Hoe richt je exposuremanagement in?
Doelgroep:
Dit artikel is bedoeld voor IT- en securityprofessionals (beheerders, ISO’s en CISO’s) die zich realiseren dat zij meer grip nodig hebben op de exposure van de netwerk- en informatiesystemen van hun organisatie zodat zij de weerbaarheid ervan kunnen vergroten.
Definitie:
Met exposuremanagement bedoelen we het proces waarmee je zicht en grip krijgt op de exposure van de systemen van jouw organisatie. Met exposuremanagement breng je de digitale weerbaarheid van jouw organisatie op een passend niveau.
Achtergrond
Exposure en exposuremanagement liggen in elkaars verlengde. Met exposure bedoelen we de blootstelling (zichtbaarheid en bereikbaarheid) van de netwerk- en informatiesystemen van jouw organisatie aan dreigingen. Een dreiging kan zich alleen manifesteren als een netwerk- of informatiesysteem is blootgesteld aan die dreiging. Wil je grip krijgen op jouw digitale risico’s dan is het belangrijk te weten wat de exposure van jouw systemen is.
In het licht van de Cyberbeveiligingswet (NIS2) is exposuremanagement zeer relevant. Artikel 21 specificeert dat organisaties een risicobeoordeling moeten uitvoeren en passende beveiligingsmaatregelen moeten treffen. Exposuremanagement geeft organisaties hierbij focus. Voor dit artikel ligt de focus op systemen die direct verbonden zijn met het internet, omdat deze systemen het meest toegankelijk zijn voor kwaadwillenden. Weet wat er zichtbaar is en maak inzichtelijk wat je niet ziet, want wat je niet ziet, kun je niet beschermen.
Exposure en exposuremanagement: wat is het?
Exposure
Exposure van netwerk- en informatiesystemen is nodig voor het functioneren van jouw organisatie. Als onderdeel van de bedrijfsvoering kunnen medewerkers een database raadplegen, e-mailen of, in sommige gevallen, een configuratie wijzigen. Mogelijk moeten zij dit doen vanaf kantoor, in de productiehal of onderweg. De netwerk- en informatiesystemen die medewerkers hiervoor gebruiken moeten voor hen zichtbaar en bereikbaar zijn, maar worden hiermee ook exposed aan kwaadwillenden. Naast de netwerk- en informatiesystemen die worden beheerd door jouw IT-organisatie, gebruiken medewerkers soms ook andere digitale systemen voor hun werk. Bijvoorbeeld persoonlijke apparaten zoals eigen mobiele telefoons, maar ook een online service voor bestandsoverdracht. Deze ‘schaduw-IT’ wordt niet beheerd door de IT-beheerorganisatie, maar ook hiermee stel je de organisatie bloot. Op de NCSC/DTC-websites tref je meer informatie en tips over hoe om te gaan met schaduw-IT.
De exposure van netwerk- en informatiesystemen kan verschillende vormen aannemen, zoals uiteengezet in Tabel 1. Zo kan fysieke interactie nodig zijn om een systeem te bedienen of moet een medewerker inloggen op een lokaal netwerk om te kunnen werken. Dit laatste beperkt de exposure omdat een kwaadwillende ook fysiek aanwezig moet zijn om een aanval uit te voeren. Netwerk- en informatiesystemen zijn echter in toenemende mate bereikbaar via internet, ook voor kwaadwillenden. Dit vergroot natuurlijk de exposure. Voor de meeste organisaties is dit de meest relevante en pregnante categorie en om deze reden leggen we hier in dit artikel de nadruk op.
Exposuremanagement
Exposuremanagement is een proces dat als doel heeft zicht en grip te krijgen op de exposure van de netwerk- en informatiesystemen van jouw organisatie en te zorgen dat deze beheerst wordt, voordat een kwaadwillende ongeautoriseerde toegang kan hebben.
