Cyberbeveiliging als een quilt: patches als sleutel tot een sterke verdediging

LastPass Labs is de centrale content hub voor het TIME-team (Threat Intelligence, Mitigation, and Escalation) team van LastPass. Wij maken diepgaande analyses van de nieuwste ontwikkelingen op het gebied van cyberbeveiliging door middel van innovatieve technologieën een uniek perspectief op nieuwe dreigingen. Van éénpitters tot internationale multinationals: geen enkel bedrijf kan zonder cyberbeveiliging. Sommige bedrijven kunnen het zich veroorloven om hiervoor een speciaal budget te reserveren, maar vaak moeten bedrijven prioriteiten stellen en zo veel mogelijk doen met beperkte middelen.  Een paar basics zijn helder: ieder bedrijf heeft een goede beveiliging nodig voor e-mails, inclusief scans die verdachte berichten filteren en blokkeren. Ook moeten bedrijven hun medewerkers trainen en voorlichten over aanvallen met social engineering. En IT-afdelingen moeten gericht kwetsbaarheden beheren. Dit is een onmisbare pijler voor ieder beveiligingsbeleid en levert een directe Return on Investment. Succesvolle exploits van kwetsbaarheden zijn één van de belangrijkste oorzaken van cyberincidenten. Het onderzoeksbureau Mandiant heeft in zijn M-Trends rapport voor 2023 aangegeven dat dit soort exploits een rol speelde in 36% van de systeeminbraken die het had onderzocht. Verschillende kaders voor cyberbeveiliging, onder andere dat van het Amerikaanse National Institute of Standards and Technology (NIST), benadrukken hoe belangrijk het is om de technologische infrastructuur werkelijk te begrijpen en te weten welke apparaten zich op een netwerk bevinden (assetbeheer). Met inzicht in hun inventaris kunnen bedrijven van klein tot groot snel nagaan of een nieuwe kwetsbaarheid voor hen relevant is, en in actie komen om de benodigde patches uit te rollen. Als u niet weet dat u iets hebt, kunt u het ook niet beschermen. Daarom kunnen we niet genoeg benadrukken hoe waardevol het is om snel te weten of uw huidige omgeving kwetsbaarheden bevat, en om deze vervolgens nog sneller op te lossen.  Uit het Vulnerability Intelligence Report van Rapid7 voor 2022 kwam naar voren dat ruim de helft van de bestudeerde kwetsbaarheden binnen zeven dagen na hun openbaarmaking werd misbruikt. Dat is 12% meer dan in 2021 en zelfs 87% meer dan in 2020. De meeste mensen denken bij kwetsbaarheden aan grote softwareleveranciers, maar door de populariteit van open-source software is het bedreigingslandschap door kwetsbaarheden nog ingewikkelder. Volgens een onderzoek van OpenUK gebruikt 90% van de bedrijven open-source software. Hierdoor nemen de mogelijke beveiligingsrisico's in de leverketen toe, bovenop de standaard zorgen over besturingssystemen en/of eigen software. Gartner voorspelt bovendien dat 45% van de organisaties overal ter wereld voor 2025 te maken zullen krijgen met een aanval op hun softwareleverketen. Open-source software is wijdverbreid, en dat zorgt voor afhankelijkheden die lastig te herkennen zijn als bedrijven hier niet extreem goed op letten. Een voorbeeld is de Apache Log4j kwetsbaarheid (CVE-2021-44228), één van de meest misbruikte kwetsbaarheden van 2022. Zelfs een jaar na de eerste openbaarmaking was Log4j nog aanwezig in 5% van de codebases die Synopsys heeft onderzocht voor zijn Open-Source Security and Risk Analysis Report van 2023. Door het vele thuiswerken en wijdverbreid gebruik van Bring Your Own Device, hebben hackers veel meer mogelijkheden dan vroeger om bedrijven aan te vallen. Er zijn veel toegangspunten buiten de traditionele grenzen van een bedrijfsinfrastructuur, en bedrijven moeten rekening houden met potentiële kwetsbaarheden die buiten hun directe controle liggen.  Een sterk beleid voor patches, voorlichting voor medewerkers en goede communicatie zijn onmisbaar om deze buitengrenzen van de digitale bedrijfsomgeving te versterken.

Welke stappen kunt u zetten?

