De IT-omgeving binnen een organisatie is dynamisch en constant onderhevig aan wijzigingen. Nieuwe softwarepakketten worden uitgerold, updates worden geïnstalleerd en nieuwe hardware wordt in gebruik genomen.
Dit leidt steeds tot nieuwe risico’s. Een pakket wat eerder nog niet kwetsbaar was voor een bepaalde aanval kan dat na een nieuwe update opeens wel zijn. Is dat stukje nieuwe hardware wel juist geconfigureerd of staan er zaken open die niet open moeten staan?
Overigens zijn de risico’s bij wijzigingen niet altijd gerelateerd aan een aanval. Soms gaat het ook gewoon mis zoals bij de recente
storingen veroorzaakt door een pakket wat juist bedoeld is om deze te voorkomen. Een stukje change management is dus ook belangrijk, maar dat is iets voor een andere keer.
Dit artikel gaat over de voordelen van vulnerabitliymanagement, met andere woorden het kennen en beheren van de kwetsbaarheden binnen de IT-organisatie en hoe hiermee om te gaan.
Het is namelijk een cruciaal onderdeel van elk goed cybersecurityprogramma, het identificeren, kwantificeren en vervolgens prioriteren van kwetsbaarheden binnen de IT-infrastructuur van een organisatie.
Hier zijn een aantal belangrijke redenen voor te noemen:
- Je kan niet beschermen wat je niet kent
Het is moeilijk beschermen tegen kwetsbaarheden binnen de organisatie als niemand op de hoogte is van het feit dat deze kwetsbaarheden bestaan.
Hoewel er geen garanties zijn en sommige kwetsbaarheden al misbruikt worden door kwaadwillenden voordat ze bekend zijn, minimaliseert een actieve houding op dit gebied het risico op misbruik van reeds bekende kwetsbaarheden.
- Prioriteiten stellen
Om te voorkomen dat je als een kip zonder kop door de informatiesystemen van de organisatie heen rent dienen er prioriteiten te worden gesteld op basis van de kwetsbaarheden die gevonden zijn.
Sommige kwetsbaarheden zijn makkelijker te exploiteren dan andere kwetsbaarheden, sommige zijn makkelijk te verhelpen en uiteraard spelen ook de gevolgen voor de organisatie bij een exploiteren mee bij het stellen van de juiste prioriteiten.
- Kosten besparen
Vaak de meest overtuigende factor voor het management. Vaak wordt security op een laag pitje gezet door het management want het kost geld, neemt veel tijd in beslag en kan invloed hebben op flexibiliteit van de organisatie. Tenminste… tot het misgaat.
Als het misgaat, dan gaat het meestal ook goed mis en daarna is er opeens oneindig budget voor security. Het voorkomen van (reputatie)schade en het betalen van losgeld is niet alleen beter dan genezen maar ook een stuk goedkoper.
- Compliance
Afhankelijk van het type organisatie kunnen er verplichtingen voortvloeien uit wet- en regelgeving waardoor een bedrijf met regelmaat verplicht kwetsbaarheden moet inventariseren. Met de opkomst van DORA, NIS2 en andere verordeningen zal dit steeds vaker van toepassing zijn.
Maar zelfs de meeste kleine organisatie zal, om de aansprakelijkheid jegens derden zoveel mogelijk te kunnen beperken, altijd willen aantonen dat er voldoende inzet is geweest om een dergelijk incident te voorkomen.
Binnen StackSecure hebben we verschillende
diensten op het gebied van
security die allemaal een raakvlak hebben met het vinden en identificeren van kwetsbaarheden. We bieden onze klanten dan ook de mogelijkheid om technische scans af te nemen. Een dergelijke scan is iets uitgebreider dan een simpele vulnerability scan en niet iets laagdrempeliger dan een uitgebreide
pentest.
Het biedt bedrijven de mogelijkheid om eenmalig de huidige stand van zaken in kaart te brengen of doorlopend op de hoogte te zijn van mogelijke dreigingen. Dit kan plaatsvinden op een aantal deelgebieden zoals bijvoorbeeld op de interne infrastructuur, compliance bij cloudproviders en kwetsbaarheden van webapplicatie(s) op het internet.
Heb je interesse is de mogelijkheden die StackSecure te bieden heeft of heb je vragen op dit gebied? Neem dan gerust eens
contact met ons op.
