Het is niet eenvoudig een vulnerability scan tool te kiezen. Het aantal aanbieders neemt toe en daarmee de keuzemogelijkheden. Om door de bomen het bos te blijven zien, heb ik de belangrijkste vragen die je jezelf en een leverancier kunt stellen in de oriëntatiefase en proof of concept (poc)-fase, op een rijtje gezet. Hiermee kies je de juiste tool die helpt grip te houden op netwerksecurity.
Fase 1: oriëntatie
Tijdens de oriëntatiefase onderzoek je de mogelijke opties. Er komt veel informatie op je af van websites, white papers en artikelen. Zet daarom in deze fase de volgende negen vragen centraal.
- Op welke type kwetsbaarheden wordt gescand?
Allereerst: het is belangrijk om te weten op welk soort kwetsbaarheden gescand wordt. Een vulnerability scanner scant op reeds bekende en gedocumenteerde kwetsbaarheden, en richt zich daarmee typisch op infrastructuren. Webapplicaties worden vaak niet of nauwelijks gescand. En een scanner voor webapplicaties richt zich minder op bekende kwetsbaarheden, maar probeert actief ‘nieuwe’ kwetsbaarheden in jouw applicaties te vinden. Deze twee soorten scanners zijn complementair. Er is geen scan-product wat beide kan. Vraag je dus af waar jouw organisatie het meeste baat bij heeft.
- Wat is de frequentie en kwaliteit van updates?
Veranderingen gaan snel, en je wil een scanner die mee ontwikkelt. Immers, als er een nieuwe kwetsbaarheid bekend wordt, wil je zo snel mogelijk een scan kunnen uitvoeren om te zien of die kwetsbaarheid zich ook in jouw netwerk bevindt.
De kwaliteit van een vulnerability scanner wordt voor het grootste deel bepaald door de technische checks die deze kan uitvoeren. Dat begint met portscannen. Dat doen alle verschillende scanners en het niveau is vergelijkbaar.
Daarna moet de scanner checks gaan uitvoeren op bekende kwetsbaarheden. Het is dus van belang dat de leverancier van de scanner een enorm grote database heeft van bekende kwetsbaarheden waarop gescand wordt. Maar ook een actief r&d-team dat snel nieuwe checks maakt wanneer nieuwe kwetsbaarheden bekend worden. Het continu produceren van nieuwe checks is niet gratis, vandaar dat scanners die dit aspect goed onder de knie hebben vaak ook geld kosten.
- Wat zijn de mogelijkheden voor intern scannen?
Scannen via internet geeft een beeld van wat een hacker vanaf internet van je netwerk ziet. Echter, het is ook verstandig om je interne systemen goed te beveiligen, zodat iemand die op wat voor manier dan ook toegang krijgt, niet direct intern allerlei andere systemen binnenwandelt. Check daarom of een scanner ook binnen in je netwerk kan scannen.
- Wat zijn voorwaarden voor scannen van cloud-systemen?
Het scannen op vulnerabilities is bij cloud-systemen soms net anders dan bij een traditionele infrastructuur. Naast andere toestemmingen en vrijwaringen, heb je ook te maken met snel-wisselende ip-adressen en worden bepaalde delen van de dienstverlening door shared systemen (load balancers zoals ELB, of serverless functions) aangeboden. Als je periodiek wil scannen, is het van belang dat de scope van de scan op een automatische manier is te beheren. Let er op dat de scanner in te stellen is op een manier dat scans overeenkomen met wat toegestaan is bij de cloudprovider.
- Hoe worden de kosten berekend?
Sommige scanners rekenen een vast bedrag per maand, anderen berekenen een maandbedrag aan de hand van de scope die je scant. Hierdoor kan het maandbedrag ineens snel oplopen als je meer infrastructuur in gebruik neemt, of kan het betaalmodel een drempel vormen om al je infrastructuur te scannen. Kijk daarom niet alleen naar prijs maar ook naar het prijsmodel.
- Kan de tool trend-analyses maken?
