Het is niet eenvoudig een vulnerability scan tool te kiezen. Het aantal aanbieders neemt toe en daarmee de keuzemogelijkheden. Om door de bomen het bos te blijven zien, heb ik de belangrijkste vragen die je jezelf en een leverancier kunt stellen in de oriëntatiefase en proof of concept (poc)-fase, op een rijtje gezet. Hiermee kies je de juiste tool die helpt grip te houden op netwerksecurity.
Fase 1: oriëntatie
Tijdens de oriëntatiefase onderzoek je de mogelijke opties. Er komt veel informatie op je af van websites, white papers en artikelen. Zet daarom in deze fase de volgende negen vragen centraal.
- Op welke type kwetsbaarheden wordt gescand?
Allereerst: het is belangrijk om te weten op welk soort kwetsbaarheden gescand wordt. Een vulnerability scanner scant op reeds bekende en gedocumenteerde kwetsbaarheden, en richt zich daarmee typisch op infrastructuren. Webapplicaties worden vaak niet of nauwelijks gescand. En een scanner voor webapplicaties richt zich minder op bekende kwetsbaarheden, maar probeert actief ‘nieuwe’ kwetsbaarheden in jouw applicaties te vinden. Deze twee soorten scanners zijn complementair. Er is geen scan-product wat beide kan. Vraag je dus af waar jouw organisatie het meeste baat bij heeft.
- Wat is de frequentie en kwaliteit van updates?
Veranderingen gaan snel, en je wil een scanner die mee ontwikkelt. Immers, als er een nieuwe kwetsbaarheid bekend wordt, wil je zo snel mogelijk een scan kunnen uitvoeren om te zien of die kwetsbaarheid zich ook in jouw netwerk bevindt.
De kwaliteit van een vulnerability scanner wordt voor het grootste deel bepaald door de technische checks die deze kan uitvoeren. Dat begint met portscannen. Dat doen alle verschillende scanners en het niveau is vergelijkbaar.
Daarna moet de scanner checks gaan uitvoeren op bekende kwetsbaarheden. Het is dus van belang dat de leverancier van de scanner een enorm grote database heeft van bekende kwetsbaarheden waarop gescand wordt. Maar ook een actief r&d-team dat snel nieuwe checks maakt wanneer nieuwe kwetsbaarheden bekend worden. Het continu produceren van nieuwe checks is niet gratis, vandaar dat scanners die dit aspect goed onder de knie hebben vaak ook geld kosten.
- Wat zijn de mogelijkheden voor intern scannen?
Scannen via internet geeft een beeld van wat een hacker vanaf internet van je netwerk ziet. Echter, het is ook verstandig om je interne systemen goed te beveiligen, zodat iemand die op wat voor manier dan ook toegang krijgt, niet direct intern allerlei andere systemen binnenwandelt. Check daarom of een scanner ook binnen in je netwerk kan scannen.
- Wat zijn voorwaarden voor scannen van cloud-systemen?
Het scannen op vulnerabilities is bij cloud-systemen soms net anders dan bij een traditionele infrastructuur. Naast andere toestemmingen en vrijwaringen, heb je ook te maken met snel-wisselende ip-adressen en worden bepaalde delen van de dienstverlening door shared systemen (load balancers zoals ELB, of serverless functions) aangeboden. Als je periodiek wil scannen, is het van belang dat de scope van de scan op een automatische manier is te beheren. Let er op dat de scanner in te stellen is op een manier dat scans overeenkomen met wat toegestaan is bij de cloudprovider.
- Hoe worden de kosten berekend?
Sommige scanners rekenen een vast bedrag per maand, anderen berekenen een maandbedrag aan de hand van de scope die je scant. Hierdoor kan het maandbedrag ineens snel oplopen als je meer infrastructuur in gebruik neemt, of kan het betaalmodel een drempel vormen om al je infrastructuur te scannen. Kijk daarom niet alleen naar prijs maar ook naar het prijsmodel.
- Kan de tool trend-analyses maken?
Wanneer je periodiek scant, is het handig inzicht te krijgen in de trend: wordt de security beter of niet? Worden bepaalde typen kwetsbaarheden vaker gevonden dan eerst? Zijn de trends in verband te brengen met veranderingen binnen de it of de organisatie? Kies voor een tool die analyses en vergelijkingen kan maken.
- Wat zijn de integratiemogelijkheden met andere tooling?
