zoekfunctie van ExposureAI. Dit geeft je de vrijheid om zo breed of specifiek te zoeken als nodig is. Stel bijvoorbeeld dat er een nieuwe zero-day-kwetsbaarheid rondgaat, vergelijkbaar met Log4Shell. Je kunt eenvoudig een signaal creëren om assets te targeten met de kwetsbaarheid, die via internet toegankelijk zijn en domeinbeheerderstoegang hebben. Door deze componenten samen te voegen, krijg je een duidelijk overzicht van je werkelijke risico’s en kun je je prioriteringsinspanningen beter richten.

originele blog

Wil je meer weten over Tenable One en Exposure Signals? Neem dan contact op met Exclusive Networks voor meer informatie of een demo via +31 (0)499 462121 of stuur een e-mail naar info@exclusive-networks.nl