>>
22-oktober-2019, min leestijd

Waar moet je op letten bij de aanschaf van een vulnerability scan tool?

Als je de aanschaf van een vulnerability scan tool overweegt, doorloop je doorgaans twee fases. Tijdens de eerste, de oriëntatiefase, vergelijk je verschillende scanners op basis van informatie in whitepapers, websites enzovoort. Hierop volgt de Proof of Concept (PoC) fase waarin je gaat proefdraaien met een scantool. Om je door beide fases heen te loodsen lees je in dit artikel tips waar je op moet letten bij het overwegen en aanschaffen van een vulnerability scan tool.

Wat is een vulnerability scanner?

Een vulnerability scanner is in het kort een computerprogramma dat is ontworpen om kwetsbaarheden te ontdekken in computers, netwerken of applicaties. Een vulnerability scanner doet dit doorgaans door via een netwerk (of internet) de doelsystemen te benaderen, en checks uit te voeren voor alle relevante kwetsbaarheden. Voor systeembeheerders van een kantoornetwerk waarin applicaties en apparaten komen en gaan, helpt een scanner om grip te houden op de veiligheid van het netwerk.

Fase 1: oriëntatie verschillende vulnerability scanners

Lees nu de 9 belangrijkste vragen die je jezelf kunt stellen tijdens het onderzoek naar de juiste vulnerability scantool.

Tijdens de oriëntatiefase onderzoek je de mogelijke opties. Er komt veel informatie op je af. Met onderstaande tips wordt het makkelijker om uit het aanbod de juiste vulnerability scan tool te selecteren.

9 belangrijke vragen in de oriëntatiefase

1. Op welk type kwetsbaarheden moet worden gescand?

Allereerst: het is belangrijk om te weten op welk soort kwetsbaarheden gescand wordt. Een vulnerability scanner scant op reeds bekende en gedocumenteerde kwetsbaarheden, en richt zich daarmee typisch op infrastructuren. Webapplicaties worden vaak niet of nauwelijks gescand. En een scanner voor webapplicaties richt zich minder op bekende kwetsbaarheden, maar probeert actief ‘nieuwe’ kwetsbaarheden in jouw applicaties te vinden. Deze twee soorten scanners zijn complementair. Er is geen scan-product wat beide kan. Vraag je dus af waar jouw organisatie het meeste baat bij heeft.

2. Wat is de frequentie en kwaliteit van updates?

Veranderingen gaan snel, en je wil een scanner die mee ontwikkelt. Immers, als er een nieuwe kwetsbaarheid bekend wordt, wil je zo snel mogelijk een scan kunnen uitvoeren om te zien of die kwetsbaarheid zich ook in jouw netwerk bevindt.

De kwaliteit van een vulnerability scanner wordt voor het grootste deel bepaald door de technische checks die deze kan uitvoeren. Dat begint met portscannen. Dat doen alle verschillende scanners en het niveau is vergelijkbaar.

Daarna moet de scanner checks gaan uitvoeren op bekende kwetsbaarheden. Het is dus heel belangrijk dat de leverancier van de scanner een enorm grote database heeft van bekende kwetsbaarheden waarop gescand wordt. Maar ook een actief R&D-team dat snel nieuwe checks maakt wanneer nieuwe kwetsbaarheden bekend worden. Het continu produceren van nieuwe checks is niet gratis, vandaar dat scanners die dit aspect goed onder de knie hebben vaak ook geld kosten.

3. Wat zijn de mogelijkheden voor intern scannen?

Scannen via internet geeft een beeld van wat een hacker vanaf internet van je netwerk ziet. Echter, het is ook verstandig om je interne systemen goed te beveiligen, zodat iemand die op wat voor manier dan ook toegang krijgt, niet direct intern allerlei andere systemen binnen wandelt. Check daarom of een scanner ook binnen in je netwerk kan scannen.

4. Wat zijn voorwaarden voor scannen van cloud-systemen?

Het scannen op vulnerabilities is bij cloud-systemen soms net anders dan bij een traditionele infrastructuur. Naast andere toestemmingen en vrijwaringen, heb je ook te maken met snel-wisselende IP-adressen en worden bepaalde delen van de dienstverlening door shared systemen (load balancers zoals ELB, of serverless functions) aangeboden.
Als je periodiek wil scannen is het van belang dat de scope van de scan op een automatische manier beheerd kan worden. Let er ook op dat de scanner in te stellen is op een manier dat scans overeenkomen met wat toegestaan is bij de cloud provider.

5. Hoe worden de kosten berekend?

Sommige scanners rekenen een vast bedrag per maand, anderen berekenen een maandbedrag aan de hand van de scope die je scant. Hierdoor kan het maandbedrag ineens snel oplopen als je meer infrastructuur in gebruik neemt, of kan het betaalmodel een drempel vormen om al je infrastructuur te scannen. Kijk daarom niet alleen naar prijs maar ook naar het prijsmodel.

