Paul Cattermole Security & Compliance Officer
8 juli 2019

Problemen met vulnerability management? Relax.

Met de zomervakantie in het vooruitzicht bekruipt velen de gedachte aan een vakantie, om te kunnen ontspannen en bijkomen van het werk. Waarschijnlijk denk je aan vrijetijdsbesteding die helemaal niets met werk te maken heeft, zoals het boek dat je al een poosje wilde lezen, de nieuwste must-see van Netflix of gewoon luieren in de zon op het strand. Maar deze break kan je op een onverwachte manier helpen om inzicht te krijgen in een probleem op je werk waar je eigenlijk helemaal niet aan wilde denken… 

Dit overkwam mij eerder dit jaar. Terwijl ik ontspannen in een hangmat lag, bij een gastgezin tussen koffieplantages in het zuiden van India, kreeg ik plotseling een openbaring over een vraag die al drie jaar aan mij knaagde bij Solvinity: waarom zijn we slecht in vulnerability management?

Ik luisterde naar een aflevering van de podcast You Are Not So Smart met de titel ‘Why solving problems can make those problems seem impossible to solve‘¹ en ik hoorde voor het eerst over het concept van ‘prevalence induced concept change’ (naarmate een probleem minder vaak voorkomt, gaan we het probleemconcept ruimer definiëren). De problemen van Solvinity met vulnerability management werden mij toen duidelijk.

Achterliggende concepten

De podcast legt uit dat er drie concepten zijn betrokken bij prevalence induced concept change.

  1. Concept creep– Creep is een term waar wij in de technologiebranche allemaal bekend mee zijn, van project-, tot scope en feature creep. Maar ook ideeën, abstracte termen en definities kunnen, naarmate we ze beter beginnen te begrijpen, onder ‘creep’ gaan lijden. 
  2. Evaluatie door vergelijking – ons oordeel wordt beïnvloed door vergelijking met ervaringen uit het verleden. 
  3. Verandering in gangbaarheid na verloop van tijd – ons oordeel verandert als we merken dat iets na verloop van tijd zeldzaam wordt.

Als we deze drie psychologische fenomenen combineren, doen onze hersenen iets raars…

Het onderzoek

In het onderzoeksproject van David Levari en anderen³ kregen proefpersonen een serie gekleurde stippen te zien, van paars tot diepblauw. Daarna werd hen gevraagd aan te geven of de stip ‘blauw’ of ‘niet blauw’ was. Tijdens het tweede deel van het experiment werd voor de helft van de respondenten het aantal blauwe stippen geleidelijk verlaagd naar 5%. Voor deze groep werden de blauwe stippen zeldzaam. Het onderzoek toonde aan dat wanneer het aantal blauwe stippen afneemt, mensen meer kleuren blauw begonnen te onderscheiden. Deze tweede groep mensen veranderde hun definitie van blauw.

“Het is voortdurend jongleren met actieve kwetsbaarheden en basis beveiligingsissues.”
Paul Cattermole
Security & Compliance Officer
Mijn aha-moment

Tijdens mijn vakantie, in mijn hangmat luisterend naar de podcast, viel ineens het kwartje: het onderzoek suggereert dat ‘als je iets goed doet, je onbewust en onbedoeld meer problemen begint te zien dan daarvoor’.  

Relatie tot vulnerability management

Vulnerability management lijkt soms een strijd die je nooit kunt winnen. Je focust eerst op de systemen met kwetsbaarheden die uit te buiten zijn via het internet. Zijn er nog andere kritieke kwetsbaarheden? Uiteraard, deze hebben ook prioriteit. Als je deze lijst hebt ingekort, concentreer je je op systemen met zeer ernstige kwetsbaarheden. Het is voortdurend jongleren met actieve kwetsbaarheden en basis beveiligingsissues om ervoor te zorgen dat de kostbare tijd van de engineer gericht blijft op gebieden met het grootste risico.

En dit alles in omgevingen met strikte patching cycli volgens de Ontwikkeling, Test, Acceptatie en Productie-methodiek. Of in omgevingen die op custom middleware draaien met ‘dependencies’ die updateten lastig maken. En dit herhaalt zich elke maand, wanneer een nieuwe batch aan kwetsbaarheden wordt aangekondigd.

Maar als je het goed doet, daalt na verloop van tijd het totale aantal kwetsbaarheden. Je gaat testen hoe krachtig jouw vulnerability management oplossing is. Is onze scanconfiguratie geoptimaliseerd? Weten we zeker dat we alle systemen op onze doelnetwerken identificeren? Gebruiken we alle functionaliteiten die de huidige versie van onze security assessment tool te bieden heeft?

Eigenlijk doen we dit heel goed!

Mijn idee van wat een vulnerability managementprobleem is, heeft zich inmiddels uitgebreid met extra aandachtsgebieden, zoals:

  • het monitoren van het systeem en de functionaliteiten van de vulnerability management oplossing
  • de interactie met de patch management cycli
  • de efficiëntie van het loggen van serviceverzoeken als kwetsbaarheden hersteld moeten worden


In werkelijkheid was de algemene trendlijn in de vulnerability-grafiek gedaald, en ik zag het succes niet!

Terwijl de invloed van kritieke en zeer ernstige kwetsbaarheden was afgenomen, was ik te druk met het ontdekken van problemen die ik eerder niet had gezien, gebaseerd op mijn groeiende ervaring met de security scanning tool en de rol die deze speelde in het algemene doel van een veilige hostingoplossing voor onze klanten. 

Er zijn in feite enorme vooruitgangen geboekt binnen security scanning sinds ik bij Solvinity in dienst kwam. Het afgelopen jaar hebben we een paar duizend vulnerability scanning agents toegevoegd. Hierdoor kunnen we een aantal klanten voorzien van een wekelijks of maandelijks rapport over hun vulnerability via ons Vulnerability Management solution block. Als er een ‘zero-day vulnerability’ wordt aangekondigd, hebben we up-to-date data voor een belangrijk deel van onze infrastructuur om potentieel risico snel vast te stellen.

Er zijn elementen van ons CMDB gesynchroniseerd met onze security scan oplossing, op een manier die de engineer volledig inzicht geeft in de kwetsbaarheden van klantsystemen onder zijn verantwoordelijkheid. En we implementeren de ServiceNow Security Operations-applicatie om het loggen van kwetsbaarheden te stroomlijnen, de afhankelijkheid van handmatige analyses te elimineren en automatisch serviceverzoeken te genereren, gebaseerd op bedrijfsregels.

Dus terwijl ik naar een podcast luisterde die uitleg gaf over een experiment met blauwe en paarse stippen, dacht ik onbewust aan mijn werk bij Solvinity. Ik kreeg een fris inzicht en nieuwe waardering voor onze successen en het steeds beter ontwikkelde vulnerability management proces bij Solvinity.

Dus geniet van je ontspannen tijd op vakantie en wees gewaarschuwd dat dat boek, die podcast of serie je onbewust kan laten nadenken over je werk zodat je je successen weer leert waarderen.

Lees ook

Meer

Kunnen we je verder helpen?

Maandag t/m vrijdag van 09:00 - 19:00 uur