Exposuremanagement kent drie belangrijke kenmerken:
- Het is een continu proces. Je organisatie en de netwerk- en informatiesystemen van je organisatie zijn continu in beweging. Hierbij zijn voortdurend aanpassingen en verbeteringen nodig.
- Het is een combinatie van enerzijds door mensen uitgevoerde processen en analyses en anderzijds automatische tooling. Met behulp van tooling kan de exposure van digitale middelen met minimale inspanning worden gedetecteerd, beoordeeld, geprioriteerd en beperkt. De resultaten van deze tooling moeten echter wel door mensen worden geanalyseerd en begrepen.
- Het moet worden ingebed in het risicomanagementproces van jouw organisatie. Exposuremanagement helpt bij het duiden, prioriteren en beheersen van digitale risico’s.
Exposuremanagement staat niet op zichzelf, maar is nauw verbonden met andere cybersecurityprocessen. De belangrijkste aspecten hierbij zijn asset management, vulnerability management (ook wel: kwetsbaarhedenbeheer) en risicomanagement.
is het proces waarmee je doorlopend zicht hebt op alle informatie- en netwerksystemen van jouw organisatie. Je hebt bij het inrichten van exposuremanagement altijd enige vorm van asset management nodig.
is het proces waarmee je grip houdt op de kwetsbaarheden in jouw informatie- en netwerksystemen. Om te bepalen in hoeverre een kwetsbaarheid een risico oplevert voor jouw organisatie moet je weten wat de exposure is van het betreffende systeem. Exposuremanagement is dus randvoorwaardelijk voor kwetsbaarhedenbeheer. Tegelijk geef je de informatie- en netwerksystemen die exposed zijn extra aandacht vanuit het perspectief van kwetsbaarhedenbeheer. Er bestaat dus een sterke wisselwerking tussen kwetsbaarhedenbeheer en exposuremanagement.
is het overkoepelende proces waarmee je de onzekerheden minimaliseert die jouw organisatiedoelen kunnen verstoren. Gebruik exposuremanagement als belangrijk onderdeel van je risicomanagementproces om risico's te inventariseren, prioriteren en behandelen.
Hoe richt ik exposuremanagement in?
Om exposuremanagement in jouw organisatie in te richten gebruik je onderstaand stappenplan. Groot denken is hierbij prima, maar klein beginnen is het belangrijkste. Ga niet voor een allesomvattende uitrol die vervolgens vastloopt. Beperk liever je scope en doorloop daarmee alle stappen van het proces van exposuremanagement. Volledig(er) maken, verfijnen of verbeteren in algemene zin doe je in een volgende ronde. Onderstaand stappenplan helpt je om voor de eerste keer een compleet ‘rondje’ te maken binnen het proces van exposuremanagement, zodat je aan de slag kunt met tastbare resultaten.
Het stappenplan omvat vier stappen die ieder refereren naar de stappen zoals gepresenteerd in de Routekaart risicomanagement van het NCSC, te weten Governance en randvoorwaarden, Risicobeoordeling, Risicobehandeling en Doorlopende monitoring. Ook hebben we per stap enkele vragen toegevoegd om je op weg te helpen en hebben we steeds de link naar andere relevante cybersecurityprocessen benoemd.
Stap 1: Doel en randvoorwaarden vaststellen (Governance en randvoorwaarden)
Omschrijf het waarom, wat en hoe van exposuremanagement binnen jouw organisatie en wat je ervoor nodig hebt. Wees compleet, concreet en houd het klein.
- Wat moet het inrichten van exposuremanagement concreet opleveren (output) en welke hogere doelen (outcome) bereik ik hiermee?
- Wie en wat heb ik nodig om exposuremanagement in te richten? Wie moet meewerken en wie kan de ‘go’ geven op dit plan? Welk directe belang heeft deze functionaris erbij? Kan ik dit alles goed onderbouwen en overbrengen?
- Wat doen we aan asset management, kwetsbaarhedenbeheer en risicomanagement en hoe sluit ik daarop aan met exposuremanagement?