• Stel beleid en procedures op voor de omgang met kwetsbaarheden en voor het patchbeheer, in aansluiting op de best practices en de prioriteiten van uw bedrijf. Met een helder beleid dat vastlegt hoe er moet worden gereageerd op nieuwe kwetsbaarheden, wordt het sneller en eenvoudiger om de benodigde maatregelen door te voeren.
• Investeer indien mogelijk in tools die de automatische detectie van assets en kwetsbaarheden ondersteunen, en/of inzicht bieden in mogelijke bedreigingen.
• Ontwikkel een goede asset-inventaris van de software binnen uw bedrijf, inclusief inzicht in de mogelijke afhankelijkheden van open-source. Met Software Bills Of Material (SBOM's) kunt u nagaan welke open-source componenten essentieel zijn voor uw operationele activiteiten, zodat u snel kunt reageren als hier een nieuwe kwetsbaarheid ontstaat.
• Schakel waar mogelijk automatische updates in voor software, om kwetsbaarheden zo snel mogelijk aan te pakken. Als tests vereist zijn om zeker te zijn dat een update het operationele werk niet stoort, voer deze tests dan zo snel mogelijk uit.
• Het aantal kwetsbaarheden dat jaarlijks bekend wordt kan overweldigend zijn: in 2022 waren het er 25.000. Stel prioriteiten bij het patchen op basis van de ernst en de vraag of cybercriminelen actief gebruik maken van een kwetsbaarheid. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) houdt een catalogus bij van bekende misbruikte kwetsbaarheden en werkt deze lijst regelmatig bij (deze catalogus vindt u hier). De lijst is gratis beschikbaar en vormt een belangrijk uitgangspunt om prioriteiten te stellen in uw patchbeheer op basis van werkelijke bedreigingen.  Het Forum of Incident Response and Security Teams (FIRST) heeft bovendien een score ontwikkeld, die aangeeft hoe waarschijnlijk het is dat een kwetsbaarheid zal worden misbruikt: het Exploit Prediction Scoring System (EPSS). Ook die kan helpen om prioriteiten te stellen.
• Het kan ook nuttig zijn om een eigen methodologie te ontwikkelen om prioriteiten te stellen, zodat u snel op een passende manier kunt reageren op nieuwe kwetsbaarheden. Hierbij kunt u dan rekening houden met verschillende elementen: externe factoren zoals de CVSS-score en de vraag of een kwetsbaarheid actief misbruikt wordt, en interne factoren zoals de vraag of de betroffen assets van kritiek belang zijn voor uw bedrijfsvoering, of bijvoorbeeld een impact hebben op klanten.
• Stel een helder beleid op voor het updaten van apparaten die medewerkers zelf inbrengen (BYOD) en maak deze verwachtingen ook duidelijk aan medewerkers. Communiceer nieuwe kwetsbaarheden die van belang zijn voor deze apparaten (inclusief smartphones en privécomputers), zodat medewerkers de benodigde patches kunnen installeren.

Het kan overweldigend lijken om een goed programma voor het beheer van kwetsbaarheden op te zetten, maar met deze stappen ondersteunt u ook met beperkte middelen een benadering die prioriteiten stelt op basis van de bedreiging.  Met deze risicogebaseerde aanpak kunnen bedrijven het maximale uit hun investeringen halen met behulp van het Pareto-principe: 80% van de voordelen van het beheer van kwetsbaarheden worden bereikt met de eerste 20% aan inspanningen. Het LastPass TIME-team (Threat Intelligence, Mitigation, and Escalation) houdt zich bezig met het beschermen van onze gemeenschap door het monitoren, analyseren en mitigeren van dreigingen die zijn gericht tegen onze klanten, ons bedrijf en de beveiligingsbranche als geheel. Het heeft gezamenlijk al 50 jaar ervaring met cyberbeveiliging en dreigingsanalyse en gelooft sterk in het uitwisselen van informatie en het opbouwen van vruchtbare relaties om een effectief programma voor het verzamelen en analyseren van dreigingsinformatie te kunnen ontwikkelen. Binnen LastPass leveren we tijdige en bruikbare informatie aan onze beveiligingsteams, zodat zij onze klanten, hun data en ons bedrijf beter kunnen beschermen. Naast het uitvoeren van analyses en het informeren van onze beveiligingsteams over de nieuwste ontwikkelingen op het gebied van cyberdreigingen, werken we ook aan systemen om onze dreigingsinformatie geautomatiseerd door te geven aan de processen van onze partners, zodat nieuw ontdekte dreigingen sneller gemitigeerd kunnen worden.