Kwetsbaarheid (informatietechnologie)

Een kwetsbaarheid in de informatietechnologie (IT) is een fout in de code of het ontwerp die een potentieel gevaar voor de veiligheid van een eindpunt of netwerk oplevert. Kwetsbaarheden creëren mogelijke aanvalsvectoren, waardoor een indringer code zou kunnen uitvoeren of toegang zou kunnen krijgen tot het geheugen van een doelsysteem. De manieren waarop kwetsbaarheden worden uitgebuit zijn gevarieerd en omvatten code-injectie en buffer-overruns; ze kunnen worden uitgevoerd door middel van hacking scripts, applicaties en vrije hand codering. Een zero-day-exploit vindt bijvoorbeeld plaats zodra een kwetsbaarheid algemeen bekend wordt.

De vraag wanneer een kwetsbaarheid openbaar moet worden gemaakt, blijft een controversiële kwestie. Sommige beveiligingsexperts pleiten voor volledige en onmiddellijke openbaarmaking, inclusief de specifieke informatie die kan worden gebruikt om het beveiligingslek uit te buiten. Voorstanders van onmiddellijke openbaarmaking beweren dat dit leidt tot meer patching van kwetsbaarheden en veiligere software. De tegenstanders van het openbaar maken van kwetsbaarheden beweren dat informatie over kwetsbaarheden helemaal niet openbaar moet worden gemaakt, omdat de informatie door een inbreker kan worden gebruikt. Om de risico's te beperken, vinden veel deskundigen dat beperkte informatie beschikbaar moet worden gesteld aan een selecte groep nadat een bepaalde tijd is verstreken sinds de ontdekking.

Zowel black hats als white hats zoeken regelmatig naar kwetsbaarheden en testen exploits. Sommige bedrijven bieden bug bounty's aan om white hat hackers aan te moedigen op zoek te gaan naar kwetsbaarheden. De bedragen staan in verhouding tot de grootte van de organisatie, de moeilijkheid om het systeem te hacken en de mogelijke impact van een bug op gebruikers.

Scannen en evalueren van kwetsbaarheden

Vulnerability management planning is een uitgebreide benadering van de ontwikkeling van een systeem van praktijken en processen die zijn ontworpen om gebreken in hardware of software die als aanvalsvector kunnen dienen, te identificeren, analyseren en aanpakken. De processen voor het beheer van kwetsbaarheden omvatten:

Controle op kwetsbaarheden - Dit proces moet bestaan uit regelmatige netwerkscanning, firewall-logging, penetratietests of het gebruik van een geautomatiseerd hulpmiddel zoals een kwetsbaarhedenscanner. Een kwetsbaarheidsscanner is een programma dat de diagnostische fase van een kwetsbaarheidsanalyse uitvoert, ook bekend als kwetsbaarheidsbeoordeling. Dit omvat vaak een pentest-component om kwetsbaarheden in het personeel, de procedures of processen van een organisatie te identificeren die mogelijk niet met netwerk- of systeemscans kunnen worden opgespoord.

Het identificeren van kwetsbaarheden - Hierbij worden netwerkscans en pentestresultaten, firewalllogboeken of resultaten van kwetsbaarhedenscans geanalyseerd om afwijkingen te vinden die erop wijzen dat een malware-aanval of een andere kwaadaardige gebeurtenis gebruik heeft gemaakt van een kwetsbaarheid in de beveiliging, of dat mogelijk zou kunnen doen.

Verificatie van kwetsbaarheden - Dit proces houdt in dat wordt nagegaan of de vastgestelde kwetsbaarheden daadwerkelijk kunnen worden uitgebuit op servers, toepassingen, netwerken of andere systemen. Dit omvat ook het classificeren van de ernst van een kwetsbaarheid en het risiconiveau voor de organisatie.

Het verhelpen van kwetsbaarheden - Dit is het proces waarbij wordt uitgezocht hoe kan worden voorkomen dat kwetsbaarheden worden misbruikt voordat een patch beschikbaar is, of in het geval dat er geen patch is. Dit kan inhouden dat het getroffen deel van het systeem offline wordt gehaald (als het niet kritisch is), of verschillende andere oplossingen.

Patchen van kwetsbaarheden - Dit is het proces van het verkrijgen van patches -- meestal van de leveranciers van de getroffen software of hardware -- en deze tijdig op alle getroffen gebieden toe te passen. Dit is soms een geautomatiseerd proces, gedaan met patch management tools. Deze stap omvat ook het testen van patches.

Raamwerken voor het beheer van kwetsbaarheden

Het Common Vulnerability Scoring System (CVSS) is een raamwerk voor het beoordelen van de ernst van beveiligingslekken in software. Het CVSS wordt beheerd door het Forum of Incident Response and Security Teams (FIRST) en maakt gebruik van een algoritme om drie scores voor de ernst van kwetsbaarheden te bepalen: Base, Temporal en Environmental. De scores zijn numeriek; ze lopen van 0,0 tot 10,0, waarbij 10,0 de zwaarste score is.

De Nationale Databank Kwetsbaarheden (NVD) is een opslagplaats van de overheid voor op standaarden gebaseerde informatie over kwetsbaarheden. De NVD is een product van de computerbeveiligingsdivisie van het National Institute of Standards and Technology (NIST) en wordt door de Amerikaanse overheid gebruikt voor beveiligingsbeheer en -naleving, alsook voor automatisch kwetsbaarheidsbeheer. De NVD wordt gesponsord door het Department of Homeland Security (DHS), NCCIC en US-CERT.