Als je deze stap hebt gezet, heb je duidelijk opgeschreven wat je gaat doen, waarom het belangrijk is, hoe je het gaat doen, hoe het past in het grote plaatje en heb je hiervoor draagvlak, medewerking en capaciteit binnen jouw organisatie geborgd.
Voorbeeld: Een organisatie wil haar exposuremanagement inrichten en formuleert als output een actueel en volledig overzicht van alle systemen die vanaf het internet bereikbaar zijn. Het hogere doel hiervan is het structureel in de gaten kunnen houden van het aanvalsoppervlak en daarmee het verbeteren van aan exposuremanagement gerelateerde cybersecurityprocessen zoals kwetsbaarhedenbeheer en risicomanagement.
Stap 2: Exposure vaststellen en beoordelen (Risicobeoordeling)
Bepaal de bestaande netwerk- en informatiesystemen binnen jouw organisatie, stel hiervan de exposure vast en beoordeel in hoeverre deze exposure risico’s oplevert voor jouw organisatie.
- Kan ik gebruik maken van wat er al is? Hebben we de netwerk- en informatiesystemen al (gedeeltelijk) in kaart gebracht (bijvoorbeeld in het kader van asset management of een eerdere risicoanalyse)? Kan ik erop vertrouwen dat het overzicht compleet en actueel is?
- In het kader van exposuremanagement verdienen edge devices speciale aandacht. Dit zijn apparaten die aan de rand van je netwerk staan en dus directe verbinding naar buiten hebben. Heb ik een beeld van het bestaan van deze apparaten? Zie onze website voor tips en achtergrondinformatie over edge devices.
- Heb ik de ‘schaduw-IT’ binnen mijn organisatie in beeld? Ga in gesprek met collega’s om een eerste indruk te krijgen in hoeverre er gebruik wordt gemaakt van schaduw-IT.
Ga op basis van de geinventariseerde netwerk- en informatiesystemen na of deze zichtbaar en/of bereikbaar zijn vanaf internet en op welke manier.
- Stel samen met de IT-afdeling per netwerk- of informatiesysteem vast in hoeverre dit systeem zichtbaar en/of bereikbaar is via internet.
- Heb je een externe IT-leverancier? Vraag dan om hun input.
- Welke tools zijn er beschikbaar en welke tool is het meest geschikt voor mijn situatie?
- Wat betekenen de uitkomsten die een tool genereren? Kan ik deze goed interpreteren?
- Heb ik de kennis in huis om bovenstaande stappen uit te voeren? Zo nee, wil ik hier dan een externe partij voor benaderen?
Geef prioriteit aan het beoordelen van de exposure van systemen die kwetsbaarheden bevatten.
Onnodige exposure wil je beperken!
- Voor wie is het systeem zichtbaar/bereikbaar? Waarvoor is dat nodig?
- Hoe goed begrijp ik mijn organisatiebehoefte? Is het openstaan van een poort bijvoorbeeld ‘zeer kritisch’ maar dient deze juist een belangrijk proces binnen jouw organisatie?
Als je deze stap hebt gezet heb je de netwerk- en informatiesystemen van jouw organisatie in beeld, weet je welke er zichtbaar en bereikbaar zijn over het internet en heb je een eerste afweging gemaakt in hoeverre deze exposure acceptabel is binnen jouw organisatie.
Voorbeeld: Na inventarisatie blijkt dat een persoonlijke laptop (via het goed-beveiligde intranet) toegang heeft tot het voorraadbeheer van de organisatie. Thuis gebruikt de medewerker deze laptop echter ook waardoor de organisatie geen zicht heeft op mogelijk gevaarlijke verbindingen met het open internet.
Stap 3: Exposure beheren (Risicobehandeling)
Manage jouw exposure nadat deze inzichtelijk is gemaakt.
