CVE gebaseerde Threat Mitigation

Threat mitigatie is tot op zekere hoogte de taak van cybersecurity experts en bijbehorende systemen en processen. Echter niet elk bedrijf heeft beschikking over dedicated security medewerkers, Red en Blue teams en/of tooling binnen het specialistische domein van de cybersecurity.

Als het aankomt op patchen van systemen in de vorm van OS of firmware updates, bijhouden van en acteren op intrusion detection meldingen uit beveligingssystemen en het saneren van een omgeving na een aanval komt de last hiervan veelal bij de sysadmins (systeembeheerders) terecht.

Deze taak wordt, met ruim 28.000 gemelde kwetsbaarheden in 2021, praktisch onmogelijk. Veel IT teams richten zich op CVE’s en gebruiken tooling en scanners om de bij de CVE behorende benodigde patches in kaart te brengen en toe te passen.

“Je kunt je niet beschermen tegen zaken waarvan je niet weet dat je er kwetsbaar bent.”
Feit is dat een groot gedeelte van de kwetsbaarheden in veel gevallen niet eens een CVE classificering krijgen, inmiddels loopt dit aantal op tot wel 100.000 kwetsbaarheden die NIET in de CVE, MITRE, NVD databases gemeld zijn.

Wanneer de diverse CVE databases nauwkeuriger bekeken worden, is op te merken dat vele kwetsbaarheden al tijden geleden bekend zijn voordat deze geëxploiteerd worden in het wild en acute beveiligingsproblemen veroorzaken, waardoor patchen een haastige noodzakelijkheid wordt.

Uiteindelijk wordt de overvloed aan CVE aankondigingen achtergrond geluid en wordt de aanname gedaan dat dagelijks, wekelijks of maandelijks patchen voldoende is. In werkelijkheid wordt de inhoudelijke gedetailleerde informatie van CVE aankondigingen niet of nauwelijks meer bekeken. Oorzaak is dat sysadmins niet de cycles hebben en overbelastte IT afdelingen nemen ongemerkt de sluiproute blind te patchen op basis van de CVE fix van de vendor.

Hierin kan interactie van het gepatchte systemen in de keten over het hoofd gezien worden, wordt er niet of nauwelijks getest en ligt de korrel op de CVE ernstigheid (severity) i.p.v. de exploitability.

Wij zien momenteel een kentering in deze aanpak. Door de focus te leggen op exploitability en “levende” risk based vulnerability databases te gebruiken, kan patchen toegespitst worden op de grootste risico’s binnen een onderneming waardoor patch management weer overzichtelijk, begrijpbaar, uitlegbaar en toepasbaar wordt.

Bronnen:
https://www.riskbasedsecurity.com/
https://vulndb.cyberriskanalytics.com/#statistics
https://www.kennasecurity.com/

ook interessant