Van 17.000 naar 1,1 miljoen activa: hoe Lumen Technologies het belichtingsbeheer op schaal opnieuw heeft opgebouwd

De meeste ondernemingen gaan ervan uit dat hun activa-inventaris vrijwel accuraat is. Het bewijs suggereert anders. Volgens een onderzoek onder meer dan 600 beveiligingsleiders in het Axonius Actionability Report uit 2026 consolideert slechts 45% van de organisaties hun asset- en exposure-gegevens in één overzicht, en neemt elk downstream beveiligingsprogramma over wat de inventaris ook maar misgaat.

Lumen Technologies, een telecommunicatiebedrijf met bijna een eeuw geschiedenis, heeft dit op de proef gesteld. Geoff Krahn, directeur Product- en Platformbeveiliging bij Lumen, en zijn team gebruikten het Axonius Asset Intelligence-platform om gegevens van meer dan veertig losgekoppelde systemen samen te brengen in één vertrouwde weergave. Ze ontdekten 60 keer meer apparaten dan ze wisten en bouwden op die basis hun programma voor blootstellingsbeheer opnieuw op.

Waarom activa-inventarisaties op ondernemingsschaal kapot gaan

De omgeving van Lumen is een extreem voorbeeld van een probleem dat de meeste beveiligingsteams herkennen. Meer dan veertig onafhankelijke IT- en beveiligingstools volgden verschillende delen van de werkelijkheid op verschillende volwassenheidsniveaus, waarbij geen enkele het eens was over het aantal apparaten, eigendom of dekkingsstatus. Toen het leiderschap vroeg welk percentage van de servers EDR had, betekende het antwoord dat ze moesten putten uit bronnen die elkaar tegenspraken.

“We waren voortdurend bezig met incidentresponsoproepen zonder enig idee wie de eigenaar was van wat”, zei Krahn.

Axonius gaf het team een ​​manier om al deze bronnen in één model te verenigen. De reikwijdte bleek veel groter dan iedereen had verwacht:

  • Uitgangspunt: ~17.000 bekende cyberactiva in bestaande inventarissen
  • Na initiële afstemming: 500.000 apparaten geïdentificeerd en gecategoriseerd
  • Huidig ​​bereik: Ongeveer 1,1 miljoen apparaten

“Het is echt een eye-opener geweest voor de organisatie als geheel hoe groot onze verantwoordelijkheden zijn”, aldus Krahn. “Door het feit dat we dit kunnen kwantificeren en gaten in de controles kunnen benadrukken, hebben we de steun en financiering van het leiderschap gekregen die we nodig hebben.”

Wat betrouwbare assetdata mogelijk maakt

Zero-day-reactie

Wanneer een kritieke kwetsbaarheid wegvalt, hangt de snelheid ervan af van weten wat er zichtbaar is en wie de eigenaar ervan is. Het team van Krahn kan nu getroffen systemen identificeren, bevestigen of ze extern zijn blootgesteld en binnen enkele minuten het eigendom vaststellen, en vervolgens waarschuwingen naar technici sturen via een chatbot die bovenop Axonius is gebouwd.

“Het kunnen krijgen van vrijwel onmiddellijke informatie over hoeveel assets vatbaar zijn voor een 0-day-vuln, wie de eigenaar is, of ze extern zijn blootgesteld… is cruciaal voor tijdige respons en communicatie”, aldus Krahn.

Zichtbaarheid van applicatiehouding

Lumen voert duizenden interne applicaties uit. Weten of een server een patch heeft, geeft geen antwoord op wat deze ondersteunt, wie de eigenaar is van de applicatie erop, of welke inkomstenstroom een ​​compromis in gevaar zou brengen.

Door CMDB-relaties te correleren met controledekking, kwetsbaarheidsgegevens en end-of-life-status, heeft Lumen binnen Axonius een Application Posture Dashboard gebouwd dat risico’s evalueert op applicatieniveau in plaats van alleen op infrastructuurniveau. Krahn is van plan dit rechtstreeks te koppelen aan de producten die Lumen verkoopt, waardoor de blootstelling aan cyberbeveiliging aan de omzet wordt gekoppeld.

Hoe risicogebaseerd blootstellingsbeheer ‘scan en spam’ vervangt

Zonder betrouwbare assetcontext sorteren de meeste teams standaard op CVSS-score en werken ze top-down. Uit het Actionability Report blijkt dat 56% van de organisaties nog steeds primair afhankelijk is van CVSS voor het stellen van prioriteiten, ondanks de brede overeenstemming dat exploiteerbaarheid, ontploffingsradius en zakelijke impact deze beslissingen zouden moeten sturen.

Kritieke problemen belanden uiteindelijk verborgen achter duizenden bevindingen van gemiddelde ernst die geen milieuspecifiek risico opleveren. Krahn beschrijft het oude model botweg: “scannen en spammen.” Scan alles, dump de resultaten en hoop dat de juiste dingen eerst worden opgelost.

Nu er betrouwbare assetdata beschikbaar waren, sloeg Lumen een andere weg in. Dankzij Axonius Exposures kon het team technische bevindingen combineren met assetcontext, bedrijfskriticiteit en controledekking om aan het licht te brengen welke herstelmaatregelen de grootste risicoreductie opleveren.

“Blootstellingsbeheer zal ons in staat stellen om kwetsbaarheidsbeheer verder te ontwikkelen dan alleen scannen en spam, naar intelligente, op risico’s gebaseerde verzoeken, aangestuurd door herstelacties die de meeste risicoreductie zullen opleveren”, aldus Krahn.

Betere activagegevens maken een slimmer blootstellingsbeheer mogelijk, en de resultaten van blootstellingsbeheer laten zien waar de activagegevens nog moeten worden verbeterd.

Wat gebeurde er toen Lumens leiderschap de gegevens vertrouwde?

Vertrouwde, gekwantificeerde zichtbaarheid veranderde wat het leiderschap bereid was te beslissen:

  • Cloudmigratie: De zichtbaarheid van het einde van de levensduur was de aanleiding voor Lumen’s beslissing om het grootste deel van de infrastructuur naar de cloud te migreren
  • 10x beveiligingsinvestering: De uitgaven groeiden tot grofweg tien keer het vorige niveau, omdat het leiderschap de volledige reikwijdte zag van de voorwaarden waarop zij actie konden ondernemen
  • Rapportage op bestuursniveau: Het bestuur van Lumen vertrouwt nu op door Axonius gegenereerde rapporten voor assetdekking, EDR-implementatie en compliance-inzichten

“De zichtbaarheid die Axonius wist te geven over de end-of-life-problemen die we hadden met onze systemen heeft direct bijgedragen aan de beslissing om het grootste deel van onze infrastructuur naar de cloud te migreren, waardoor het algehele risico met 40% wordt verminderd”, aldus Krahn.

Hebben uw activagegevens dezelfde hiaten?

Als een organisatie met toegewijd leiderschap op het gebied van beveiliging en meer dan 40 inventarisatiesystemen ontdekt dat haar cyber asset management-beeld met een factor 60 afwijkt, moeten de meeste bedrijven ervan uitgaan dat hun eigen gegevens vergelijkbare hiaten vertonen.

Elk programma voor blootstellingsbeheer erft de kwaliteit van de onderliggende activagegevens. Als dat fundament niet is getest, werken de prioriteitenstelling, het in kaart brengen van het eigendom en de herstelworkflows die er bovenop zijn gebouwd, op basis van aannames en niet op basis van bewijsmateriaal.

Lees meer over Axonius Exposures en risicogebaseerd blootstellingsbeheer op ondernemingsniveau.

Thijs Van der Does