Vulnerability management omvat het scannen, beoordelen, prioriteren en patchen van beveiligingslekken vóórdat ze kunnen worden misbruikt. Het is misschien niet het spannendste onderdeel van cybersecurity, maar juist de proactieve aard maakt het cruciaal. Veel organisaties richten zich vooral op Detect & Respond-mechanismen, maar effectieve beveiliging vereist ook Assess & Prevent. Vergelijk het met fysieke beveiliging: je hebt zowel een alarmsysteem (Detect & Respond) als een slot op de deur (Assess & Prevent) nodig.
Verouderde systemen die niet zijn gepatcht tegen de nieuwste kwetsbaarheden vormen makkelijke doelwitten voor cybercriminelen. Uit onderzoek van cyberrisico-intelligentiebedrijf Bitsight naar ransomware-incidenten blijkt:
Organisaties met een lage patchfrequentie lopen zeven keer meer kans om slachtoffer te worden van ransomware dan organisaties die vaker patchen.
Ontdekte kwetsbaarheden krijgen doorgaans een unieke CVE (Common Vulnerabilities and Exposures) en worden beoordeeld op ernst, bijvoorbeeld via CVSS (Common Vulnerability Scoring System) of Tenable’s VPR (Vulnerability Priority Rating).
Veel CISO’s denken dat elke nieuw ontdekte kwetsbaarheid onmiddellijk gepatcht moet worden, maar dat is niet altijd de meest efficiënte inzet van middelen. Slechts zo’n 2% van alle nieuwe CVE’s wordt jaarlijks daadwerkelijk uitgebuit. Kijken we echter naar het cumulatieve totaal, dan blijkt dat volgens Cyentia’s rapport “A Visual Exploration of Exploits in the Wild” (2024) ongeveer 6% van alle gepubliceerde CVE’s ooit is misbruikt. Dat betekent dat cybercriminelen niet alleen nieuwe, maar ook oudere kwetsbaarheden benutten die organisaties nooit hebben gepatcht.
Deze cijfers tonen aan dat rigide SLA’s die snelle patching voorschrijven, plaats moeten maken voor een meer genuanceerde, risicogebaseerde aanpak. Naast de CVSS- of VPR-score moet je ook de context van het getroffen systeem meenemen — bijvoorbeeld of het intern of extern is, of het kritieke diensten host, en wanneer de volgende patchcyclus gepland staat. Zo kun je prioriteit geven aan kwetsbaarheden die waarschijnlijk de grootste bedrijfsimpact hebben.
Effectief vulnerability management begint met asset management via een CMDB (Configuration Management Database), zodat je zeker weet dat alle systemen worden meegenomen in de scans (zowel on-premises als in de cloud, inclusief IT- en OT-systemen). Combineer vervolgens de kwetsbaarheidsscores met contextuele informatie over de assets om een risicogebaseerde prioritering op te stellen.
Dit moet deel uitmaken van een organisatiebrede aanpak, met continue scans die je helpen de stap te zetten van reactieve patching naar proactieve risicobeperking.
Compliance management helpt organisaties te voldoen aan wettelijke eisen, industriestandaarden en best practices. In cybersecurity betekent dit het scannen van IT-systemen op configuratie-instellingen, het onderzoeken daarvan, en het corrigeren of hardenen van configuraties zodat ze aan de gestelde normen voldoen.
Dit gebeurt meestal op basis van CIS-benchmarks (Center for Internet Security). Deze vormen best practice-baselines voor het veilig configureren van productfamilies — zoals Windows- en Linux-servers, maar ook toepassingen zoals webservers en databases.
Net als bij vulnerability management begint effectief compliance management met asset management via een CMDB. Alleen wanneer alle assets in kaart zijn gebracht, kun je voor elk asset een baseline toewijzen waaraan het moet voldoen.
Zo weet je zeker dat je CIS-scans de volledige IT-omgeving dekken.
Afwijkingen van deze baselines moeten opnieuw in context worden geplaatst om een risicogebaseerde prioritering te maken. Vervolgens worden de CIS-controls (verdedigende maatregelen) met de hoogste prioriteit geïmplementeerd.
Ook dit moet onderdeel zijn van een organisatiebreed, continu proces dat de compliance-status bewaakt en ervoor zorgt dat alle onderdelen van de infrastructuur optimaal zijn gehard.
Zoals blijkt, beginnen zowel vulnerability- als compliance management bij asset management, profiteren ze van contextuele informatie voor risicoprioritering en moeten ze worden ingebed in de bedrijfsprocessen.
Door beide processen te integreren, ontstaan duidelijke operationele voordelen. Deze voordelen vloeien voort uit de volgende soorten integratie:
Contextuele risico-inzichten: Beide processen hebben een risicocontext nodig — bijvoorbeeld hoe kritisch een systeem is. Dezelfde informatie kan dus voor beide processen worden gebruikt en moet worden vastgelegd in de CMDB.
Gezamenlijke governance: Beide vereisen het bijhouden van voortgang van scans en acties, met meetbare KPI’s gericht op betere SLA-naleving. Dit werkt het best wanneer vulnerability- en compliancebeheer zijn geïntegreerd in de bedrijfsprocessen, zodat nieuwe assets direct voldoen aan de normen gedurende hun hele levenscyclus.
Eén geïntegreerd overzicht: Een uniform dashboard voor beide processen biedt een compleet beeld van de risico’s binnen de organisatie.
Nieuwe regelgeving zoals NIS2 benadrukt bovendien het belang van geïntegreerde, risicogebaseerde processen.
Wil je hulp bij het stroomlijnen van je vulnerability- en compliancebeheer? Neem gerust contact met ons op.