Wat is risk exposure management?

Risk exposure management is het continu zoeken, beoordelen, prioriteren en verminderen van cyberrisico's die ontstaan door de kwetsbaarheid van je organisatie. Het richt zich op hoe kwetsbaarheden, verkeerde configuraties, identiteiten, activa en cyberdreigingen samen zorgen voor echte risico's. Het doel is om de risico's te verminderen die het meest waarschijnlijk worden misbruikt en de grootste schade zouden veroorzaken.

Moderne omgevingen veranderen snel. Clouddiensten, SaaS, externe gebruikers, API's en derde partijen kunnen het aanvalsoppervlak sneller vergroten dan de meeste teams kunnen bijhouden. Traditionele security-programma's leveren vaak lange lijsten met bevindingen op, zonder duidelijke aanwijzingen over wat eerst moet worden opgelost. Cyber exposure management helpt om die bevindingen om te zetten in een gerangschikte reeks acties die zijn gekoppeld aan de waarschijnlijkheid van dreigingen en de impact op het bedrijf.

Waarom is risk exposure management belangrijk?

De meeste bedrijven hebben meer problemen dan ze kunnen oplossen tijdens hun normale onderhoudstijd. Als alles als urgent wordt gezien, raken teams uitgeput of gaan ze standaardregels volgen, wat meestal betekent dat ze alleen op basis van ernstscores patches toepassen.

Cyber exposure management verlegt de focus van volume naar besluitvorming. Het helpt je bij het beantwoorden van praktische vragen:

• Welke risico's zijn op dit moment haalbaar en exploiteerbaar?
• Welke activa en identiteiten bieden een aanvaller de beste toegang tot gevoelige gegevens of kernsystemen?
• Wat vermindert het risico het snelst met de minste verstoring?

Dit maakt het gemakkelijker om tijd en budget toe te wijzen, prioriteiten uit te leggen aan belanghebbenden en de voortgang te laten zien in het verminderen van risico's in de loop van de tijd.

De belangrijkste onderdelen van risk exposure management

Programma's voor risk exposure management kunnen verschillen, maar de meeste hebben deze basisonderdelen.

Altijd zicht op je assets en identiteiten

Je kunt je risico's niet goed beheren als je niet weet wat je hebt. Je moet zicht hebben op lokale systemen, cloud-workloads, endpoints, applicaties, identiteiten (van mensen en machines), netwerkservices en verbindingen met anderen. Omdat assets komen en gaan, moet je inventarisaties regelmatig doen, niet af en toe.

Identificatie van zwakke punten buiten CVE's

Kwetsbaarheden zijn belangrijk, maar aanvallers maken ook misbruik van verkeerde configuraties, zwakke authenticatie, blootgestelde beheerinterfaces, buitensporige privileges, onbeschermde API's en gelekte inloggegevens. Risk exposure management kijkt naar al deze soorten zwakke punten en behandelt ze als onderdeel van hetzelfde blootstellingsprobleem.

Context van dreigingen en exploiteerbaarheid

De ernst alleen vertelt je niet wat er wordt aangevallen. Risk exposure management voegt de context van dreigingen toe, zoals de beschikbaarheid van exploits, waargenomen gedrag van aanvallers, actieve campagnes en of de zwakke plek bereikbaar is vanaf het internet of vanaf waarschijnlijke toegangspunten.

Zakelijke context en impact

Blootstelling wordt pas echt belangrijk als je het koppelt aan zakelijke diensten en gegevens. Een zwakke plek in een productiesysteem dat via internet draait en geld opbrengt, is meestal belangrijker dan dezelfde zwakke plek in een afgesloten labsysteem. Door dingen te koppelen aan de impact op het bedrijf, kun je betere afwegingen maken.

Prioritering van herstel en risicobeperking

Het resultaat moet een duidelijke, gerangschikte lijst met acties zijn, geen nieuwe achterstand.

