Heeft u een flexibel TVM-proces? Doe dan een stapje naar links, rechts, voor of achter

Marco-Rottigni bw

Marco Rottigni is Chief Technical Security Officer EMEA bij Qualys

Organisaties zijn de afgelopen jaren met hun neus op de feiten gedrukt: een goede detectie-, preventie- en responscapaciteit om cyberaanvallen tegen te gaan, is onmisbaar. Tal van geavanceerde cyberaanvallen hebben duidelijk gemaakt hoe onvoorbereid veel bedrijven zijn op cyberincidenten. Hun kennis en expertise schieten ernstig tekort om tijdig op een aanval te kunnen reageren. Gelukkig zit er langzaam verbetering de situatie.

Terwijl sommige bedrijven nog steeds vasthouden aan utopieën als totale preventie starten de vooruitstrevender CISO’s met het versterken van hun veerkracht. Ze verplaatsen de focus van het tegenhouden van indringers naar het verminderen van kwetsbare plekken door hun hele digitale omgeving inzichtelijk te maken en de nauwkeurigheid van detectie aan te scherpen. Hoe lager het aantal kwetsbaarheden, hoe nauwkeuriger de detectie kan zijn. En hoe lager het aantal te onderzoeken meldingen, hoe lager de impact op kostbare bedrijfsmiddelen.

Vulnerability Assessment als noodzakelijk kwaad

Teveel organisaties beschouwen Vulnerability Assessment (VA) nog steeds als een noodzakelijk proces dat eens per maand wordt uitgevoerd om het aantal kwetsbaarheden te valideren. Deze kwetsbaarheden worden voor herstel doorgegeven aan de applicatie-eigenaar. Herstel wordt geprioriteerd op basis van perimeters als CVSS-indicatoren en statistieken. Het VA-proces wordt hierin vooral als een tactisch proces beschouwd. Deze benadering lijkt op de zogenaamde watervalmethode, die nu grotendeels vervangen wordt door agile benaderingen als scrum.

De behoefte aan flexibiliteit leidt ertoe dat CISO’s VA kunnen evolueren naar Vulnerability Management (VM), een proces waarbij kwetsbaarheden over langere periodes worden beheerd en bijgehouden. Hierbij worden rapporten gebruikt om gebreken in BAU-processen (Business As Usual) te herkennen en dynamische dashboards om de kwetsbaarheden (bijna) realtime bewaken. De waarde van VM verschuift zo van tactisch naar operationeel en SecOps en patchmanagement worden versterkt.

Dankzij deze flexibiliteit kunnen de meest vooruitstrevende CISO’s nu evolueren van Vulnerability Management naar Threat & Vulnerability Management. Het creëren van flexibele informatiestromen en het opheffen van bestaande barrières en silo’s zijn vereisten voor dit proces.

Het is gebaseerd op fundamentele concepten zoals het implementeren van transparante orkestratie tussen verschillende technologieën, het bereiken van directheid bij het ondervragen van de bewaakte digitale omgeving en het operationaliseren van cyber-threat intelligence-informatie om een vereenvoudigde abstractielaag te creëren. Daarnaast speelt hier ook het harmoniseren van de behoeften van verschillende belanghebbenden in de organisatie om toegang te krijgen tot dezelfde gegevens in het meest praktische formaat.

Orkestratie en harmonisatie

Laten we deze concepten eens nader bekijken. Transparante orkestratie gaat over het benutten van API’s om veilige informatiestromen te creëren, de efficiëntie te verbeteren en menselijke fouten te verminderen. Zo is het hele proces van het detecteren van een kwetsbaarheid, het melden naar een service-managementapplicatie en het controleren of de kwetsbaarheid is opgelost, in zo’n workflow te vatten.

Onmiddellijke ondervraging heeft betrekking op de implementatie van ogen op die plekken waar deze nodig zijn in de digitale omgeving, ongeacht de complexiteit. Deze ogen hebben de taak om data te verzamelen en te streamen naar een gecentraliseerde locatie waar deze wordt geïndexeerd, verwerkt, geaggregeerd, en bewerkt zodat medewerkers of een API er op kunnen reageren.

Dit proces zorgt ervoor dat zodra ik een vraag moet stellen, het antwoord al aanwezig is in geïndexeerde data en mij binnen enkele seconden bereikt om beslissingen op tactisch, operationeel en strategisch niveau te ondersteunen.

Operationalisering van dreigingsinformatie betekent dat de informatie praktisch hanteerbaar is en dat de data in een feed worden geactiveerd, waardoor een niveau van abstractie ontstaat dat direct antwoordt op complexe vragen. Een voorbeeld van deze abstractie is bijvoorbeeld het onmiddellijk begrijpen hoeveel assets in mijn IT-landschap worden beïnvloed door deze dreiging.

