(Cyber)risico = Kans op optreden x Schade

Hier leest u hoe u uw cyberveerkracht kunt verbeteren met CVSS

Eind 2023 werd het Common Vulnerability Scoring System (CVSS) v4.0 onthuld, als opvolger van de acht jaar oude CVSS v3.0, met als doel de beoordeling van kwetsbaarheden voor zowel de industrie als het publiek te verbeteren. Deze nieuwste versie introduceert aanvullende statistieken zoals veiligheid en automatisering om kritiek op het gebrek aan granulariteit aan te pakken, terwijl een herzien scoresysteem wordt gepresenteerd voor een uitgebreidere evaluatie. Het benadrukt verder het belang van het in aanmerking nemen van milieu- en dreigingsstatistieken naast de basisscore om kwetsbaarheden nauwkeurig te kunnen beoordelen.

Waarom maakt het uit?

Het primaire doel van de CVSS is het evalueren van het risico dat aan een kwetsbaarheid is verbonden. Sommige kwetsbaarheden, vooral die in netwerkproducten, vormen een duidelijk en aanzienlijk risico, omdat niet-geverifieerde aanvallers deze gemakkelijk kunnen misbruiken om op afstand controle te krijgen over getroffen systemen. Deze kwetsbaarheden zijn in de loop der jaren veelvuldig misbruikt en dienden vaak als toegangspunt voor ransomware-aanvallen.

Systemen voor de beoordeling van kwetsbaarheden maken gebruik van vooraf gedefinieerde factoren om de waarschijnlijkheid en de potentiële impact van kwetsbaarheden objectief te kwantificeren. Van deze systemen is CVSS uitgegroeid tot een internationaal erkende standaard voor het beschrijven van de belangrijkste kwetsbaarheidskenmerken en het bepalen van de ernstniveaus.

CVSS evalueert kwetsbaarheden op basis van verschillende criteria, waarbij gebruik wordt gemaakt van statistieken met vooraf gedefinieerde opties voor elke metriek. Deze statistieken dragen bij aan het berekenen van een ernstscore variërend van 0,0 tot 10,0, waarbij 10,0 het hoogste ernstniveau vertegenwoordigt. Deze numerieke scores worden vervolgens toegewezen aan kwalitatieve categorieën zoals 'Geen', 'Laag', 'Gemiddeld', 'Hoog' en 'Kritisch', wat de terminologie weerspiegelt die vaak wordt gebruikt in kwetsbaarheidsrapporten.

De statistieken die worden gebruikt bij het bepalen van de ernst zijn onderverdeeld in drie groepen:

  1. Basisstatistieken
  2. Tijdelijke statistieken
  3. Milieustatistieken

Elke groep biedt specifieke inzichten in verschillende aspecten van de kwetsbaarheid, wat helpt bij een uitgebreide beoordeling van de ernst en potentiële impact ervan.

Door gebruik te maken van Common Vulnerability and Exposure (CVE)-identificatoren:

  • bedrijven kunnen bekende kwetsbaarheden in hun systemen effectief volgen, waardoor ze middelen kunnen toewijzen voor patching en herstel op basis van het risiconiveau dat elke kwetsbaarheid met zich meebrengt.
  • Ze zorgen ervoor dat beperkte middelen efficiënt worden gebruikt om kritieke beveiligingsproblemen aan te pakken.
  • Standaardisatie via CVSS en CVE verbetert de interoperabiliteit tussen beveiligingstools en -systemenwaardoor een nauwkeurigere detectie en reactie op potentiële bedreigingen mogelijk wordt gemaakt door netwerkgebeurtenissen te correleren met bekende kwetsbaarheden.
  • De integratie van feeds met bedreigingsinformatie in beveiligingstools wordt mogelijk gemaakt door CVSS en CVE, waardoor bedreigingen kunnen worden geïdentificeerd en geprioriteerd op basis van hun associatie met bekende CVE's.
  • Kennis van CVSS-scores en CVE-identifiers maakt dit ook mogelijk snellere en effectievere respons op incidenten, met tools die netwerkgebeurtenissen automatisch correleren met relevante CVE's om beveiligingsteams te voorzien van bruikbare informatie voor snelle mitigatie.
  • Het begrijpen van CVSS en CVE helpt bedrijven bij het ontmoeten vereisten voor naleving van de regelgevingwaardoor ze kwetsbaarheden kunnen identificeren, prioriteren en aanpakken in overeenstemming met regelgevingskaders.

