Veel organisaties hebben zeer diverse systemen in hun netwerk staan waar regelmatig kwetsbaarheden voor worden geconstateerd. Voor sommige producten kun je dit oplossen door automatisch updates te installeren, maar lang niet altijd is dit een verstandige route: je zult hiervoor zelf aan de slag moeten. Hoe kom je achter die kwetsbaarheden, wat is een CVE en wat moet je er vervolgens mee?
Wat is een CVE ook al weer precies?
Kwetsbaarheden kunnen worden uitgebuit door cybercriminelen om ongeautoriseerde toegang tot systemen te krijgen, gegevens te stelen, of systemen te saboteren. CVE (Common Vulnerabilities and Exposures) kwetsbaarheden zijn beveiligingslekken of zwakheden in software en hardware die openbaar zijn gemaakt. Elk beveiligingsprobleem krijgt een unieke CVE-identificatie (nummer) die wordt gebruikt om de kwetsbaarheid te categoriseren en erover te rapporteren.
Een CVE-beschrijving legt het probleem uit, inclusief welke software of hardware kwetsbaar is, wat de oorzaak is, en soms hoe ernstig het probleem is. Als een CVE-kwetsbaarheid wordt ontdekt, ontwikkelen softwareleveranciers vaak patches of updates om deze kwetsbaarheden te verhelpen.
Hoe kom ik achter die CVE kwetsbaarheden?
Voor organisaties die stappen willen zetten in het verbeteren van hun cybersecurity (bijvoorbeeld voor de NIS2) is het belangrijk om CVE’s actief in de gaten te houden. Op die manier kunnen ze hun systemen up-to-date houden en risico’s beperken. Daarvoor kun je verschillende bronnen gebruiken. Een aantal voorbeelden:
- Nationale en Internationale CVE-databases
Een voorbeeld is de CVE Database van MITRE: MITRE beheert de officiële lijst van CVE kwetsbaarheden. De database biedt basisinformatie over de kwetsbaarheid en linkt vaak naar meer technische details. National Vulnerability Database (NVD) is een Amerikaanse database die CVE-gegevens van het MITRE-project uitbreidt met gedetailleerde informatie, zoals impactscores (CVSS) en gedetailleerde technische beschrijvingen. Dit is dus een nog uitgebreidere bron voor het vinden van CVE-kwetsbaarheden.
Ook in Europa zijn er initiatieven die per land worden georganiseerd. Het zogeheten Computer Emergency Response Teams in Nederland is het Nationaal Cyber Security Centrum publiceert waarschuwingen en updates over kwetsbaarheden die relevant zijn voor bedrijven in Europa. - Leveranciersspecifieke beveiligingspagina’s
Veel grotere productleveranciers hebben ook hun eigen pagina’s die ze bijhouden met specifieke informatie over hun eigen producten. Denk aan Cisco (met Cisco’s Security Advisories) of het
Microsoft Security Response Center van Microsoft. - Beveiligingstools
Er zijn ook diverse Vulnerability Management Tools (zoals OpenVAS, Qualys, Tenable, en Rapid7) op de markt die kunnen helpen om automatisch kwetsbaarheden op te sporen. Ze houden de CVE-databases bij en controleren op kwetsbaarheden in de systemen van de gebruiker. Ook in veel systemen, zoals die van Cisco zit dergelijke functionaliteit ingebakken. Cisco-producten zoals Meraki, Umbrella en FirePower integreren vaak monitoring en bescherming tegen bekende CVE kwetsbaarheden in je netwerk. - Waarschuwings- en abonnementendiensten
De Nederlandse overheid biedt via MijnNCSC (van het Nationaal Cyber Security Centrum) meer mogelijkheden om actief up-to-date gehouden te worden over kwetsbaarheden. Op dit moment worden enkel bij het NCSC aangesloten organisaties toegelaten tot MijnNCSC. Na de inwerkingtreding van de NIS2-richtlijn volgen ook de daaronder vallende belangrijke en essentiele organisaties. Verder kun je bij veel softwareleveranciers specifieke beveiligingsbulletins of RSS-feeds vinden waar je updates over CVE’s kunt volgen. - Community en forums
Er zijn ook diverse forums en (open source) communities beschikbaar waar nieuwe kwetsbaarheden worden gedocumenteerd. Soms nog voordat ze worden verwerkt in officiële CVE-databases.
Wat moet ik doen als er een CVE kwetsbaarheid van toepassing is?
Je hebt ontdekt dat een of meerdere CVE kwetsbaarheden van toepassing is op je systemen. Zeker met de CVSS (die aanvullende impactscore vanuit het NVD) kun je goed inschatten wat de mogelijke impact is op het systeem. En daarmee mogelijk op jouw netwerk. Op basis van die impact zul je snel een workaround moeten toepassen en wanneer mogelijk een update (patch) installeren.
Omdat er vaak tijdsdruk is bij het verhelpen van kwetsbaarheden vergeten veel organisaties het risico van het patchen te bepalen. En dat kan op zichzelf ook weer problemen geven. Het is dus wenselijk dat je ook bij het installeren van dit soort updates de potentiële impact op bedrijfsprocessen en de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens in de gaten blijft houden.
Na het toepassen van een workaround of het installeren van een patch is het verstandig om dit daarna goed te testen en extra monitoring is vaak wenselijk: is de nieuwe situatie stabiel en ontstaan er geen andere problemen? En natuurlijk is het verstandig om deze wijziging netjes vast te leggen.
Ofwel:
- Impact beoordelen
- Oplossen:
- Patches of updates toepassen
- Mitigerende maatregelen (workaround toepassen)
- Communiceren en documenteren
- Nadere beveiligingscontroles
Zelf niet de tijd of expertise voor het controleren op CVE kwetsbaarheden?
We helpen veel klanten met het opzetten van goede monitoring van de omgeving en combineren dat dan ook vaak met CVE kwetsbaarheden analyses. Dit kan de organisatie daarna zelf verder oppakken, maar we bieden dit ook steeds vaker aan in de vorm van Managed Services. We houden dan samen een database bij van producten die in jouw omgeving gebruikt worden en houden vanaf dat de CVE kwetsbaarheden voor jou in de gaten.
Mocht er zo’n kwetsbaarheid naar voren komen (via publieke databases, maar ook via diverse productspecifieke routes) dan doen we ook alvast een stukje analyse voor je: wat is de impact en hoe kunnen we dit in jouw situatie het beste oplossen. Dit advies kun je vervolgens zelf oppakken en uitvoeren of we doen dit samen met jou.
Benieuwd hoe je dit voor jouw situatie er uit zou zien? Neem dan contact met ons op zodat we een voorstel kunnen maken die goed past in jouw eigen organisatie.