Wilt u kwetsbaarheidsbeheer ombouwen tot blootstellingsbeheer? Begin hier!

Cyberbeveiliging
Vulnerability Management

Vulnerability Management (VM) is lange tijd een hoeksteen geweest van de cyberbeveiliging van organisaties. Het is bijna zo oud als de discipline cyberbeveiliging zelf en heeft tot doel organisaties te helpen potentiële beveiligingsproblemen te identificeren en aan te pakken voordat deze ernstige problemen worden. Toch zijn de beperkingen van deze aanpak de afgelopen jaren steeds duidelijker geworden.

In de kern blijven de processen voor Vulnerability Management essentieel voor het identificeren en aanpakken van zwakke punten. Maar naarmate de tijd voortschrijdt en de aanvalsmogelijkheden zich ontwikkelen, begint deze aanpak zijn ouderdom te tonen. In een recent rapport, How to Grow Vulnerability Management into Exposure Management (Gartner, How to Grow Vulnerability Management Into Exposure Management, 8 november 2024, Mitchell Schneider et Al.), geloven we dat Gartner® dit punt nauwkeurig aanpakt en laat zien hoe organisaties: en moet – verschuiven van een op kwetsbaarheid gerichte strategie naar een breder raamwerk voor blootstellingsbeheer (EM). We vinden dat het meer dan de moeite waard is om te lezen en in dit artikel zullen we bekijken waarom Kwetsbaarheidsbeheer tekortschiet, waarom het zo cruciaal is om de zakelijke context te integreren in beveiligingsactiviteiten, en hoe organisaties leiderschap beter kunnen betrekken met meetgegevens die tastbare resultaten aantonen. waarde.

Kwetsbaarheidsbeheer

Om te beginnen is traditioneel kwetsbaarheidsbeheer beperkt

Het verbaast niemand dat traditionele oplossingen voor Vulnerability Management moeite hebben om de uitdagingen van cybersecurity vandaag de dag bij te houden. Daar zijn een paar specifieke redenen voor; Kwetsbaarheidsbeheer is een uitdaging vanwege het brede scala aan belanghebbenden die er invloed op hebben en er interactie mee hebben. Een andere belangrijke uitdaging is simpelweg het grote aantal geïdentificeerde kwetsbaarheden. Zonder een duidelijke manier om deze te rangschikken, zorgen traditionele VM-oplossingen ervoor dat beveiligingsorganisaties met overweldigend lange lijsten met kwetsbaarheden kampen – en geen duidelijke routekaart om deze aan te pakken.

Risk Based Vulnerability Management (RBVM)-tools geven prioriteit aan herstelmaatregelen op basis van hoe waarschijnlijk het is dat ze impact hebben op uw omgeving of context, maar zelfs met deze tools is het lang niet genoeg om een ​​substantiële deuk te slaan in het volume aan blootstellingen dat u nodig heeft aan te pakken.

De operationele vermoeidheid die voortkomt uit deze ongeprioriteerde stortvloed aan kwetsbaarheden leidt er vaak toe dat kritieke kwetsbaarheden over het hoofd worden gezien. Dit terwijl minder dringende problemen kostbare tijd en middelen vergen. Het kan ook leiden tot ‘analyseverlamming’, waarbij teams eenvoudigweg verlamd raken door het enorme aantal problemen waarmee ze worden geconfronteerd, en niet meer kunnen beslissen waar ze moeten beginnen of hoe ze moeten handelen.

Traditionele VM slaat ook de plank mis door er niet in te slagen de zakelijke context te integreren. Dit kan leiden tot een focus op technische problemen zonder na te denken over de manier waarop de bijbehorende kwetsbaarheden kritieke bedrijfsfuncties kunnen beïnvloeden. Net als bij analyseverlamming leidt deze verkeerde afstemming tot inefficiënt gebruik van middelen en maakt het organisaties onnodig kwetsbaar.

