Van ontdekking tot openbaarmaking: het beheren van een kwetsbaarheid op het gebied van cyberbeveiliging

Geen enkel systeem is ooit 100% veilig

Het aanpakken van kwetsbaarheden is niet alleen de verantwoordelijkheid van fabrikanten, maar een gezamenlijke inspanning van systeemintegrators, ethische hackers en beveiligingsonderzoekers. Iedereen kan beveiligingslekken tegenkomen in een systeem. De vraag is: Wat moeten ze vervolgens doen en hoe moet het bedrijf reageren?

Een kwetsbaarheid identificeren

Een kwetsbaarheid op het gebied van cyberbeveiliging kan talloze vormen aannemen, zoals:

• Kwetsbaarheden in software en firmware: Verouderde of onveilige code zorgen voor ernstige beveiligingsrisico's (ongepatchte kwetsbaarheden, hardcoded backdoors, onjuiste updatemechanismen)

• Zwakke plekken in netwerkbeveiliging en communicatie: Onbeschermd netwerkverkeer kan worden onderschept en gemanipuleerd door aanvallers (onversleutelde communicatie, man-in-the-middle, zwakke versleutelde algoritmen)

• Kwetsbaarheden op het gebied van authenticatie en toegangscontrole: Zwakke authenticatiemechanismen kunnen ongeautoriseerde toegang tot het systeem mogelijk maken (standaard wachtwoord, brute-force kwetsbaarheid, gebrek aan multi-factor authenticatie)

• Kwetsbaarheden in hardware en configuratie: Slecht geconfigureerde apparaten zetten de deur open voor cybercriminelen (onveilige standaardinstellingen, onbeveiligde beheerinterface)

• Menselijke factor: Manipuleren van personen om acties uit te voeren of vertrouwelijke informatie vrij te geven (phishing, social engineering). Daarom is het essentieel dat werknemers cyberbewustzijnstraining volgen, zodat ze potentiële bedreigingen kunnen herkennen en er adequaat op kunnen reageren.

Ongeacht hoe je de kwetsbaarheid ontdekt - tijdens de installatie, het gebruik van het systeem, het testen van de beveiliging of een penetratietest - het is belangrijk om er verantwoordelijk mee om te gaan.

Verantwoord rapporteren: Wat nu?

De eerste stap na het identificeren van een kwetsbaarheid is het direct rapporteren aan de fabrikant en het coördineren van de openbaarmaking zodra deze is verholpen. Verantwoordelijke fabrikanten hebben een duidelijk proces voor de omgang met cyberkwetsbaarheden, doorgaans bestaande uit het volgende:

• Een speciaal e-mailadres voor beveiligingscontacten, een meldingsformulier of een ticketsysteem - de meeste bedrijven bieden een manier om kwetsbaarheden veilig in te dienen. Bij 2N hebben we bijvoorbeeld een openbaar beleid voor het beheer van kwetsbaarheden en een officieel rapportagekanaal op 2N.com.

• Gecoördineerde openbaarmakingsovereenkomsten - beveiligingsonderzoekers werken vaak samen met fabrikanten volgens een afgesproken tijdlijn voordat kwetsbaarheden openbaar worden gemaakt.

Wat je NIET moet doen:

• Ga er niet van uit dat iemand anders het wel zal melden. Als je iets ziet, laat dit dan weten.

• Vermijd het openbaar maken van de kwetsbaarheid totdat de getroffen organisatie voldoende tijd heeft gehad om de kwetsbaarheid te verhelpen.

• Deel geen details van de kwetsbaarheid met onbevoegde personen of entiteiten.

Wat is een programma om kwetsbaarheden te onthullen?

Een verantwoordelijke fabrikant volgt waarschijnlijk een programma voor het openbaar maken van kwetsbaarheden en neemt als zodanig de volgende stappen:

1. Bevestiging: Het bedrijf moet de ontvangst van de melding bevestigen en een eerste beoordeling geven.
   
   
2. Onderzoek en risicoanalyse: Beveiligingsexperts beoordelen de ernst van de kwetsbaarheid, evalueren hoe gemakkelijk ervan kan worden geprofiteerd en bepalen de meest effectieve strategieën om de kwetsbaarheid te beperken. Bovendien moeten alle partijen het eens worden over een tijdlijn voor het vrijgeven van een oplossing en de daaropvolgende openbaarmaking van de kwetsbaarheid.
   