CVSS helpt bij het beoordelen van de ernst van kwetsbaarheden, waardoor bedrijven effectief prioriteit kunnen geven aan patches en mitigatie-inspanningen, waarbij de middelen eerst worden gericht op het aanpakken van kritieke kwetsbaarheden.

Waar wordt het gebruikt?

Beveiligingstools zoals EDR profiteren van het regelmatig opnemen van gegevens uit gerenommeerde CVE-databases. Deze databases verschaffen details over bekende kwetsbaarheden, inclusief hun unieke CVE-identificatoren en bijbehorende CVSS-scores.

  1. Door CVE's op één lijn te brengen met handtekeningen, ontwikkelt EDR regels of handtekeningen op basis van CVE-gegevens, waarbij elke handtekening overeenkomt met een specifieke kwetsbaarheid die door de CVE wordt geïdentificeerd.
  2. Bij het detecteren van activiteit die overeenkomt met een handtekening, activeert de EDR een waarschuwing.
  3. Vervolgens kunnen EDR's eindpunten hinderen of isoleren als reactie op CVE-gerelateerde waarschuwingen.
  4. Beveiligingsteams gebruiken doorgaans meerdere CVE-databases om kwetsbaarheden te monitoren en hun beveiligingsarsenaal bij te werken om klanten te beschermen tegen potentiële bedreigingen.

Resultaat: wanneer er een nieuwe CVE ontstaat, wordt de EDR-oplossing onmiddellijk bijgewerkt met de handtekening ervan, waardoor preventieve blokkering van zero-day-aanvallen aan de netwerkrand mogelijk wordt, vaak voorafgaand aan de implementatie van leverancierspatches op kwetsbare systemen.

Hoewel EDR en firewalls pogingen om bekende CVE's te exploiteren effectief belemmeren, worden ze vaak geconfronteerd met uitdagingen bij het bedenken van algemene regels en het uitvoeren van gedragsanalyses om exploitaanvallen van opkomende of onbekende bedreigingsvectoren te identificeren.

Network Detection and Response (NDR) gaat verder dan het typische aanbod van EDR door een holistische benadering van cyberbeveiliging te omarmen. NDR combineert de kracht van scoring (zoals CVSS) en Machine Learning. Terwijl EDR voornamelijk afhankelijk is van op handtekeningen gebaseerde detectie, breidt NDR dit uit met op gedrag gebaseerde anomaliedetectie.

Hierdoor kan het bedreigingen van bekende CVE’s en nieuwe en opkomende aanvalsvectoren identificeren. Door afwijkingen en afwijkingen te analyseren, detecteert NDR verdachte gedragspatronen nog voordat specifieke handtekeningen beschikbaar zijn. Het vertrouwt niet alleen op historische gegevens, maar past zich ook aan aan evoluerende bedreigingen.

Meer dan de bekende kwetsbaarheden

Terwijl EDR uitblinkt in het blokkeren van bekende kwetsbaarheden, breidt NDR zijn mogelijkheden uit naar zero-day-aanvallen en onbekende bedreigingsvectoren. Het wacht niet op CVE-updates, maar identificeert proactief abnormale activiteiten. Het observeert netwerkverkeer, gebruikersgedrag en systeeminteracties. Als een activiteit afwijkt van de norm, geeft dit alarm, ongeacht of er een specifieke CVE aan gekoppeld is. NDR leert voortdurend van netwerkgedrag. Het past zich aan veranderingen aan, waardoor het effectief is tegen nieuwe aanvalstechnieken.

Zelfs als een aanvalsvector nog niet eerder is waargenomen, kan NDR waarschuwingen genereren op basis van afwijkend gedrag. Last but not least beperkt NDR zich niet tot eindpunten. Het monitort netwerkbrede activiteiten en biedt een bredere context. Met NDR-mogelijkheden kan het gebeurtenissen over de gehele infrastructuur correleren.

In combinatie met EDR reageert NDR snel op bedreigingen. Het vertrouwt niet uitsluitend op eindpuntgebaseerde regels, maar houdt rekening met netwerkbrede patronen.

Maak het telbaar!

