NCSC: patchen op basis van alleen CVSS-score niet ideaal
Organisaties moeten zich bij het prioriteren van beveiligingsupdates niet blindstaren op alleen de CVSS-score van de kwetsbaarheid, zo stelt het Nationaal Cyber Security Centrum (NCSC). Om de impact van een kwetsbaarheid inzichtelijk te maken kwam het Amerikaanse National Infrastructure Advisory Council (NIAC) in 2004 met het Common Vulnerability Scoring System (CVSS). CVSS biedt een gestandaardiseerde manier om de impact van een kwetsbaarheid te berekenen. Vanwege het grote aantal kwetsbaarheden geven organisaties vooral prioriteit van het patchen van kwetsbaarheden met een hoge CVSS-score.
"Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is", aldus het NCSC. "Het is een aanslag op je budget en maakt je organisatie niet per se veiliger." Volgens de overheidsinstantie hebben veel kwetsbaarheden met hoge CVSS-scores geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker te misbruiken is.
Als tegenhanger van CVSS werd in 2017 het SSVC-model gepresenteerd, dat uit een beslisboom van negen kenmerken bestaat. Zo wordt er onder andere gekeken naar de blootstelling van het systeem, de volwassenheid van exploitcode en het belang van het te patchen systeem. Vorige maand kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een SSVC Calculator dat op basis van het SSVC-model met advies komt.
Daarnaast werkt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, aan het Common Security Advisory Framework (CSAF). Dit is een framework voor het automatisch uitwisselen van beveiligingsadviezen. Het NCSC onderzoekt hoe beveiligingsadviezen in de toekomst via CSAF kunnen worden gedeeld. Daarnaast zal de overheidsinstantie naar eigen zeggen beter inspelen op de informatiebehoefte die vanuit SSVC voortkomt. "Op die manier ondersteunen we afnemers beter in het maken van weloverwogen beslissingen in het eigen patchmanagementproces."
Reacties (18)
Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Hmmm hoe kan eenmalig het commando 'systemctl --now enable dnf-automatic-install.timer; dnf install -y needrestart' nu een aanslag op je budget zijn?
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Door Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Nou eindelijk. Security is bij de meeste organisaties (dankzij een berg technical debt en bizarre/ontbrekende architectuurkeuzes) maatwerk. Dan heb je weinig aan dit soort generieke - in veel gevallen worst case scenario based - scoring. Maar ook met een update van een generiek model zul je de vertaalslag moeten maken. Veel kennis van eigen omgeving is dus nodig bij het inschatten en dat zou een behoorlijke drempel moeten vormen voor het uitbesteden van iets dat niet 100% standaard is.
Door Anoniem:
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Door Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
CSAF is een stap in de goede richting. Het is in JSON formaat dus er valt al veel automatisch te extracten. Maar bepaalde velden zijn nog puur tekst, free format, en dus niet te behapstukken.
Waarom CSAF maken als er ook al CVRF (Common Vulnerability Reporting Format) is? Doch voor zover ik weet gebruik alleen Cisco het, zo "Common" is het. En nu komt er dus weer iets nieuws. Probleem is he gebreik aan adoptie van nieuwe standaarden door leveranciers.
Het ligt er maar net aan wat voor type organisatie je bent. Als je een unpatched CVE met een score van 9 hebt als organisatie waar veel geld te halen is, dan kan het een investering zijn om hier door zeer goede exploit schrijvers een prive exploit voor te laten ontwikkelen.
30-12-2022, 18:08 door
Tintin and Milou
Door Anoniem:
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Volgens mij is de hypervisor gewoon een aangepaste versie van Hyper-V ofwel Windows. Door Anoniem:
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Door Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Door Anoniem: Hmmm hoe kan eenmalig het commando 'systemctl --now enable dnf-automatic-install.timer; dnf install -y needrestart' nu een aanslag op je budget zijn?
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Leuk.. Herstart/reboot overdag je Database server.Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Door Anoniem:
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Door Anoniem: Hmmm hoe kan eenmalig het commando 'systemctl --now enable dnf-automatic-install.timer; dnf install -y needrestart' nu een aanslag op je budget zijn?
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Leuk.. Herstart/reboot overdag je Database server.Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
ha ha ha dit soort antwoorden van bange buraucratische mensen altijd weer. niet verder kijken dan de neus lang is....
0) misschien hebben we wel geen 'applicaties' die belly up gaan als de DB server even 1s down lijkt [btw aan applicatie die niet tegen een 10s time out kan, hoor je eigenlijk niet te willen gebruiken in business kritieke omgevingen. netwerk kan soms een latency hebben van 1s omdat een dns lookup oid wat langer duurt en de cache flushed is].
1) reboot is alleen nodig bij kernel patch die relevant is [hangt af van patch en van situatie waar server zich in bevind in organisatie => reboot niet altijd / vaak eigenlijk niet meteen nodig en kan gescheduled worden en je hebt ook nog eens de live patching als optie voor RHEL].