Het harmoniseren van de behoeften van diverse stakeholders om dezelfde gegevens vanuit verschillende perspectieven te zien, betekent gebruikmaken van de eerder genoemde unified data processing-mogelijkheid om alleen het deel van de gegevens te ontsluiten dat de doelgroep nodig heeft. IT kan geïnteresseerd zijn in het begrijpen van geïnstalleerde software, hardware-informatie, ontbrekende patches, geolocatie, etc. Beveiliging kan geïnteresseerd zijn in het vinden van indicatoren voor een inbreuk, het controleren op misbruik van de software en het opsporen van afwijkingen. Compliance wil weten of de machine voldoet aan een set van controles die wordt gedefinieerd door het kader dat is verbonden met de perimeter waar die machine zich bevindt.

De hierboven genoemde mogelijkheden creëren - mits correct geïmplementeerd - een goed geoliede reeks streams, ondersteund door mensen, processen en technologieën die TVM naar een strategisch niveau tillen, terwijl het operationele voordeel van VM en de tactische waarde van een nauwkeurige en accurate VA behouden blijven.

Denk nu eens aan uw organisatie: hoe zou u het niveau van de hierboven beschreven vooruitzichten definiëren? Kunt u uw proces TVM noemen? Ontwikkelt u nog steeds VM? Of worstelt u met VA? Als uw antwoord TVM is, is het tijd om een stapje te doen.

Doe een stap naar links voor SDLC en CI/CD

Uw niveau is solide genoeg om het proces van bulletin-beveiliging uit te breiden naar waar kwetsbaarheden vandaan komen.

Waarschijnlijk gebruikt u al agile ontwikkelmethodologieën, waarbij u zich richt op het uitvoeren van uw sprints met teams van efficiënte developers. Beoordeel hun niveau, vind uw veiligheidskampioen en partner met hen om het proces te stimuleren.

U kunt beveiliging presenteren als iets dat het proces niet vertraagt, maar het veiliger maakt.

Een voorbeeld kan zijn om op API gebaseerde plug-ins in de gebruikte SDLC-tools (zoals Jenkins of Bamboo) in te schakelen om dynamische tests uit te voeren telkens als de code zich verbindt tot pre-productie.

Doe een stap naar rechts om patchmanagement te versterken

U heeft al een heel duidelijk beeld van wat TVM betekent en u heeft de benodigde context met een ander niveau van abstractie. Waarom deze kennis niet uitbreiden om workflows op te zetten om de remediation te operationaliseren, de effectiviteit en efficiëntie te vergroten en tegelijkertijd KPI's zoals MTTR te minimaliseren?

Doe een stap naar voren voor cloud-omgevingen en containers

Breidt uw TVM-volwassenheid uit om de zichtbaarheid te vergroten waar perimeters oplossen, om relaties tussen bronnen in multicloud-omgevingen te beoordelen en om te controleren op misconfiguraties. Vreemd genoeg zijn misconfiguraties een van de belangrijkste redenen voor datalekken in cloud-adoptieprogramma's, zoals ook wordt aangetoond door publicaties als 'The Treacherous Twelve' van de Cloud Security Alliance.

U moet ook omgaan met uitdagingen die worden veroorzaakt door containeriseringsprogramma's, die de hele manier waarop we IT zien radicaal veranderen, met concepten zoals serverless computing, CaaS-platforms (Container As a Service) en gefedereerde orkestratie voor resourcesoptimalisatie.

Deze recente evolutie van de compute-omgeving vereist een sterke specialisatie van de mogelijkheden van datacollectie, om tegemoet te komen aan meer traditionele organisatorische behoeften zoals compliance. Dit is niet alleen een technologische uitdaging, maar zou het leveranciersselectieproces moeten stimuleren om degenen die de workflow achter de schermen begrijpen, te bevoorrechten.

En als laatste: doe een stap naar achteren voor IT Asset Management

Dit proces is vaak al in verschillende mate van efficiëntie in een organisatie tot stand gebracht, maar moet worden gemoderniseerd om tegemoet te komen aan de behoefte om een enkele bron van waarheid te creëren voor alle assets, in een digitale omgeving die voortdurend verandert.

Hier zijn de nieuwe criteria ontdekking, normalisatie, organisatie en classificatie, en een cyclus die zo geautomatiseerd en continu mogelijk is. En omdat geen enkel proces meer geïsoleerd en tactical-only kan worden, moet deze bron van waarheid het referentiepunt worden voor BAU-, SecOps-, DevOps- en andere processen.

Kortom: digitale transformatie is een reis vol hindernissen.