blog

Kwetsbaarhedenmanagement

jan-karel

4 min read
Kwetsbaarhedenmanagement
Photo by Matt C / Unsplash

Er zijn twee soorten security-vergaderingen.

In de ene vergadering kijken mensen naar dashboards met rode vakjes, gele grafieken en woorden als “inherent risk” en “residual exposure”. Iedereen knikt ernstig. Iemand zegt “threat landscape” met een stem alsof hij een weersverwachting voor orkanen presenteert. Er worden acties genoteerd die beginnen met “herijken”, “harmoniseren” en “opstellen”.

In de andere vergadering zegt iemand: “We hebben 1.200 kwetsbaarheden, 47 zijn kritisch, en drie daarvan staan open naar het internet.”
En ineens is iedereen wakker. Koffie? Niet meer nodig. Hartslag? Prima.

Dat is het verschil. Risicomanagement is vaak de kunst van het juist benoemen van het probleem. Kwetsbaarhedenmanagement is de kunst van het opheffen van het probleem. En als je moet kiezen tussen “het probleem heel goed beschrijven” en “het probleem oplossen”… tja. Dan is de keuze ongeveer net zo ingewikkeld als kiezen tussen een paraplu en een PowerPoint over regen.

Risicomanagement: briljant, noodzakelijk… en vaak een excuus om niets te doen

Begrijp me niet verkeerd: risicomanagement is niet waardeloos. Het is belangrijk. Het geeft taal aan prioriteiten. Het helpt je kiezen waar je je schaarse tijd en geld inzet.

Maar het heeft een bijzondere bijwerking: je kunt er oneindig lang mee doorgaan zonder dat er iets verandert in je systemen.

Er is een type organisatie dat risico’s beheert zoals mensen hun gezondheid beheren door de calorieën van pizza’s te googelen in plaats van minder pizza te eten.
“Interessant! Deze pepperoni heeft impact!”
En dan nemen ze nog een punt.

Je kunt een risico-register hebben van 93 pagina’s, met prachtige categorieën en kleuren, en toch wordt je gehackt via een VPN-appliance die al 11 maanden “urgent” gepatcht moest worden. En op dat moment is “residual risk” gewoon een chique term voor “we hebben het laten liggen”.

Kwetsbaarhedenmanagement: saai, ondankbaar… en daarom zo effectief

Kwetsbaarhedenmanagement is het poetsen van je tanden van cybersecurity. Niemand voelt zich er stoer door. Niemand zegt op een feestje: “Ik heb gisteren weer heerlijk een patch-cycle gedraaid.” Mensen lopen eerder weg als je dat zegt. Begrijpelijk.

Maar kwetsbaarhedenmanagement doet iets wat risicomanagement vaak alleen belooft: het reduceert de daadwerkelijke attack surface.

Het is ook heerlijk concreet. Je hoeft geen filosoof te zijn om te begrijpen:

  • dit systeem heeft een gat,
  • dit gat is misbruikbaar,
  • dit gat staat aan,
  • fix het.

Geen debat over “waarschijnlijkheid x impact” terwijl je niet eens weet welke assets je precies hebt. Gewoon: fixen, mitigeren, isoleren, of uitzetten.

Waarom “misschien belangrijker” soms echt “praktischer belangrijker” betekent

In de echte wereld worden de meeste organisaties niet neergehaald door een perfect gemodelleerde risico-combinatie. Ze gaan onderuit door dingen die pijnlijk banaal zijn:

  • vergeten patches
  • te brede rechten
  • een vergeten testserver
  • default credentials
  • oude software die “niemand durft aan te raken”
  • een asset waar niemand eigenaar van is (“dat was van het vorige team”)
  • misconfiguraties in cloudomgevingen
  • kwetsbaarheden met publiek beschikbare exploits

En dit is waar kwetsbaarhedenmanagement een soort superkracht heeft: het pakt de common failure modes aan, precies daar waar het pijn doet.

