Sumedh Thakar, Qualys: “Patch eerst de belangrijkste kwetsbaarheden”

Qualys begon 22 jaar geleden als een SaaS-bedrijf. De missie was om organisaties een hackersperspectief te bieden op kwetsbaarheden, waardoor de klanten van Qualys beveiligingsproblemen preventief konden aanpakken. Dus ruim voordat cyberaanvallers er misbruik van konden maken.

In de loop der jaren heeft Qualys een significante verschuiving opgemerkt in het landschap van cyberbeveiliging, geeft Thakar aan. “Vandaag de dag is vrijwel elke organisatie, ongeacht de omvang of de branche, betrokken bij softwareontwikkeling. Niet alleen grootzakelijke bedrijven, maar ook kleinere ondernemingen en overheden. Dit heeft geleid tot een exponentiële toename van het aantal kwetsbaarheden waarmee organisaties te maken hebben.”

In het verleden hadden organisaties het ‘luxe’ om patches over een periode van 30, 60 of zelfs 90 dagen toe te passen. Thakar: “Dit is echter niet langer het geval. Cyberaanvallers misbruiken nu kwetsbaarheden vaak in een kwestie van dagen. En heel vaak voordat organisaties ze kunnen patchen.”

Het True Risk-rapport van Qualys uit 2023 onthulde dat de tijd tot bewapening voor kwetsbaarheden slechts 19 dagen is, terwijl organisaties er gemiddeld 40 dagen over doen om ze te patchen. “Dit geeft aanvallers dus ruim voldoende tijd om misbruik te maken van vulnerabilities.”

Risicogebaseerd kwetsbaarheidsbeheer

Om deze groeiende dreiging aan te pakken, en als reactie op het feit dat kwetsbaarheden sneller dan ooit hersteld moeten worden, verschuiven organisaties hun focus van het proberen élke kwetsbaarheid te repareren naar het identificeren en prioriteren van die vulnerabilities die het grootste risico vormen. Er zijn simpelweg vaak veel te veel patches die tegelijkertijd aangeboden worden. Daarom is selectie nodig.

Deze verschuiving wordt gedreven door twee belangrijke vragen, maakt de CEO duidelijk: "Ten eerste: Welke kwetsbaarheden vormen het grootste risico voor onze organisatie? En ten tweede: Hoe snel kunnen we juist die kwetsbaarheden herstellen?"

Qualys speelt op dit veranderende landschap in en introduceerde vier jaar geleden nieuwe mogelijkheden voor patchbeheer. “Wij stellen organisaties in staat om de meest risicovolle kwetsbaarheden binnen 24 tot 48 uur te patchen, waardoor hun blootstelling aan cyberdreigingen aanzienlijk wordt verminderd.”

De oplossingen van Qualys

De suite van oplossingen van Qualys omvat Cyber Security Asset Management (CSAM), Vulnerability Management, Detection and Response (VMDR) en Patchbeheer. Deze tools werken samen om organisaties een alomvattend programma voor kwetsbaarheidsbeheer te bieden.

CSAM helpt organisaties daarom om zicht te krijgen op hun volledige digitale landschap, inclusief schaduw-IT. VMDR detecteert kwetsbaarheden in verschillende infrastructuren en prioriteert ze met behulp van een groot aantal bronnen van dreigingsinformatie. Een risicoscore (TruRisk) kwantificeert de risico’s en maakt deze meetbaar. Dit brengt snel aan het licht welke verbeteringen securityteams kunnen maken. Het maakt de risico’s ook eenvoudig te presenteren aan het management. Tot slot stelt Patchbeheer organisaties in staat om kwetsbaarheden snel te herstellen, waardoor het venster waarbinnen criminelen aanvallen kunnen uitvoeren aanzienlijk wordt verkleind.

Bij alle nieuwe dreigingen mag niet vergeten worden dat kwetsbaarheden uit het verleden ook jaren later nog kunnen worden misbruikt, maakt de CEO duidelijk. Qualys publiceerde een lijst veel voorkomende kwetsbaarheden, waarvan bij een aantal ervan al jaren patches bestaan, zoals WannaCry en Petya. “Beide gaten werden al in 2017 gedicht maar in 2023 zijn er nog steeds voldoende omgevingen waarop de patches niet zijn geïnstalleerd.”

Vergeet de OT-omgeving niet

Daarnaast moet er meer dan ooit aandacht zijn voor kwetsbaarheden in software van derden. “In feite zijn we, zoals ik al aangaf, allemaal softwarebedrijven geworden,” waarschuwt de topman. “Dat betekent dat het gevaar bestaat dat een bedrijf zelf kwetsbaarheden verspreidt in de toeleveringsketen. Dat benadrukt nog eens de noodzaak voor organisaties om een alomvattend beeld te behouden van hun gehele aanvalsoppervlak.”

Een vaak vergeten gebied in relatie tot security betreft de OT-omgeving. Denk daarbij aan productie-omgevingen, die tot voor kort niet benaderbaar waren via internet. “Zelfs als je nog steeds probeert die IT-systemen te isoleren, gebeurt het toch vaak dat de leverancier van de apparatuur een connectie heeft. Bijvoorbeeld voor de monitoring van de prestaties van de assets. Dat maakt OT-omgevingen kwetsbaar, ook omdat appratuur vaak een zeer lange levensduur heeft en men updates en patches regelmatig niet of veel te laat installeert.”

De klantenkring van Qualys

Qualys bedient een diverse klantenkring, variërend van kleine en middelgrote bedrijven tot grote ondernemingen. Zelfs kleinere organisaties met beperkte middelen kunnen profiteren van de oplossingen van Qualys vanwege hun gebruiksvriendelijke interface en schaalbaarheid. Beheerde serviceproviders (MSP's) kunnen ook gebruikmaken van Qualys om cybersecuritydiensten voor meerdere klanten via een enkel dashboard aan te bieden.

De Qualys-topman benadrukte tot slot in het interview het toenemende belang van het kwantificeren van het cyberbeveiligingsrisico voor discussies op bestuursniveau. “Cyberbeveiligingsprofessionals verschuiven van het presenteren van een waslijst aan tools naar het verwoorden van de vermindering van het risico die met deze tools wordt bereikt,” is zijn overtuiging.

“Daarnaast groeit de rol van cyberverzekering in belang. Door cyberbeveiligingsrisico's effectief te kwantificeren en beheren, kunnen organisaties hun behoeften op het gebied van cyberverzekering beter beoordelen.”