2) change process is eenvoudig : in automatische updates van RH we trust na 20j ERVARING ipv vlug op een enveloppe een theoretisch angst argumentje te poneren van een [wanna be] manager met pseudo imposante woorden.
3) OTAP opzetten is eenvoudig: heb een lokale mirror van de updates waar je kritieke servers hun update vandaan halen. die lokale mirror sync je dan pas nadat updates getest zijn [staggered]. of als je wilt los je het zelf op met een ansible pull die na testen van updates van minder kritiek servers via een git commit de kritieke servers de update laten uitvoeren.
maargoed ik ben van de bewezen inhoud en niet de 'er moeten processen zijn want angst' blaat aperij :).
Door Tintin and Milou:
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Door Anoniem:
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Volgens mij is de hypervisor gewoon een aangepaste versie van Hyper-V ofwel Windows. Door Anoniem:
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Door Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
de meeste VMs [aka the cloud en back end voor vele apps bij klanten] op azure zijn linux.
Door Anoniem:
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Dat is niet bijzonder in de kantoorautomatisering. Komt namelijk door een zelf gecreëerde vendor-lock. Elke beheerder kijkt met jaloezie naar zijn UNIX collega, waar aantal incidenten op OS niveau 0 isDoor Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Door Tintin and Milou:
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Microsoft gebruikt voor de Azure infrastructuur zelfs een speciale Linux distro, maar het ging de reaguurder om de VM's in Azure en dat is tegenwoordig in grote meerderheid Linux. De Azure hypervisors gaan ook omgebouwd worden naar Linux. Let maar op want windows heeft geen small footprint en moet worden gereboot na elke update. Daarnaast is het kwetsbaar voor een hele berg ransomware en dat wil je absoluut niet hebben.Door Anoniem:
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Volgens mij is de hypervisor gewoon een aangepaste versie van Hyper-V ofwel Windows. Door Anoniem:
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Door Anoniem:
Omdat? Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatiserig wordt gebruikt.Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Door Anoniem:
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Linux is geen Windows! Dat moet je met een andere bril, die jij niet hebt, bekijken. Verdiep je maar eens in https://theforeman.org/ en kpatch. Heb ik ook gedaan. Ons team doet windows en Linux maar Linux life cycle management is superieur. Dat is ook logisch (wet van de grote getallen)Door Anoniem: Hmmm hoe kan eenmalig het commando 'systemctl --now enable dnf-automatic-install.timer; dnf install -y needrestart' nu een aanslag op je budget zijn?
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Leuk.. Herstart/reboot overdag je Database server.Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Door Anoniem:
Als het bij kantoorautomatisering gebruikt wordt is het professioneel in tegenstelling tot wat her en der op een zolderkamertje in elkaar geknutseld wordt. Het is een aanslag op je budget en maakt je organisatie niet per se veiliger
Dat zien we aan een bekend consumenten OS dat vaak in de kantoorautomatisering wordt gebruikt.Door Anoniem: [nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Daar zijn dan ook behoorlijk wat problemen mee omdat die backends onverwacht gedrag vertonen en voor jet het weet zonder te weten gegevens lekken. Shared resource zonder duidelijk belegde verantwoordelijkheden is het recept voor escalerende problemen. Tip: volg Centric en Lochem Door Anoniem: Nou eindelijk. Security is bij de meeste organisaties (dankzij een berg technical debt en bizarre/ontbrekende architectuurkeuzes) maatwerk. Dan heb je weinig aan dit soort generieke - in veel gevallen worst case scenario based - scoring. Maar ook met een update van een generiek model zul je de vertaalslag moeten maken. Veel kennis van eigen omgeving is dus nodig bij het inschatten en dat zou een behoorlijke drempel moeten vormen voor het uitbesteden van iets dat niet 100% standaard is.
U kent de praktijk met wat er in de professionele wereld gebeurt.Helaas het zijn zeer veel systemen met onderlinge afhankelijkheden. Het leunen op externe leveranciers die alles zouden ontzorgen is niet bepaald de oplossing.
"Als het bij kantoorautomatisering gebruikt wordt is het professioneel in tegenstelling tot wat her en der op een zolderkamertje in elkaar geknutseld wordt."
als het 100% de top500 dicteert, CERN, NASA, google en tegenwoordig een groot deel zelfs van MS draaiende houdt, dan praat jij met prutsers en dat is een probleem van jouw.
als het 100% de top500 dicteert, CERN, NASA, google en tegenwoordig een groot deel zelfs van MS draaiende houdt, dan praat jij met prutsers en dat is een probleem van jouw.
02-01-2023, 09:20 door
User2048
Het probleem met CVSS is dat veel organisaties alleen de base score gebruiken. Als je de moeite neemt om ook de temporal en environmental scores te gebruiken, dan krijg je wel een score die relevant is voor jouw organisatie op dat moment.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