Acties kunnen bestaan uit het installeren van patches, configuratiewijzigingen, het versterken van identiteiten, segmentatie, het aanscherpen van firewallregels of compenserende maatregelen wanneer het installeren van patches niet mogelijk is.

Meting en continue verbetering

Blootstelling verandert dagelijks naarmate systemen en dreigingen veranderen. Risk exposure management werkt het beste als een continue cyclus: beoordelen, prioriteren, herstellen en meten wat er is veranderd. Nuttige maatregelen zijn onder meer de tijd die nodig is om de belangrijkste blootstellingen te herstellen, het verminderen van zwakke plekken die in contact staan met het internet en het verminderen van het aantal risicovolle aanvalspaden.

Risk exposure management versus vulnerability management

Vulnerability management is een belangrijke factor, maar het is niet het hele plaatje. Traditioneel vulnerability management richt zich meestal op bekende softwarefouten en het toekennen van een ernstscore. Dit kan ertoe leiden dat teams kwetsbaarheden met een hoge score repareren die niet bereikbaar zijn, terwijl ze zwakke plekken met een lagere score die actief worden misbruikt, over het hoofd zien.

Cyber exposure management bouwt voort op vulnerability management door factoren als bereikbaarheid, identiteit en toegang, ketenvorming van zwakke plekken en zakelijke impact toe te voegen. In de praktijk is vulnerability management één onderdeel van een bredere aanpak van risk exposure management.

Hoe risk exposure management zero trust ondersteunt

Zero trust richt zich op het beperken van impliciet vertrouwen door middel van minimale rechten, segmentatie en continue verificatie. Risk exposure management helpt je te zien waar het vertrouwen te groot is en waar een aanvaller zich lateraal zou kunnen verplaatsen.

Voorbeelden hiervan zijn accounts met te veel rechten, zwakke MFA-dekking, vlakke netwerksegmenten en blootgestelde beheerlagen in de cloud. Door prioriteit te geven aan deze blootstellingen, kun je zero trust-verbeteringen doorvoeren waar deze echte aanvalspaden verminderen, in plaats van afzonderlijke controles toe te voegen.

Voordelen voor alle teams

Een volwassen aanpak van risk exposure management zorgt ervoor dat beveiligingswerk beter wordt geprioriteerd en gecommuniceerd.

• Security teams krijgen duidelijkere prioriteiten en minder afleiding.
• IT-beheer krijgt meer gerichte verzoeken om problemen op te lossen, afgestemd op onderhoudsmomenten.
• Leidinggevenden krijgen inzicht in cyberrisico's die verband houden met bedrijfsdiensten, niet met tool-dashboards.

Het kan ook helpen bij audits en gesprekken met verzekeraars door continue beoordeling en risicobeperking te laten zien, in plaats van rapportages op een bepaald moment.

Aan de slag

Begin met wat je al hebt. Maak je assets en identiteiten beter zichtbaar en vul je bestaande kwetsbaarheids- en configuratiegegevens aan met info over dreigingen en de impact op je bedrijf. Kies eerst een paar scenario's met een hoog risico, zoals internetdiensten, bevoorrechte identiteiten en extern toegankelijke beheerinterfaces. Breid dit stap voor stap uit naarmate je de kwaliteit en eigendom van je gegevens verbetert.

Nomios kan je helpen om aan de slag te gaan met cyber exposure management door een baseline van je aanvalsoppervlak vast te stellen, te valideren wat echt blootgesteld is en een praktische prioriteringsaanpak op te zetten die past bij je omgeving en bedrijfsmodel. We kunnen je ondersteunen met beoordeling en advies, integratie van de juiste tools en gegevensbronnen, en voortdurende operationele ondersteuning, zodat de herstelmaatregelen gericht en meetbaar blijven.

Na verloop van tijd wordt risk exposure management de manier waarop je prioriteiten stelt en voortgang bijhoudt, en niet langer een apart project.