Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?

Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?

Dagelijks duiken er tientallen nieuwe kwetsbaarheden op. Deze variëren sterk, met CVE-scores van 0 tot 10. Hoe hoger de score, hoe alarmerender de berichtgeving. Opvallend is dat de gevaarlijkste cybergevaren lang niet altijd hoog op deze schaal scoren. Hoe weet je als organisatie wanneer een kwetsbaarheid daadwerkelijk ernstig is?

De meest prominente security-incidenten van de afgelopen tien jaar laten zien dat kwetsbaarheden niet kritiek hoeven te zijn om levensgrote schade aan te richten. Zo zorgde de Heartbleed-bug in OpenSSL, ontdekt in 2014, voor een wereldwijde security-crisis. Echter suggereren de CVE-scores van 5.0 (medium, CVSS 2.0) en 7.5 (hoog, CVSS 3.0) dat de kwetsbaarheid zelf niet kritiek is.

Er zijn uitzonderingen: het beruchte Log4Shell ontving binnen diezelfde schalen een 9.3 (CVSS 2.0) en 10.0 (CVSS 3.0). Hoewel er nog altijd talloze organisaties kwetsbaar zijn voor Log4Shell, hebben veel bedrijven actie ondernomen. De noodklok luiden kan dus zin hebben, maar als het te vaak gebeurt, verliest het zijn geloofwaardigheid. CVSS is tot nu toe daarin geen consistente raadgever geweest.

De bedoeling achter CVSS

De Amerikaanse overheidsorganisatie NIST is de grondlegger van de Common Vulnerability Scoring System (CVSS). Deze standaard is naar eigen zeggen “goed geschikt als een gestandaardiseerd meetsysteem voor industrieën, organisaties en overheden die een accurate en consistente graadmeter voor de ernst van kwetsbaarheden nodig hebben”.

Tip: Security voorspellingen 2024: BYOD, cyberdreigingen en zero trust

Maar: CVE-scores meten niet het risico van een kwetsbaarheid, aldus NIST. Eind vorig jaar werd met de introductie van CVSS 4.0 veelgehoorde feedback verwerkt door FIRST, al sinds 2005 verantwoordelijk voor dergelijke vernieuwingen te brengen aan het scoresysteem. Naast aandacht voor OT- en IoT-gevaren zou de score nuttiger gemaakt worden om het daadwerkelijke gevaar van een kwetsbaarheid te beoordelen.

De verwachting is dus dat CVSS 4.0 beter overeenkomt met de realiteit van cybergevaren. Daar komen we later op terug. Hoe dan ook is de aanname dat hogere CVE-scores gevaarlijker zijn, een hardnekkige. Eind vorig jaar bleek uit een CyRC-rapport dat minder software-systemen kwetsbaarheden bevatten dan voorheen. Tegelijkertijd steeg het percentage kritieke kwetsbaarheden, dat door een security-advocate van Synopsys wordt vergeleken met een daling in verkeersongelukken en een toename in sterfgevallen.

Dat klopt dus niet. Een hoge CVE-score (onder CVSS 2.0 en CVSS 3.0) zorgt niet voor de gevaarlijkste security-incidenten. De reden dat security-teams dergelijke kwetsbaarheden prioriteren, is omdat hoge CVE-scores wijzen op iets anders. De factoren die de score bepalen, zijn veelvuldig. Ze benadrukken onder meer de bewegingsvrijheid van de aanvaller na een exploitatie, de moeilijkheidsgraad om tot remediatie te komen en de impact op de beschikbaarheid van IT-systemen.

Versie 4.0 kent hoge verwachtingen, maar context ontbreekt

FIRST is ambitieus met CVSS 4.0. Men stelt dat het een “game-changer” zal zijn voor de securitywereld. De dubbelzinnigheid van scores dient bijvoorbeeld te zijn verminderd en recovery-pogingen worden zwaarder gewogen.

Toch bevatten CVE-scores nog steeds een fundamenteel probleem: het zegt weinig over wat het voor een specifieke organisatie betekent. Als een kwetsbaarheid voor downtime zorgt in een videodienst, is dat voor het ene bedrijf een irritatie en voor het andere catastrofaal. Aquia-CISO Chris Hughes noemt CVSS dan ook “niet defect”, maar vol tekortkomingen. “De vervelende realiteit is dat er in een industrie die vaak geleid wordt door marketing-hype, geen wondermiddel bestaat.”

Verkeerd beeld

Een partij als Hadrian Security stipt het belang aan van threat intelligence. Daarbij kijken experts naar de acties, motivaties van cybercriminelen en wie een reëel gevaar loopt. Andere securitybedrijven als CrowdStrike leggen ook de nadruk op het opsporen van actieve dreigingen. Afgezien van consistent patchen en het in de gaten houden van netwerkverkeer is er geen manier om zelf te weten waar het daadwerkelijke gevaar vandaan komt.

Kritieke kwetsbaarheden voorkomen een deel van de ernstigste gevaren, maar enkel naar de CVE-score kijken is geen oplossing. Zo pleit softwarebedrijf JFrog voor een herziening van CVSS waarbij gevaren bij standaardconfiguraties benadrukt worden. Ook is er al jaren het alternatieve EPSS (Exploit Prediction Scoring System), maar volgens senior director of security research bij JFrog Shachar Menashe heeft dat zichzelf nog niet bewezen en is de implementatie niet transparant.

Hoe dan ook gaat de realiteit eerder uit van het inperken van cybergevaren dan het voorkomen ervan. Preventie van downtime en het voorkomen van datalekken krijgen de prioriteit. Vandaar dat experts meermaals wijzen op defense-in-depth technieken, waarbij zero-trust principes bijvoorbeeld voorkomen dat een enkel overgenomen account al te veel schade aan kan richten. Het zijn de reële aanvalspaden van criminelen die daarmee de pas afgesneden worden, ongeacht de aard van mogelijke kwetsbaarheden die geëxploiteerd worden. Het blindstaren op hoge CVE-scores helpt niemand daarbij. Het suggereert dat een lage score minder snel actie vereist en doet geen recht aan de complexiteit van cybersecurity.

Richten op exploitkans, niet CVE-score

Om te bepalen of een kritieke kwetsbaarheid daadwerkelijk ernstig is, dient een organisatie naar de eigen context te kijken. Welke toegang heeft de software die men gebruikt? Hoe exploiteerbaar is de eigen IT-omgeving, en vanuit welke accounts? Als op die gebieden het overzicht ontbreekt, leidt het patchen op kritieke kwetsbaarheden tot een veiligheidswaan.

Daarbij is het wegnemen van de ruis noodzakelijk. Verschillende security-oplossingen zijn hiertoe in staat. Zo is SentinelOne Singularity een alomvattend EDR-platform, waar het concreet bieden van alerts en insights over cyberdreigingen duidelijkheid verschaft aan securityteams. Met de recente overname van PingSafe breidt SentinelOne dit uit naar CNAPP, dat concrete insights biedt om “cruciale signalen van de irrelevante ruis” te onderscheiden. Concreet houdt dat in dat men kijkt naar de exploitkans, niet de hoogte van de CVE-score. Dat laat veel beter zien of een organisatie daadwerkelijk gevaar loopt.

Lees verder: SentinelOne neemt PingSafe over en zet grote stap in cloud security