Ten slotte zijn compliance-gestuurde kwetsbaarheidsbeoordelingen tegenwoordig meer gericht op het voldoen aan wettelijke vereisten dan op het verbeteren van de beveiligingssituatie. Hoewel deze VM-gestuurde beoordelingen auditors tevreden kunnen stellen, pakken ze zelden de reële bedreigingen aan waarmee organisaties worden geconfronteerd.

De geheime saus: zakelijke context

Een cruciale stap in de overstap naar Exposure Management is het toevoegen van zakelijke context aan elke relevante beveiligingsoperatie. Dit is essentieel om de inspanningen op het gebied van cyberbeveiliging af te stemmen op de strategische organisatiedoelstellingen. Maar het is ook nodig om de cyberveiligheid te kunnen veranderen weg niet gezien te worden als een technische exercitie en een preventiegedreven kostenpost richting een strategische factor en inkomstenbron zijn. Door dit te doen kunnen we beter geïnformeerde besluitvorming aan de veiligheidskant bevorderen, terwijl we de weerstand van niet-veiligheidsbelanghebbenden verminderen.

Het afstemmen van beveiligingsdoelstellingen op bedrijfsprioriteiten minimaliseert ook de wrijving. In plaats van zich uitsluitend op technische risico’s te concentreren, kunnen beveiligingsteams vragen beantwoorden zoals welke activa het meest cruciaal zijn voor de bedrijfsvoering en de reputatie. Dit niveau van duidelijkheid draagt ​​ertoe bij dat de schaarse middelen zich richten op de belangrijkste risico’s. (Wilt u meer weten over hoe u bedrijfskritische activa kunt benutten? Bekijk ons ​​recente artikel om te zien hoe XM Cyber ​​u helpt de activa te identificeren die absoluut essentieel zijn voor het functioneren van uw bedrijf en deze te beschermen tegen risico’s met grote impact.)

Bovendien falen traditionele veiligheidsinspanningen vaak omdat ze de verkeerde vragen stellen. De verkeerde vraag is: “Hoe elimineer ik deze kwetsbaarheid… en de volgende… en de volgende?” De juiste vraag zou zijn: “Hoe beïnvloedt deze kwetsbaarheid de winstgevendheid/productacceptatie/inkomstenstromen/het benoemen van uw bedrijfsresultaten – en moeten we dit überhaupt aanpakken?” Door de juiste vragen te stellen en de zakelijke context te integreren in beveiliging, transformeren we beveiliging van een reactief proces naar een proactieve strategie. De verschuiving naar Exposure Management overbrugt de flagrante kloof tussen onze technische teams en bedrijfsleiders, omdat het ons helpt te laten zien dat beveiligingsinitiatieven de risico’s aanpakken die er het meest toe doen.

Inzicht in het huidige aanvalsoppervlak

Het is geen geheim dat het aanvalsoppervlak zich tot ver buiten de traditionele IT-perimeters heeft uitgebreid en dat dit bredere risico’s en uitdagingen voor beveiligingsorganisaties met zich meebrengt. Het tijdperk van ‘slechts’ systemen en netwerken op locatie is al lang voorbij – het aanvalsoppervlak van vandaag omvat SaaS-platforms, IoT-apparaten, hybride en externe arbeidskrachten, complexe toeleveringsketens, sociale media, platforms van derden, het dark web, publieke bezittingen en nog veel meer.

Het beheren van aanvalsoppervlakken kan overweldigend zijn voor leiders op het gebied van beveiliging en risico, vooral als velen nog steeds slecht worden begrepen. Om deze uitdagingen het hoofd te bieden, moeten managers van beveiligingsoperaties prioriteit geven aan hun inspanningen door aanvalsoppervlakken te identificeren die gemakkelijk toegankelijk zijn of die waardevolle doelwitten bevatten. En daarom is de verschuiving van kwetsbaarheidsbeheer naar blootstellingsbeheer een cruciale stap om dit mogelijk te maken.

