Sommige kwetsbaarheden zijn vergeeflijk, maar slecht patchbeheer niet
Inhoudsopgave:
Begin dit jaar publiceerde het Britse National Cyber Security Centre (NCSC) een beroep gedaan op de software-industrie om zijn zaakjes op orde te krijgen. Er glippen te veel “fundamentele kwetsbaarheden” door in de code, waardoor de digitale wereld een gevaarlijker plek wordt, zo betoogde het. Het plan is om softwareleveranciers te dwingen hun processen en tooling te verbeteren om deze zogenaamde “onvergeeflijke” kwetsbaarheden eens en voor altijd uit te roeien.
Hoewel ambitieus van opzet, zal het nog wel even duren voordat het plan van het agentschap vruchten afwerpt – als het dat überhaupt doet. In de tussentijd moeten organisaties beter worden in patchen. Dit is waar ISO 27001 kan helpen door de transparantie van activa te verbeteren en ervoor te zorgen dat software-updates worden geprioriteerd op basis van risico.
Het probleem met CVE's
de wereld opgegeten vele jaren geleden. En er is er vandaag de dag meer van dan ooit tevoren – het runnen van kritieke infrastructuur, het in staat stellen van ons om naadloos te werken en communiceren, en het bieden van eindeloze manieren om onszelf te vermaken. Met de komst van AI-agents zal software zich steeds verder nestelen in de kritieke processen waarop bedrijven, hun werknemers en hun klanten vertrouwen om de wereld draaiende te houden.
Maar omdat het (grotendeels) door mensen is ontworpen, is deze software foutgevoelig. En de kwetsbaarheden die voortkomen uit deze programmeerfouten zijn een belangrijk mechanisme voor dreigingsactoren om netwerken te doorbreken en hun doelen te bereiken. De uitdaging voor netwerkverdedigers is dat er de afgelopen acht jaar een recordaantal kwetsbaarheden (CVE's) is gepubliceerd. Het cijfer voor 2024 was meer dan 40,000Dat zijn nogal wat beveiligingsupdates om toe te passen.
Zolang het volume en de complexiteit van software blijft groeien en onderzoekers en dreigingsactoren worden gestimuleerd om kwetsbaarheden te vinden, zal het aantal jaarlijkse CVE's blijven stijgen. Dat betekent meer kwetsbaarheden die dreigingsactoren kunnen uitbuiten.
Think één schatting, maar liefst 768 CVE's werden vorig jaar openbaar gerapporteerd als in het wild geëxploiteerd. En hoewel 24% hiervan zero-days waren, waren de meeste dat niet. Sterker nog, hoewel AI-tools sommige dreigingsactoren helpen kwetsbaarheden sneller uitbuiten dan ooit tevoren, bewijs suggereert ook dat legacy bugs een groot probleem blijven. Het laat zien dat 40% van de kwetsbaarheden die in 2024 werden uitgebuit, uit 2020 of eerder kwamen, en 10% uit 2016 of eerder.
Wat wil het NCSC doen?
In deze context is het plan van de NCSC zinvol. Jaaroverzicht 2024 betreurt het feit dat softwareleveranciers eenvoudigweg geen prikkels hebben om veiligere producten te produceren. Volgens hem ligt de prioriteit te vaak bij nieuwe functies en de time-to-market.
"Producten en diensten worden geproduceerd door commerciële ondernemingen die opereren in volwassen markten die - begrijpelijkerwijs - prioriteit geven aan groei en winst in plaats van aan de veiligheid en veerkracht van hun oplossingen. Onvermijdelijk zijn het kleine en middelgrote ondernemingen (MKB), liefdadigheidsinstellingen, onderwijsinstellingen en de bredere publieke sector die het meest worden getroffen, omdat voor de meeste organisaties kostenoverwegingen de primaire drijfveer zijn", aldus het rapport.