1. Stem de exposure af op het bredere plaatje van risicomanagement binnen jouw organisatie.
a. Welke vormen van exposure vormen het grootste risico voor de organisatie?
b. Hoe communiceer ik deze bevindingen effectief aan leidinggevende?
2. Implementeer maatregelen om ongewenste exposure tegen te gaan.
a. Welke bestaande beveiligingsmaatregelen moeten als eerst worden verbeterd om ongewenste exposure te beperken? Denk hierbij aan het aanpassen van een bepaalde configuratie.
b. Welke nieuwe beveiligingsmaatregelen moeten als eerst worden genomen om ongewenste exposure te beperken?
Als je deze stap hebt gezet heb je exposuremanagement afgestemd op het bredere proces van risicomanagement binnen jouw organisatie en heb je maatregelen getroffen om ongewenste exposure tegen te gaan.
Voorbeeld: Het feit dat de laptop niet goed beheerd kan worden komt niet overeen met het beleid rondom breder cyberrisicomanagement van de organisatie. Als gevolg hiervan besluit de organisatie dat BYOD-apparaten niet meer zijn toegestaan voor het uitvoeren van werkprocessen. Tegelijkertijd besluit de organisatie eigen laptops te faciliteren om haar medewerkers te kunnen voorzien in deze schijnbaar bestaande behoefte.
Stap 4: Evaluatie en monitoring (Doorlopende monitoring)
Meet de voortgang en documenteer alle bevindingen.
Houd de blootstelling van de netwerk- en informatiesystemen continu in de gaten en bepaal of er veranderingen zijn opgetreden.
- Heb ik real-time inzicht in continu veranderende bedreigingen en kwetsbaarheden?
- Gebruik hier eventueel een geautomatiseerde tool voor. Heb ik de kennis in huis om dit uit te voeren? Zo nee, wil ik hier dan een externe partij voor te benaderen?
- Geef ik prioriteit aan kwetsbaarheden op basis van de mogelijkheid van exploitatie van deze kwetsbaarheden?
- Hoe zorg ik ervoor dat mijn bestuur onze exposure-risico’s begrijpt?
- Ben ik continu bezig met het verwerken van de bevindingen van mijn exposuremanagement in het beveiligingsbeleid van mijn organisatie?
- Heb ik de bevindingen van alle voorgaande stappen gedocumenteerd en opgeslagen?
Als je deze stap hebt gezet heb je exposuremanagement zo ingericht dat er continu zicht is op veranderingen in de exposure en kan je de voortgang van exposuremanagement zorgvuldig in de gaten houden.
Voorbeeld: Uit continue monitoring blijkt dat dankzij het doorvoeren van de nieuwe beleidsmaatregel externe apparaten geen verbinding meer hebben kunnen maken met het intranet van de organisatie. Hiermee is de geïdentificeerde ongewenste exposure van de persoonlijke laptop verholpen. De bevindingen worden gepresenteerd aan het bestuur en alle documentatie wordt opgeslagen in het beveiligingsbeheerplatform voor toekomstig beleid.
Tot slot
Exposuremanagement is een onderdeel van het grotere risicomanagementproces binnen jouw organisatie. Net als onder andere asset management en kwetsbaarhedenbeheer helpt exposuremanagement om de juiste beslissingen te nemen over de digitale risico’s die jouw organisatie loopt. Met behulp van het in dit artikel gepresenteerde stappenplan zet je de eerste stappen om exposuremanagement in jouw organisatie in te richten. Het is belangrijk om te beseffen dat het proces rondom exposuremanagement continu doorgaat en voortdurend vraagt om verbeteringen en aanpassingen. Exposuremanagement is nooit ‘klaar’. Zorg dat je weet wat er zichtbaar is en maak inzichtelijk wat je niet ziet, want wat je niet ziet, kun je niet beschermen. Exposuremanagement is geen luxe, maar een noodzaak om jouw organisatie veiliger te maken tegen digitale dreigingen.