Deze transitie begint met het verbeteren van de zichtbaarheid op alle aanvalsoppervlakken binnen de digitale infrastructuur. Belangrijke stappen zijn onder meer het identificeren van welke aanvalsoppervlakken in de reikwijdte van het programma moeten worden opgenomen, het uitvoeren van een gap-analyse om gebieden bloot te leggen waar bestaande technologieën tekortschieten, en het gebruiken van deze informatie om vereisten te definiëren voor het selecteren van de juiste leveranciers. Deze acties leggen de basis voor effectief aanvalsoppervlakbeheer.

Leiderschap betrekken met statistieken

Ten slotte is het vinden van een gemeenschappelijke taal om met organisatorisch leiderschap om te gaan, in het belachelijk complexe cyberklimaat waarin we opereren cruciaal voor de transitie van kwetsbaarheidsbeheer naar blootstellingsbeheer.

Metrics is zo’n taal. Het is de beste manier om de inspanningen op het gebied van cyberbeveiliging af te stemmen op de bedrijfsdoelstellingen en de tastbare waarde van risicobeheer aan te tonen. De sleutel hier is om ervoor te zorgen dat C-suite-managers, die bedrijfsresultaten nastreven, bedrijfsgestuurde statistieken krijgen.

Metrieken die bedrijfsgedreven inzichten weerspiegelen (zoals een vermindering van de blootstelling aan aanvalsoppervlakken, een vermindering van het risico voor kritieke activa en eventuele gewonnen operationele efficiëntie), overbruggen de kloof tussen technische cyberbeveiligingsmaatregelen en bedrijfsdoelstellingen. Gevalideerde resultaten, zoals simulaties van aanvalsscenario’s of aantoonbare verminderingen van het zijwaartse bewegingspotentieel, zijn een andere manier om concreet bewijs van succes te leveren en het vertrouwen van het leiderschap te vergroten.

Zoals hierboven vermeld: hoe nauwer we beveiligingsactiviteiten rechtstreeks kunnen koppelen aan bedrijfsresultaten, hoe waarschijnlijker het is dat het leiderschap cyberbeveiliging als een zakelijke factor beschouwt in plaats van als een kostenpost. Effectieve communicatie van meetgegevens zorgt voor buy-in, toewijzing van middelen en voortdurende ondersteuning voor het beheer van de shift-blootstelling. (Bekijk dit eBook voor meer informatie over hoe u de rapportage aan het bestuur en/of leiderschap kunt optimaliseren.)

Kwetsbaarheidsbeheer

De onderste regel

De tijd om over te stappen van kwetsbaarheidsbeheer naar blootstellingsbeheer is niet nu; het is gisteren. Traditionele VM zorgt ervoor dat organisaties moeite hebben om prioriteiten te stellen wat er echt toe doet en het risico lopen kostbare middelen te verspillen. De verschuiving naar Exposure Management is meer dan alleen een natuurlijke technologische evolutie. Het is een mentaliteitsverandering die bedrijven in staat stelt zich te concentreren op het beschermen van wat het belangrijkst is: kritieke bedrijfsmiddelen, operationele continuïteit en strategische bedrijfsresultaten. Deze transitie gaat niet alleen over het beter aanpakken van kwetsbaarheden; het gaat over het creëren van een veerkrachtige, strategische verdediging die succes op de lange termijn stimuleert.

Met Exposure Management kunnen organisaties zich beter richten op wat er echt toe doet: het beschermen van onze kritieke activa, het minimaliseren van operationele verstoringen en het afstemmen van onze inspanningen op het gebied van cyberbeveiliging op zakelijke prioriteiten.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Shay Siksik, SVP Customer Experience bij XM Cyber.

Gartner, Inc. Hoe u kwetsbaarheidsbeheer kunt laten uitgroeien tot blootstellingsbeheer. Mitchell Schneider, Jeremy D’Hoinne, etl. 8 november 2024.

GARTNER is een geregistreerd handelsmerk en dienstmerk van Gartner, Inc. en/of haar dochterondernemingen in de VS en internationaal en wordt hierin met toestemming gebruikt. Alle rechten voorbehouden.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De rechtbank die een ‘anti-AI’-wet verdedigt, bevat door AI gegenereerde secties

De FBI heeft een waarschuwing voor Android- en iOS-gebruikers die elkaar sms’en

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]