Wanneer je periodiek scant, is het handig inzicht te krijgen in de trend: wordt de security beter of niet? Worden bepaalde typen kwetsbaarheden vaker gevonden dan eerst? Zijn de trends in verband te brengen met veranderingen binnen de it of de organisatie? Kies voor een tool die analyses en vergelijkingen kan maken.
- Wat zijn de integratiemogelijkheden met andere tooling?
Een shiny dashboard vol scanresultaten is prachtig, maar uiteindelijk moet actie ondernomen worden op die resultaten. De kans dat acties goed geborgd worden, neemt toe als de scanresultaten zijn te integreren in andere tooling die in de organisatie gebruikt wordt. Denk aan het doorsturen van bevindingen naar een ticketsysteem van systeembeheerders of devops-engineers, of het weergeven van trends en kpi’s in bestaande dashboards. Hiervoor moet de scan-tool integratiemogelijkheden bieden. Actieve koppelingen voor de systemen die je gebruikt (koppeling met bijvoorbeeld Jira of Grafana) zijn het meest ideaal. Een andere optie is een api die door jouw tooling is aan te spreken.
- Is het een saas-oplossing of moet je zelf iets hosten?
Sommige scan-tools kan je downloaden en op een eigen server installeren, anderen neem je af als saas-product. Voordelen van een self-hosted oplossing is dat je meer grip hebt op de continuïteit en dat je data niet bij een andere partij staat. Het kan immers best om gevoelige data gaan. Het grote voordeel van een saas-oplossing is dat je geen omkijken hebt naar de hosting, onderhoud en upgrades. Kies hierin de oplossing die past bij je expertise en eisen voor dataopslag.
- Neem je alleen een scanner af of ook dienstverlening?
Sommige tools voeren puur scans uit en geven je de resultaten hiervan. Dat is prima, als de ontvanger van de resultaten voldoende kennis van security heeft om deze te duiden, op ernst in te schatten en op te volgen. De resultaten uit scans kunnen overweldigend zijn en niet alles verdient direct aandacht. Er bestaan organisaties waarbinnen medewerkers het als onbegonnen werk ervaren om alle resultaten te managen.
Er zijn ook aanbieders van vulnerability scans die de resultaten analyseren, prioriteiten en ernst inschatten én daarbij advies voor oplossing geven. Hieronder valt ook de hybride vulnerability-scanner. In dit geval zijn veel features van de software zelf minder van belang – het zal immers meer de leverancier zijn die daarmee moet werken. De kwaliteit van de dienst – de mate en wijze van contact, toepasbaarheid en volledigheid van de adviezen – is dan belangrijker.
Fase 2: proof of concept
Wanneer je je keuze hebt gemaakt volgt de poc-fase. Hierin ga je proefdraaien met de geselecteerde scanners. Nu zijn er drie vragen die je aandacht verdienen.
- Wat is de belasting voor de systemen?
Een actieve vulnerability scan veroorzaakt een bepaalde belasting op het netwerk en de servers. Het is belangrijk dat deze belasting niet te groot is of voor verstoring zorgt, en dat de tool mogelijkheden heeft om de belasting te verlagen door bijvoorbeeld langzamer te scannen.
- Wat is de begrijpelijkheid en werkbaarheid van bevindingen?
Pas als je een scanner aan het testen bent, zie je de werkelijke bevindingen en de begrijpelijkheid daarvan. Let erop dat de resultaten voorzien zijn van een begrijpelijke uitleg van impact, die maakt dat je kan inschatten wat de ernst van een bevinding is. Daarnaast moeten ze voldoende ‘werkbaar’ zijn: er moeten concrete vervolgstappen aan zijn te verbinden.
- Hoeveel echte false positives worden er gemeld?
False positives zijn resultaten die bij handmatige analyse geen kwetsbaarheid blijken te zijn, maar ten onrechte als zodanig door de tool zijn aangemerkt. Scanners vinden altijd false positives, omdat ze niet beschikken over de menselijke intelligentie die nodig is om het onderscheid tussen een false positive en een daadwerkelijke kwetsbaarheid te maken.
