Skip to main content

De toekomst van advisory s: automatisering en eigen analyses

Advisory s ofwel beveiligingsadviezen. Voor cybersecurityprofessionals zijn ze een belangrijke informatiebron om op de hoogte te blijven van kwetsbaarheden in hard en softwareproducten. Beveiligingsadviezen spelen een centrale rol bij het inschatten of de kwetsbaarheden in de adviezen daadwerkelijk een risico voor de organisatie zijn. Welke ontwikkelingen zijn er op het vlak van beveiligingsadviezen?

Laten we eerst eens kijken welke informatie in een beveiligingsadvies voor organisaties belangrijk is. Uit eigen onderzoek weten we dat veel organisaties beslissingen vooral nemen op basis van de NCSC-risico-inschaling of de CVSS-score die een vulnerability scanner presenteert. Dit geldt hoogstwaarschijnlijk ook voor organisaties buiten onze doelgroepen. Vanuit verschillende organisaties wordt gewerkt aan manieren om de risico s van kwetsbaarheden beter en gemakkelijker in te kunnen schalen.

SSVC-model als alternatief voor het CVSS-model

Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is. Het is een aanslag op je budget en maakt je organisatie niet per se veiliger. Veel kwetsbaarheden met hoge CVSS-scores hebben immers geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker uitgebuit kan worden.

In 2017 publiceerde de gerenommeerde universiteit Carnegie Mellon het SSVC-model als tegenhanger van CVSS. SSVC is een eenvoudige beslisboom gebaseerd op 9 kenmerken. Bijvoorbeeld: de exposure van het systeem, de volwassenheid van de exploit code en het belang van het systeem (over het belang van systemen en informatie voor organisatie schreef het NCSC dit factsheet). SSVC dwingt organisaties afstand te nemen van voorgekookte risicoscores die niet aansluiten op de eigen organisatie.  

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Wat is een gerechtvaardigd belang?
Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenlijk in?
Het volwassenheidsmodel voor authenticatie
In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Belangrijke vaardigheden voor een succesvolle Privacy Officer
Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.

Meer recente berichten

Rekenkamercommissie komt met rapport informatieveiligheid
Verder lezen
Ceo s hikken aan tegen cybersecurity investeringen
Verder lezen
EU hof oordeelt over kosteloos opvragen medisch dossier
Verder lezen
AP wederom kritisch over datasurveillancewet
Verder lezen
Cybersecurity in het quantumtijdperk: over dertig jaar ligt data op straat
Verder lezen
Hoe AI kan bijdragen aan cybersecurity in de zorg
Verder lezen
Chinese hackers hadden twee jaar lang toegang tot netwerk NXP
Verder lezen
Partijen overtreden cookiewet met plaatsen volgcookies
Verder lezen
Omarming zero trust heeft in Europa meer tijd nodig
Verder lezen
Waarom klanten en partners steeds meer belang hechten aan jouw cyberbeveiligingsaanpak
Verder lezen