Risicomanagement kan je vertellen dat “ongepatchte systemen een hoog risico vormen.”
Kwetsbaarhedenmanagement zorgt ervoor dat ze gepatcht zijn.
Dat is niet alleen een nuanceverschil; dat is het verschil tussen een rookmelder kopen en een rookmelder ophangen, testen, en de batterij vervangen.

Risico’s zijn vaak hypothetisch; kwetsbaarheden zijn vaak nu

Risico’s hebben iets vaags. Ze leven in scenario’s:

  • “Stel dat een aanvaller…”
  • “Als er een breach is…”
  • “Wanneer het misgaat…”

Kwetsbaarheden zijn een lijst met dingen die vandaag al fout staan. Ze zijn meetbaar, scanbaar, vindbaar. Ze hebben versies, CVE’s, exploitability, een “patch available”-knop die iedereen negeert omdat “het is kwartaal-einde”.

En in cybersecurity wint “nu” het bijna altijd van “misschien”.
Aanvallers wachten niet tot jouw risicomatrix klaar is. Ze wachten niet op je risk committee. Ze wachten niet tot iemand “het framework heeft uitgerold”.

Ze zien een kwetsbaarheid en denken: “Gratis deur.”

Volwassenheid is niet een risk register — het is een ritme

Een volwassen securityorganisatie heeft natuurlijk risicomanagement. Maar je herkent volwassenheid niet aan documenten. Je herkent het aan ritme:

  • we weten wat we hebben (asset inventory)
  • we scannen consequent
  • we prioriteren op exploitability + exposure + impact
  • we patchen binnen afgesproken SLA’s
  • we verifiëren dat het echt weg is
  • we meten trends (worden we beter?)
  • we hebben uitzonderingen, maar die zijn expliciet, tijdelijk en gemonitord

Kwetsbaarhedenmanagement dwingt dat ritme af. En dat ritme is volwassenheid in actie. Zonder ritme is volwassenheid gewoon een beleidsmap.

“Maar risicomanagement helpt ons prioriteren!”

Klopt. En hier komt de ironie: goed kwetsbaarhedenmanagement is risicomanagement, maar dan met werkhandschoenen aan.

Als je kwetsbaarhedenmanagement goed doet, ben je continu bezig met:

  • wat is blootgesteld?
  • wat is kritiek?
  • wat is exploitbaar?
  • wat raakt onze kroonjuwelen?
  • wat is de snelste risicoreductie per uur werk?

Dat is risicodenken, alleen zonder de drang om het eerst drie lagen governance door te rollen.

Het grote gevaar: risicomanagement als uitstelmechanisme

Sommige organisaties gebruiken risicomanagement als een elegante manier om te zeggen: “We hebben besloten het niet te fixen, maar we willen niet dat het voelt alsof we niets doen.”

Daarom bestaan zinnen als:

  • “We accepteren dit risico.”
  • “We mitigeren met compensating controls.”
  • “We monitoren de situatie.”

Dat kan allemaal legitiem zijn. Soms is patchen echt lastig. Soms is downtime duur. Soms heb je legacy.

Maar “risk acceptance” zonder strak kwetsbaarhedenmanagement is als zeggen:
“Ja, ik rijd zonder remmen, maar ik heb er een risicoanalyse van gemaakt.”

Dus: is kwetsbaarhedenmanagement belangrijker?

Als je bedoelt: “Is risicomanagement onzin?” Nee.
Als je bedoelt: “Welke levert sneller, tastbaarder risicoreductie op in de praktijk?” Vaak wel: kwetsbaarhedenmanagement.

Omdat het:

  • direct je exposure vermindert,
  • de meest voorkomende aanvalspaden afsluit,
  • meetbaar en uitvoerbaar is,
  • en volwassenheid omzet van papier naar gedrag.

Risicomanagement vertelt je waar de brand kan ontstaan.
Kwetsbaarhedenmanagement zorgt dat er minder brandstof rondslingert.