Proactief op zoek naar kwetsbaarheden
Overal gaat er weleens iets mis. Dat geldt ook voor organisaties die informatiebeveiliging gedegen en volwassen hebben ingericht. Door allerlei oorzaken kunnen kwetsbaarheden ontstaan: een patch die mislukt, een server die niet meer gebruikt wordt maar niet is uitgezet, een verkeerd vinkje in de configuratie etc. Met kwetsbaarheidsscans ga je actief op zoek naar dergelijke kwetsbaarheden. Door de kwetsbaarheden te verhelpen, verhoog je direct de feitelijke digitale veiligheid. Ook geeft dit document informatie om de achterliggende processen structureel te verbeteren.
|
Dit document is gemaakt door de experts van het Programma VSSR (Versterken SOC Stelsel Rijk). VSSR richt zich op het versterken van de digitale weerbaarheid van rijksoverheden en is sinds 1 januari 2025 onderdeel van het NCSC. VSSR ondersteunt overheidsinstanties bij het opzetten, aanbesteden en verbeteren van een security operations center en stimuleert de onderlinge samenwerking. Dit document is geschreven voor Rijksoverheid organisaties. Maar kan ook inzetbaar zijn voor een bredere doelgroep zoals gemeenten en provincies. Meer producten van VSSR zijn te vinden op het VSSR Portaal. Dit portaal is uitsluitend toegankelijk voor Rijksmedewerkers. |
Een eerdere handreiking was vooral gericht op externe kwetsbaarhedenscans om zo extern zichtbare kwetsbaarheden te reduceren. Daarnaast geeft de eerdere handreiking handvaten om de projectinrichting op te zetten. Dit document is een uitbreiding op de eerdere handreiking en richt zich meer op interne scans en geeft daarnaast een verdieping in de operationele kant van kwetsbaarhedenbeheer.
Operationeel proces
Het operationele proces voor kwetsbaarhedenbeheer is in hoofdlijnen uiteengezet in de “Handreiking kwetsbaarhedenscans Rijksoverheid (2021, CIO Rijk)”.
Binnen deze publicatie Kwetsbaarhedenbeheer is het proces uitgebreid met de “Discovery” stap en zal dieper worden ingegaan op de individuele procesonderdelen. De hoofdlijnen van het proces zien er als volgt uit:
1. Discovery: Uitvoeren van een discovery-scan om de componenten in het netwerk in kaart te brengen.
2. Identificeren: Systematisch en geautomatiseerd in kaart brengen van alle kwetsbaarheden in het netwerk.
3. Beoordelen: Analyseren van de uitkomst van het identificeren waarbij aandacht uitgaat naar het duiden, prioriteren en toewijzen van de kwetsbaarheden.
4. Oplossen: Verhelpen van de gevonden kwetsbaarheden door systeem- en/of proceseigenaren.
5. Verifiëren: Ophalen van terugkoppeling betreft het oplossen en met automatische scans technisch verifiëren van de oplosfase.
6. Rapporteren: Voorzien in de informatiebehoefte van verschillende belanghebbenden betreft de uitvoering van het proces en het risicoprofiel van de organisatie.
Met de “Handreiking kwetsbaarhedenscans Rijksoverheid (2021, CIO Rijk)” en deze best practice beschikt een organisatie over alle middelen om de initiële investering in projectvorm te realiseren en de operationele processen in te richten. Beide documenten tezamen dekken de hele scope van extern en intern kwetsbaarhedenscanning en -beheer af.