6. Kan de tool trend-analyses maken?

Wanneer je periodiek scant, is het handig om inzicht te krijgen in de trend: wordt de security beter of niet? Worden bepaalde typen kwetsbaarheden vaker gevonden dan eerst? Zijn de trends in verband te brengen met veranderingen binnen de IT of de organisatie? Kies voor een tool die analyses en vergelijkingen kan maken.

7. Wat zijn de integratiemogelijkheden met andere tooling?

Een shiny dashboard vol scanresultaten is prachtig, maar uiteindelijk moet actie ondernomen worden op die resultaten. De kans dat acties goed geborgd worden neemt toe als de scanresultaten kunnen worden geïntegreerd in andere tooling die in de organisatie gebruikt wordt. Denk aan het doorsturen van bevindingen naar een ticketsysteem van systeembeheerders of DevOps-engineers, of het weergeven van trends en KPI’s in bestaande dashboards. Hiervoor moet de scan-tool integratiemogelijkheden bieden. Actieve koppelingen voor de systemen die je gebruikt (koppeling met bijvoorbeeld Jira of Grafana) zijn het meest ideaal. Een andere optie is een API die door jouw tooling kan worden aangesproken.

8. Is het een SaaS-oplossing of moet je zelf iets hosten?

Sommige scan-tools kan je downloaden en op een eigen server installeren, anderen neem je af als SaaS-product. Voordelen van een self-hosted oplossing is dat je meer grip hebt op de continuïteit en dat je data niet bij een andere partij staat. Het kan immers best om gevoelige data gaan. Het grote voordeel van een SaaS-oplossing is dat je geen omkijken hebt naar de hosting, onderhoud en upgrades. Kies hierin de oplossing die past bij je expertise en eisen voor data-opslag.

9. Neem je alleen een scanner af of ook dienstverlening?

Sommige tools voeren puur scans uit en geven je de resultaten hiervan. Dat is prima, als de ontvanger van de resultaten voldoende kennis van security heeft om deze te duiden, op ernst in te schatten en op te volgen. De resultaten uit scans kunnen overweldigend zijn en niet alles verdient direct aandacht. We horen wel eens van organisaties waarin medewerkers het als onbegonnen werk ervaren om alle resultaten te managen.

Er zijn ook aanbieders van vulnerability scans die de resultaten analyseren, prioriteiten en ernst inschatten én daarbij advies voor oplossing geven. Hieronder valt ook de hybride vulnerability scanner. In dit geval zijn veel features van de software zelf minder van belang - het zal immers meer de leverancier zijn die daarmee moet werken. De kwaliteit van de dienst - de mate en wijze van contact, toepasbaarheid en volledigheid van de adviezen - is dan belangrijker.

Fase 2: Proof of Concept

Wanneer je je keuze hebt gemaakt volgt de Proof of Concept fase. Hierin ga je proefdraaien met de geselecteerde scanners. Ook nu zijn er een aantal punten die je aandacht verdienen.

3 belangrijke vragen in de Proof of Concept fase

1. Wat is de belasting voor de systemen?

Een actieve vulnerability scan veroorzaakt een bepaalde belasting op het netwerk en de servers. Het is belangrijk dat deze belasting niet te groot is of voor verstoring zorgt, en dat de tool mogelijkheden heeft om de belasting te verlagen door bijvoorbeeld langzamer te scannen.

2. Wat is de begrijpelijkheid en werkbaarheid van bevindingen?

Pas als je een scanner aan het testen bent zie je de werkelijke bevindingen en de begrijpelijkheid daarvan. Let erop dat de resultaten voorzien zijn van een begrijpelijke uitleg van impact, die maakt dat je kan inschatten wat de ernst van een bevinding is. Daarnaast moeten ze voldoende ‘werkbaar’ zijn: er moeten concrete vervolgstappen aan verbonden kunnen worden.

3. Hoeveel echte false positives worden er gemeld?

False positives zijn resultaten die bij handmatige analyse geen kwetsbaarheid blijken te zijn, maar ten onrechte als zodanig door de tool zijn aangemerkt. Scanners vinden altijd false positives, omdat ze niet beschikken over de menselijke intelligentie die nodig is om het onderscheid tussen een false positive en een daadwerkelijke kwetsbaarheid te maken.

Sommige scanners richten zich op volledigheid en zullen alle bevindingen rapporteren. Een toename in false positives wordt daarmee op de koop toegenomen. Andere scanners proberen false positives te beperken, en accepteren dat ook een klein aantal echte kwetsbaarheden gemist wordt.

Maak hierin een keuze die past bij het kennisniveau van de mensen die met de scanner moeten gaan werken: als zij veel kennis (en tijd) hebben, kunnen ze zelf goed het onderscheid maken tussen false en true positives. Zijn ze hier niet voor toegerust of ontbreekt de tijd, kies dan voor een scanner die minder false positives (maar wellicht minder resultaten) geeft of een hybride vulnerability scanner.

Zoals je kunt lezen zitten er diverse haken en ogen aan het bepalen van de juiste vulnerability scan tool. Kom je er niet uit of wil je meer weten over een hybride vulnerability scanner, neem dan gerust contact met mij op via lbaardman@computest.nl.