“Simpel gezegd: als de meerderheid van de klanten prijs en functies belangrijker vindt dan 'beveiliging', dan zullen leveranciers zich concentreren op het verkorten van de time-to-market ten koste van het ontwerpen van producten die de beveiliging en veerkracht van onze digitale wereld verbeteren.”
In plaats daarvan hoopt de NCSC een een wereld waarin software “veilig, privé, veerkrachtig en toegankelijk voor iedereen” is. Dat vereist dat “top-level mitigations” gemakkelijker te implementeren zijn voor leveranciers en ontwikkelaars door middel van verbeterde ontwikkelingskaders en de adoptie van veilige programmeerconcepten. De eerste fase is het helpen van onderzoekers om te beoordelen of nieuwe kwetsbaarheden “vergeeflijk” of “onvergeeflijk” zijn – en zo momentum voor verandering te creëren. Echter, niet iedereen is overtuigd.
"Het plan van de NCSC heeft potentieel, maar het succes ervan hangt af van verschillende factoren, zoals acceptatie en implementatie door de industrie door softwareleveranciers", waarschuwt Javvad Malik, lead security awareness advocate bij KnowBe4. "Het is ook afhankelijk van consumentenbewustzijn en vraag naar veiligere producten, evenals regelgevende ondersteuning."
Het is ook waar dat, zelfs als het plan van de NCSC zou werken, er nog steeds genoeg "vergeeflijke" kwetsbaarheden zouden zijn om CISO's 's nachts wakker van te houden. Dus wat kan er gedaan worden om de impact van CVE's te verzachten?
Een op standaarden gebaseerde aanpak
Malik stelt dat de best practice-beveiligingsnorm ISO 27001 een nuttige aanpak is.
"Organisaties die voldoen aan ISO27001 beschikken over robuustere documentatie en kunnen kwetsbaarheidsbeheer afstemmen op de algemene beveiligingsdoelstellingen", vertelt hij aan ISMS.online.
Dray Agha, senior manager van de beveiligingsoperaties bij Huntress, stelt dat de standaard een ‘duidelijk raamwerk’ biedt voor zowel kwetsbaarheids- als patchbeheer.
"Het helpt bedrijven om bedreigingen voor te blijven door regelmatige beveiligingscontroles af te dwingen, risicovolle kwetsbaarheden prioriteit te geven en tijdige updates te garanderen", vertelt hij aan ISMS.online. "In plaats van te reageren op aanvallen, kunnen bedrijven die ISO 27001 gebruiken een proactieve aanpak hanteren, hun blootstelling verminderen voordat hackers zelfs maar toeslaan, en cybercriminelen een voet aan de grond geven in het netwerk van de organisatie door de omgeving te patchen en te verharden."
Agha stelt echter dat patchen alleen niet voldoende is.
"Bedrijven kunnen zich nog verder verdedigen tegen cyberdreigingen door netwerksegmentatie en webapplicatiefirewalls (WAF's) te implementeren. Deze maatregelen fungeren als extra beschermingslagen en beschermen systemen tegen aanvallen, zelfs als patches vertraagd zijn", vervolgt hij. "Het toepassen van zero trust-beveiligingsmodellen, beheerde detectie- en responssystemen en sandboxing kan ook de schade beperken als een aanval toch doorbreekt."
Malik van KnowBe4 is het daarmee eens en voegt toe dat virtuele patching, endpoint detection en response goede opties zijn voor het gelaagd aanbieden van verdedigingsmechanismen.
"Organisaties kunnen ook penetratietesten uitvoeren op software en apparaten voordat ze worden geïmplementeerd in productieomgevingen, en daarna periodiek. Threat intelligence kan worden gebruikt om inzicht te bieden in opkomende bedreigingen en kwetsbaarheden", zegt hij.
“Er bestaan veel verschillende methoden en benaderingen. Er is nooit een tekort aan opties geweest, dus organisaties moeten kijken wat het beste werkt voor hun specifieke risicoprofiel en infrastructuur.”
