Vulnerability management: de menselijke kloof overbruggen

Hoe systeem engineers en beveiligingsexperts op elkaar moeten kunnen bouwen om solide beheer van kwetsbaarheidsmanagement op te zetten en te onderhouden

Original English version on One Magazine

De gedigitaliseerde wereld waarin we vandaag de dag leven zit vol verrassingen, uitdagingen en onverwachte avonturen. De systemen die we jaren geleden hebben gemaakt, blijken plotseling kwetsbaar voor allerlei soorten cyberaanvallen. In het nieuws lezen we verhalen over datalekken, malware-infecties, geheime achterdeurtjes in reeds bestaande codedatabases, enzovoort. En er is een nieuwe term waar we steeds meer over lijken te horen, namelijk hybride oorlogvoering. 

Hoewel het hybride oorlogsconcept aanvankelijk enige aandacht kreeg, kwam de realisatie ervan in 2014 met de Russische annexatie van de Krim. Voorheen wisten (wereld)leiders en cyberbeveiligingsdeskundigen hoe ze hun waardevolle bezittingen moesten beschermen tegen hacktivisten en georganiseerde digitale misdaadsyndicaten. Maar nu wordt het duidelijk dat de motivatie van deze hackersgroepen verder gaat dan financieel gewin en ideologie - het behalen van een overwinning in een oorlog is ook een dwingende reden om aanvallen uit te voeren op kritieke infrastructuursystemen.

Vanwege de recente gebeurtenissen kunnen leidinggevenden van organisaties de volgende vragen stellen aan hun cyberbeveiligingsdeskundigen: “Zijn wij ook kwetsbaar voor dit soort aanvallen? Moeten we bang zijn dat we het hoofditem worden van het nieuws van volgende week? Zullen onze klanten beweren dat we hun vertrouwen hebben beschaamd als we worden gehackt?” Natuurlijk leiden deze vragen tot het idee om vulnerability management (kwetsbaarheidsbeheer) te implementeren.

'The way to build and maintain proper vulnerability management starts by eliminating blind spots. After all, you cannot protect assets you don't know exist.'

De manier om een goed kwetsbaarheidbeheer op te bouwen en te onderhouden begint met het elimineren van blinde vlekken. Je kunt immers geen bedrijfsmiddelen beschermen waarvan je niet weet dat ze bestaan. Een uitgebreide inventarisatie van bedrijfsmiddelen, software, certificaten, servers en/of cloudoplossingen dient als basis. Deze inventaris wordt meestal bijgehouden in een CMDB. Een Configuration Management Database (CMDB) wordt gemaakt met uitgebreide hulp van IT-managers, applicatie-eigenaren en systeembeheerders.

Gewapend met solide kennis en inzicht in alle bedrijfsmiddelen die moeten worden beschermd, beginnen beveiligingsexperts met het scannen op kwetsbaarheden. Tot nu toe zijn de systeembeheerders bereid geweest om de beveiligingsexperts te helpen door de meest nauwkeurige inventarisatie van hun gebruikte en in eigendom zijnde assets aan te leveren. Maar nu komt de scanfase. Op dit punt zien de beveiligingsexperts een opmerkelijke verandering in de stemming tijdens de samenwerking. Wat veroorzaakt deze verandering?

Stel je voor dat je een toegewijde systeembeheerder bent die de IT-infrastructuur van een organisatie heeft opgebouwd en onderhouden. Je hebt wellicht de basis gelegd, services en applicaties gecreëerd en onderhouden en je bent trots op wat je hebt bereikt. Wanneer nieuwe engineers zich bij uw team voegen, leert u hen over de infrastructuur. Je voelt je verantwoordelijk, maar bovenal voel dat je alles onder controle hebt. Als er iets zou gebeuren binnen de infrastructuur, voel je je overtuigd dat je altijd de juiste beslissing kunt nemen.

Nu komen de beveiligingsexperts binnen die het kwetsbaarhedenbeheer moeten implementeren. Hun initiële samenwerking met u als systeembeheerder lijkt veelbelovend, waarbij u en uw team informatie verschaffen over de middelen en diensten die u gebruikt voor dagelijkse werkzaamheden. Samen met de beveiligingsexperts installeren u en uw team kwetsbaarheidsscanners en/of agents in uw netwerk. Firewallregels worden ingesteld en de eerste scans beginnen volgens schema te lopen.

Maar dan komen de eerste rapporten over kwetsbaarheden binnen. Jij, je team en je manager(s) ontvangen gedetailleerde rapporten met de meest enge en kritieke kwetsbaarheden. De rapporten laten zien hoe jij en je team in de loop der jaren beveiligingspatches over het hoofd hebben gezien en wat er had kunnen gebeuren als een aanvaller erachter was gekomen. Het lijkt allemaal erg alarmerend. Wanneer je contact probeert op te nemen met de beveiligingsexperts voor hulp, antwoorden ze dat ze je niet kunnen helpen. Hoewel de beveiligingsexperts uitgebreide kennis hebben over de ontdekte kwetsbaarheden, kunnen ze de systeembeheerders nooit vertellen hoe ze deze kwetsbaarheden in een specifieke omgeving precies kunnen verhelpen. Een software-update met beveiligingspatches kan bijvoorbeeld compatibiliteitsproblemen veroorzaken met andere geïnstalleerde software, software waarvan de beveiligingsexpert niet weet dat die geïnstalleerd is. Een ander voorbeeld is dat een software-update een herstart van het systeem kan vereisen, maar de beveiligingsexperts weten niet wat de beste timing van deze herstart kan zijn, noch zijn ze op de hoogte van alle serviceovereenkomsten.