   
3. Een oplossing ontwikkelen: De fabrikant werkt aan een beveiligingspatch om het probleem op te lossen.
   
   
4. Testen en verifiëren van het beveiligingslek: De correctie moet worden getest om er zeker van te zijn dat het de kwetsbaarheid op de juiste manier oplost zonder nieuwe problemen te veroorzaken.
   
   
5. Openbaarmaking en CVE-toewijzing: Tijdens de onderlinge communicatie moeten de partijen het eens worden over het toewijzen van een CVE (Common Vulnerabilities and Exposures) ID om de kwetsbaarheid openbaar te maken zodra er een oplossing beschikbaar is.

Wat zijn CVE en CNA?

• CVE (Common Vulnerabilities and Exposures) is een industriestandaard programma voor het openbaar maken van kwetsbaarheden: een systeem dat kwetsbaarheden in de beveiliging opspoort en benoemt. Elke CVE-vermelding beschrijft een specifieke cyberveiligheidskwetsbaarheid, de ernst ervan, de bijbehorende CVSS-score, getroffen producten, relevante beveiligingsadviezen en beschikbare patches.

• CNA (CVE Numbering Authority) is een organisatie die gemachtigd is om CVE-ID's toe te wijzen. Sommige grote fabrikanten in de IT- en beveiligingsindustrie, zoals Axis, Cisco en Honeywell, treden op als CNA.

Wat gebeurt er als kwetsbaarheden worden genegeerd?

Zodra de beveiligingspatch is uitgebracht, moeten systeemintegrators en IT-teams snel handelen om updates toe te passen. Het uitstellen van updates maakt systemen kwetsbaar voor misbruik.

Een voorbeeld van wat er gebeurt als kwetsbaarheden in cyberbeveiliging worden genegeerd:

• Een belangrijk voorbeeld van een fabrikant die het beheer van kwetsbaarheden verwaarloosde en de best practices op het gebied van cyberbeveiliging niet volgde, was het datalek bij Equifax (2017). Een bekend Apache Struts-kwetsbaarheidsprobleem (CVE-2017-5638) werd niet op tijd gepatcht, waardoor 147 miljoen gegevens, waaronder burgerservicenummers in de VS, werden gecompromitteerd. De inbreuk resulteerde in een boete van 700 miljoen dollar en onherstelbare reputatieschade.

Deze zaak onderstreept een cruciale les: het identificeren van kwetsbaarheden is niet genoeg - een snelle reactie en transparante communicatie zijn essentieel.

Waarom samenwerken met transparante fabrikanten?

• Om je klanten te beschermen: Wanneer klanten investeren in producten van hoge kwaliteit, verwachten ze een veilig, up-to-date systeem. Door samen te werken met fabrikanten die tijdig beveiligingsupdates uitbrengen, zorg je ervoor dat de systemen van je klanten veerkrachtig blijven en versterk je de relaties op lange termijn, en het vertrouwen.

• Je expertise versterken: Als je weet hoe je kwetsbaarheden op het gebied van cyberbeveiliging moet aanpakken, ben je een waardevollere partner voor je klanten. Bovendien kun je onderhoudspakketten en proactieve updates aanbieden als onderdeel van het servicemodel, waardoor je nieuwe inkomstenbronnen creëert.

• Ervoor zorgen dat je met verantwoordelijke fabrikanten werkt: Leveranciers die beveiliging serieus nemen, bieden een duidelijk, transparant beleid voor het beheer van kwetsbaarheden op het gebied van cyberbeveiliging, inclusief vroegtijdige waarschuwingen, beveiligingswaarschuwingen en richtlijnen voor het beschermen van gebruikte systemen.

Cyberbeveiliging is een gedeelde verantwoordelijkheid

De cirkel is rond: geen enkel systeem zal ooit 100% veilig zijn en er zullen altijd kwetsbaarheden optreden. Maar met verantwoorde rapportage, proactief testen op beveiligingslekken en transparante samenwerking tussen fabrikanten en integrators kunnen risico's worden beperkt en kan vertrouwen worden opgebouwd.

Of u nu een integrator, ontwikkelaar of beveiligingsonderzoeker bent, uw rol in cyberbeveiliging is belangrijk. En begrijpen hoe je kwetsbaarheden beheert, is een van de belangrijkste vaardigheden die je kunt ontwikkelen.