Een shiny dashboard vol scanresultaten is prachtig, maar uiteindelijk moet actie ondernomen worden op die resultaten. De kans dat acties goed geborgd worden, neemt toe als de scanresultaten zijn te integreren in andere tooling die in de organisatie gebruikt wordt. Denk aan het doorsturen van bevindingen naar een ticketsysteem van systeembeheerders of devops-engineers, of het weergeven van trends en kpi’s in bestaande dashboards. Hiervoor moet de scan-tool integratiemogelijkheden bieden. Actieve koppelingen voor de systemen die je gebruikt (koppeling met bijvoorbeeld Jira of Grafana) zijn het meest ideaal. Een andere optie is een api die door jouw tooling is aan te spreken.
- Is het een saas-oplossing of moet je zelf iets hosten?
Sommige scan-tools kan je downloaden en op een eigen server installeren, anderen neem je af als saas-product. Voordelen van een self-hosted oplossing is dat je meer grip hebt op de continuïteit en dat je data niet bij een andere partij staat. Het kan immers best om gevoelige data gaan. Het grote voordeel van een saas-oplossing is dat je geen omkijken hebt naar de hosting, onderhoud en upgrades. Kies hierin de oplossing die past bij je expertise en eisen voor dataopslag.
- Neem je alleen een scanner af of ook dienstverlening?
Sommige tools voeren puur scans uit en geven je de resultaten hiervan. Dat is prima, als de ontvanger van de resultaten voldoende kennis van security heeft om deze te duiden, op ernst in te schatten en op te volgen. De resultaten uit scans kunnen overweldigend zijn en niet alles verdient direct aandacht. Er bestaan organisaties waarbinnen medewerkers het als onbegonnen werk ervaren om alle resultaten te managen.
Er zijn ook aanbieders van vulnerability scans die de resultaten analyseren, prioriteiten en ernst inschatten én daarbij advies voor oplossing geven. Hieronder valt ook de hybride vulnerability-scanner. In dit geval zijn veel features van de software zelf minder van belang – het zal immers meer de leverancier zijn die daarmee moet werken. De kwaliteit van de dienst – de mate en wijze van contact, toepasbaarheid en volledigheid van de adviezen – is dan belangrijker.
Fase 2: proof of concept
Wanneer je je keuze hebt gemaakt volgt de poc-fase. Hierin ga je proefdraaien met de geselecteerde scanners. Nu zijn er drie vragen die je aandacht verdienen.
- Wat is de belasting voor de systemen?
Een actieve vulnerability scan veroorzaakt een bepaalde belasting op het netwerk en de servers. Het is belangrijk dat deze belasting niet te groot is of voor verstoring zorgt, en dat de tool mogelijkheden heeft om de belasting te verlagen door bijvoorbeeld langzamer te scannen.
- Wat is de begrijpelijkheid en werkbaarheid van bevindingen?
Pas als je een scanner aan het testen bent, zie je de werkelijke bevindingen en de begrijpelijkheid daarvan. Let erop dat de resultaten voorzien zijn van een begrijpelijke uitleg van impact, die maakt dat je kan inschatten wat de ernst van een bevinding is. Daarnaast moeten ze voldoende ‘werkbaar’ zijn: er moeten concrete vervolgstappen aan zijn te verbinden.
- Hoeveel echte false positives worden er gemeld?
False positives zijn resultaten die bij handmatige analyse geen kwetsbaarheid blijken te zijn, maar ten onrechte als zodanig door de tool zijn aangemerkt. Scanners vinden altijd false positives, omdat ze niet beschikken over de menselijke intelligentie die nodig is om het onderscheid tussen een false positive en een daadwerkelijke kwetsbaarheid te maken.
Sommige scanners richten zich op volledigheid en zullen alle bevindingen rapporteren. Een toename in false positives wordt daarmee op de koop toegenomen. Andere scanners proberen false positives te beperken, en accepteren dat ook een klein aantal echte kwetsbaarheden gemist wordt.
Maak hierin een keuze die past bij het kennisniveau van de collega’s die met de scanner moeten gaan werken: als zij veel kennis (en tijd) hebben, kunnen ze zelf goed het onderscheid maken tussen false en true positives. Zijn ze hier niet voor toegerust of ontbreekt de tijd, kies dan voor een scanner die minder false positives (maar wellicht minder resultaten) geeft of een hybride vulnerability-scanner.
Zoals je kunt lezen zitten er haken en ogen aan het kiezen van de juiste tool. De antwoorden op bovenstaande vragen zorgen voor structuur in je keuzeproces en helpen je die tool te selecteren die het beste bij jouw organisatie en situatie past.