Risk-Based Alerting (RBA) komt naar voren als een hoeksteen van de efficiëntie van cyberbeveiliging, waarbij gebruik wordt gemaakt van een dynamische aanpak voor het detecteren en reageren op bedreigingen. Door waarschuwingen te prioriteren op basis van vooraf vastgestelde risiconiveaus, stroomlijnt RBA de inspanningen, waardoor beveiligingsteams zich kunnen concentreren waar ze het belangrijkst zijn, waardoor het waarschuwingsvolume wordt verminderd en de toewijzing van middelen wordt geoptimaliseerd. CVSS fungeert als een cruciaal element in effectief risicobeheer en biedt een gestandaardiseerd raamwerk voor het evalueren van kwetsbaarheden op basis van hun ernst. Hoog scorende kwetsbaarheden, die wijzen op een hoge exploiteerbaarheid of impact, vereisen onmiddellijke aandacht en robuuste beschermende maatregelen.

De combinatie van CVSS met een op risico gebaseerde aanpak stelt organisaties in staat kwetsbaarheden te identificeren en aan te pakken, waardoor hun cyberverdediging proactief wordt versterkt. Het begrijpen van CVSS en CVE verbetert de risicobeoordeling, helpt bij de toewijzing van middelen en geeft prioriteit aan patch- en herstelinspanningen.

NDR integreert risicobeoordeling in de kernfunctionaliteit, zodat u waarschuwingen kunt prioriteren op basis van ernst en potentiële impact. U kunt waarschuwingsdrempels aanpassen aan hun risicotolerantie, waardoor relevante waarschuwingen worden gegarandeerd en de toewijzing van middelen wordt geoptimaliseerd terwijl de ruis wordt verminderd.

In combinatie met NDR-oplossingen wordt de effectiviteit van RBA vergroot. NDR maakt gebruik van continue monitoring en machine learning-algoritmen om realtime inzicht te bieden in netwerkactiviteit, waardoor snelle reacties op potentiële bedreigingen mogelijk worden gemaakt door het risico te beoordelen dat gepaard gaat met gedetecteerde gebeurtenissen.

NDR, ML, RBA en CVS verbeteren samen de beveiligingsmaatregelen en het risicobeheer in het cyberbeveiligingslandschap:

  • De ML-algoritmen van NDR maken vroege detectie van bedreigingen mogelijk door op gedrag gebaseerde afwijkingen te analyseren, waardoor proactieve beveiligingsmaatregelen worden vergemakkelijkt.
  • ML-gestuurde inzichten monitoren voortdurend het netwerkverkeer en het gebruikersgedrag, verbeteren de risicobeoordeling en maken snelle reacties op potentiële risico's mogelijk.
  • Door CVSS en ML te integreren, biedt NDR dus vertrouwen bij het navigeren door complexe cyberbeveiligingslandschappen en maakt het efficiëntie van hulpbronnen mogelijk via gestroomlijnde waarschuwingen op basis van vooraf gedefinieerde risiconiveaus.

NDR maakt gebruik van CVSS-scores en biedt een gedetailleerde risicobeoordeling en geeft prioriteit aan waarschuwingen op basis van de ernst van de kwetsbaarheid, waardoor snelle reacties op zeer ernstige CVE-gerelateerde waarschuwingen worden gegarandeerd. Organisaties kunnen waarschuwingsdrempels aanpassen op basis van CVSS-scores, waarbij de inspanningen worden gericht op kwetsbaarheden boven specifieke drempels. Het integreren van CVSS-scores en CVE-identifiers contextualiseert waarschuwingen, begeleidt geïnformeerde besluitvorming tijdens de respons op incidenten en geeft prioriteit aan herstelinspanningen op basis van de ernst.

Voor meer informatie over het integreren van CVSS kunt u hier ons CVSS-boekje downloaden!

Cv

Het begrijpen van CVSS en CVE is van cruciaal belang voor bedrijven en beveiligingsteams. Bedrijven profiteren door middelen efficiënt toe te wijzen op basis van CVE-identificatoren om prioriteit te geven aan patching en herstel. Standaardisatie via CVSS en CVE verbetert de interoperabiliteit tussen beveiligingstools, wat helpt bij het nauwkeurig detecteren en reageren op bedreigingen.

NDR, dat CVSS en ML integreert, overtreft EDR met op gedrag gebaseerde detectie van afwijkingen, waardoor bedreigingen worden geïdentificeerd die verder gaan dan bekende CVE's. Het aanpassingsvermogen van NDR aan evoluerende bedreigingen en de netwerkbrede monitoringmogelijkheden maken het effectief tegen zero-day-aanvallen en onbekende bedreigingsvectoren. Download ons CVSS-boekje voor meer!


Thijs Van der Does