De toekomst van advisory s: automatisering en eigen analyses
Advisory s ofwel beveiligingsadviezen. Voor cybersecurityprofessionals zijn ze een belangrijke informatiebron om op de hoogte te blijven van kwetsbaarheden in hard en softwareproducten. Beveiligingsadviezen spelen een centrale rol bij het inschatten of de kwetsbaarheden in de adviezen daadwerkelijk een risico voor de organisatie zijn. Welke ontwikkelingen zijn er op het vlak van beveiligingsadviezen?
Laten we eerst eens kijken welke informatie in een beveiligingsadvies voor organisaties belangrijk is. Uit eigen onderzoek weten we dat veel organisaties beslissingen vooral nemen op basis van de NCSC-risico-inschaling of de CVSS-score die een vulnerability scanner presenteert. Dit geldt hoogstwaarschijnlijk ook voor organisaties buiten onze doelgroepen. Vanuit verschillende organisaties wordt gewerkt aan manieren om de risico s van kwetsbaarheden beter en gemakkelijker in te kunnen schalen.
SSVC-model als alternatief voor het CVSS-model
Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is. Het is een aanslag op je budget en maakt je organisatie niet per se veiliger. Veel kwetsbaarheden met hoge CVSS-scores hebben immers geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker uitgebuit kan worden.
In 2017 publiceerde de gerenommeerde universiteit Carnegie Mellon het SSVC-model als tegenhanger van CVSS. SSVC is een eenvoudige beslisboom gebaseerd op 9 kenmerken. Bijvoorbeeld: de exposure van het systeem, de volwassenheid van de exploit code en het belang van het systeem (over het belang van systemen en informatie voor organisatie schreef het NCSC dit factsheet). SSVC dwingt organisaties afstand te nemen van voorgekookte risicoscores die niet aansluiten op de eigen organisatie.
Verder lezen bij de bron- Europol: logs, namen en ip adressen belangrijkste data voor politieonderzoek - 9 december 2024
- Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand - 6 december 2024
- Kleinbedrijf laat subsidiepot cybersecurity nog links liggen - 6 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Europol: logs, namen en ip adressen belangrijkste data voor politieonderzoek | Verder lezen | |
Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand | Verder lezen | |
Kleinbedrijf laat subsidiepot cybersecurity nog links liggen | Verder lezen | |
Ciso en cio groeien naar elkaar toe | Verder lezen | |
Intern advies over digitaal oorlogsarchief toch openbaar | Verder lezen | |
De European Health Data Space: een nieuwe stap voor data uitwisseling en innovatie in de gezondheidszorg | Verder lezen | |
Crisisbeheer: voorbereiden op cyberaanvallen | Verder lezen | |
DNB waarschuwt voor internationale spanningen en cyberaanvallen | Verder lezen | |
RDI en AP: alle toezichthouders moeten toezien op ai | Verder lezen | |
AP verwijt DUO discriminatie bij gebruik algoritme | Verder lezen |