Sommige scanners richten zich op volledigheid en zullen alle bevindingen rapporteren. Een toename in false positives wordt daarmee op de koop toegenomen. Andere scanners proberen false positives te beperken, en accepteren dat ook een klein aantal echte kwetsbaarheden gemist wordt.
Maak hierin een keuze die past bij het kennisniveau van de collega’s die met de scanner moeten gaan werken: als zij veel kennis (en tijd) hebben, kunnen ze zelf goed het onderscheid maken tussen false en true positives. Zijn ze hier niet voor toegerust of ontbreekt de tijd, kies dan voor een scanner die minder false positives (maar wellicht minder resultaten) geeft of een hybride vulnerability-scanner.
Zoals je kunt lezen zitten er haken en ogen aan het kiezen van de juiste tool. De antwoorden op bovenstaande vragen zorgen voor structuur in je keuzeproces en helpen je die tool te selecteren die het beste bij jouw organisatie en situatie past.
Op zich leuke vragen anno 2010.
Security verandert helaas met de seconde.
Waar moet je je dan op focussen.
Beveiligen begint met 2x simpele vragen:
1) wat wil je waar tegen beschermen?
2) Als je datgene niet beschermd, wat is dan de impact?
Op deze wijze weet je nl. hoeveel bescherming nodig is = de maatregel
Pas als de WAT helder is, moet je met de hoe aan de slag.
Ik krijg het gevoel dat het artikel veelal nog focust op traditionele tools/gedachte wijzes, installatie vormen etc etc., maar ik kan mij vergissen.
Tegenwoordig zijn er al veel nieuwe technieken die bijv. werken op basis van predictive mechanismes, die bepaald gedrag en patronen kunnen herkennen.
Het tijdperk voor AI gaat al sneller dan menigeen beseft en besef dat ook hackers dergelijke tools al (gaan) inzetten. Dus wapen je minimaal met gelijke wapens voordat het echt “ai” gaat doen.
Security is een lastig onderwerp en kost veel geld, vandaar dat je goed moet afvragen: Wat is de JUISTE beveiligingsmaatregel voor dat object of omgeving.
Helaas werken de hedendaagse moderne technieken nog vaak op basis van oude onderliggende technologien, bijv. SIEM wat platgezegd soms niet meer doet als een dwarsdoorsnede maken in meerdere logbestanden….
De gemiddelde security oplossingen werken vaak nog reactief scannen ipv proactief, wat betekent dat je dus altijd achter de feiten aanloopt.
Tools die werken op basis van een predictive AI algoritme werken vele malen efficienter en doeltreffender en gebruiken minder dan 1% systeem resources. Alleen is dat lastig te doorgronden en onbekend, maakt nog onbemind, maar geloof mij ze doen hun werk meer dan goed.
Ze hebben nauwelijks tot geen updates, alleen als er een beter algoritme nodig is.
Dit kost dus vele malen minder beheerinspanning. En dat betekent minder tijd en geld.
Qua prijs liggen ze ook onder de traditionele scanners en ze werken AAA, zowel online als offline
Op dit moment zijn het dus de speedboten die de tankers voorbij gaan. De tankers beseffen dat inmiddels en gaan dus ook kleine speedboten maken, maar zitten met hun lading….
Een voorbeeld van een dergelijke moderne Threat Mngt tool: Cylance.
De ICT wereld is volop doende met een transitie naar IP first, WIFI first, Mobile first, Cloud first en AAA-werken
De afweging cloud first is daarin voor velen het lastigste, maar focus je hierbij op je core business.
Welk risico loop je als je je “hart uit besteedt aan een ander die het beheert voor jouw leven”, dan moet je iemand toch wel echt vertrouwen….
Een bedrijf als bijv. ASML zal dat m.i. niet snel doen v.w.b. hun core business, maar mogelijk wel voor hun overige processen, dat betekent dus dat endpoint meer en meer moeten gaan focussen op (data) security en connectiviteit spelregels.
Niet gemakkelijk maar besef dat de belangen van een ieder ervoor zorgen dat de transitie wel die kant op gaat.
Suc6 in de nabije toekomst, die vandaag heet 😉