Het komt allemaal terug bij jou, als systeembeheerder of IT-manager, om de ontdekte kwetsbaarheden te mitigeren. De details over hoe de kwetsbaarheden moeten worden verholpen worden misschien uitgelegd, maar je hebt dit soort werk nog nooit eerder gedaan. Hoe zou u zich voelen?

Wanneer een systeembeheerder het telefoontje krijgt dat de infrastructuur die hij moet beheren en veilig houden in feite niet zo veilig is als werd verondersteld en aangenomen, kan dit als bedreigend worden ervaren. Als de infrastructuur al die tijd echt kwetsbaar was, hoe hebben we dat dan kunnen missen? Deze overtuiging kan leiden tot een natuurlijke menselijke reactie van terughoudendheid, opstandigheid, verontwaardiging of weerlegging. In het kort:

• Terughoudendheid: “Is het echt zo erg, zijn de systemen echt zo kwetsbaar?”
• Opstandigheid: “Ik heb een investering gedaan, tot nu toe mocht ik mijn eigen beslissingen nemen, vertel me alsjeblieft niet wat ik moet doen.”
• Verontwaardiging: “Ik ben overweldigd door de kwetsbaarheidsrapporten, hoe kunnen we ooit al deze zwakheden beperken?”
• Weerlegging: “Ik heb genoeg redenen waarom het probleem geen probleem is, want ik ken de infrastructuur zo goed en we hebben tot nu toe nog geen inbreuk meegemaakt.”

Deze vier reacties staan beschreven in de zogenaamde pre-contemplatiefase van het “The Stages of Change model,” ook bekend als het “The Transtheoretical Model” ontwikkeld door Prochaska en DiClemente. Elk van deze vier reacties is een belemmering voor een succesvolle implementatie en het veiligstellen van je organisatie. Om een voorbeeld te noemen: medewerkers die overweldigd zijn door de hoeveelheid rode cijfers in de eerste rapporten, geven misschien de hoop op om het systeem ooit nog veilig te maken. Of ze kunnen zich in verlegenheid gebracht voelen, wat allemaal kan leiden tot problemen in de samenwerking met de beveiligingsexperts.

Conclusie

Het succesvol implementeren van kwetsbaarhedenbeheer houdt meer in dan alleen het introduceren van nieuwe software en specifieke werkzaamheden in je organisatie. Een succesvolle implementatie van kwetsbaarhedenbeheer vereist toewijding, bewustzijn en voor de meeste mensen ook een verandering in de manier waarop ze de impact van hun werk en dagelijkse taken waarnemen. Waar systeembeheerders en IT-managers vroeger alert waren over uptime, beschikbaarheid en betrouwbaarheid, is er nu een nieuwe dimensie bijgekomen. Een nieuwe dimensie die vereist dat IT-managers verder vooruit kijken, en begrijpen hoe hun veerkracht en waakzaamheid de veiligheid van de gegevens van hun klanten en collega's beïnvloedt.

Helaas is er tijdens en na de implementatie van kwetsbaarhedenbeheer in een organisatie vaak geen tijd om het menselijke element van deze transformatie aan de orde te stellen vanwege tijdgebrek. In wezen vragen beveiligingsexperts en leidinggevenden systeemingenieurs en IT-managers om een andere kijk te ontwikkelen en de situatie vanuit een ander perspectief te bekijken: het cyberbeveiligingsperspectief. Dit kan nieuw voor ze zijn. Het is zowel rechtvaardig als logisch om een periode van aanpassing aan deze verschuiving in perspectief mogelijk te maken.

Essentiële inzichten

• Geduld is de sleutel. Erken dat onder andere systeembeheerders tijd nodig hebben om rapporten over kwetsbaarheden te verwerken en remediërende strategieën te formuleren. Het proces overhaasten kan weerstand in de hand werken.
• Training in beveiligingsbewustzijn: Goed opgeleide werknemers zullen beveiligingsprocedures en -beleid in de toekomst eerder omarmen. De eerste rapporten over kwetsbaarheden zijn minder eng als de systeembeheerders zijn uitgerust met de vaardigheden en ervaring om ze te begrijpen.
• Gedeelde verantwoordelijkheid: Je organisatie veilig houden is uiteindelijk een gedeelde verantwoordelijkheid; uiteindelijk heeft iedereen hetzelfde doel. Een veiligere organisatie kan alleen worden bereikt door de gezamenlijke inspanningen van zowel beveiligingsexperts als systeembeheerders. Een gezamenlijke aanpak, gebaseerd op wederzijds respect en begrip, is de basis voor een succesvol kwetsbaarheidbeheerprogramma.