De toekomst van advisory's: automatisering en eigen analyses

Weblogbericht | 23-12-2022 | NCSC

Laten we eerst eens kijken welke informatie in een beveiligingsadvies voor organisaties belangrijk is. Uit eigen onderzoek weten we dat veel organisaties beslissingen vooral nemen op basis van de NCSC-risico-inschaling of de CVSS-score die een vulnerability scanner presenteert. Dit geldt hoogstwaarschijnlijk ook voor organisaties buiten onze doelgroepen. Vanuit verschillende organisaties wordt gewerkt aan manieren om de risico’s van kwetsbaarheden beter en gemakkelijker in te kunnen schalen.

SSVC-model als alternatief voor het CVSS-model

Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is. Het is een aanslag op je budget en maakt je organisatie niet per se veiliger. Veel kwetsbaarheden met hoge CVSS-scores hebben immers geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker uitgebuit kan worden.

In 2017 publiceerde de gerenommeerde universiteit Carnegie Mellon het SSVC-model als tegenhanger van CVSS. SSVC is een eenvoudige beslisboom gebaseerd op 9 kenmerken. Bijvoorbeeld: de exposure van het systeem, de volwassenheid van de exploit code en het belang van het systeem (over het belang van systemen en informatie voor organisatie schreef het NCSC dit factsheet). SSVC dwingt organisaties afstand te nemen van voorgekookte risicoscores die niet aansluiten op de eigen organisatie.  

CISA – de Amerikaanse cybersecurityautoriteit – heeft SSVC als methode inmiddels omarmd en voor SSVC een online tool ontwikkeld.  In het onderstaande blog schetst CISA hoe de toekomst van het advisorylandschap er volgens hen uitziet: Transforming the Vulnerability Management Landscape | CISA

CSAF, de nieuwe standaard voor beveiligingsadviezen?

Naast onze Amerikaanse collega’s van CISA zijn ook de Duitsers in beweging op dit onderwerp. Zo heeft de Duitse cybersecurityautoriteit BSI een machine readable advisory model ontwikkeld genaamd Common Security Advisory Framework (CSAF) dat inmiddels door standaardisatieorganisatie OASIS is geadopteerd. Momenteel vliegen medewerkers van BSI de wereld over om CSAF te promoten en ook CISA zet inmiddels vol in op CSAF.

Veelzeggend is ook dat grote spelers als Siemens, Cisco en Microsoft CSAF als standaard voor hun beveiligingsadviezen hebben geadopteerd. Ook het NCSC onderzoekt hoe beveiligingsadviezen in de toekomst via CSAF kunnen worden gedeeld. De elementen die SSVC gebruikt, kunnen direct neergezet worden in CSAF en worden inmiddels ook opgenomen in CVSS v4.0 die in ontwikkeling is.

VEXation

Tijdens de ONE Conference dit jaar pleitte Allan Friedman van CISA ook voor het gebruik van CSAF. Ook vertelde hij over Vulnerability Exploitability eXchange (VEX). Met VEX kun je aangeven of en hoe een bepaalde kwetsbaarheid aanwezig is in een product. Je kunt dan bijvoorbeeld beschrijven dat een bepaalde library weliswaar in het product zit, maar dat het kwetsbare deel helemaal niet gebruikt wordt. Dit soort eigenschappen kwamen we al tegen in overzichten die het NCSC voor Log4J en OpenSSL heeft gemaakt. Met CSAF en VEX wordt dit dus gestructureerd beschreven en is automatisering veel beter mogelijk.

De rol van het NCSC

Vanuit het NCSC is er oog voor deze ontwikkelingen. Zo zullen we de komende jaren onze beveiligingsadviezen ook via CSAF gaan distribueren. Daarnaast zal beter worden ingespeeld op de informatiebehoefte die vanuit SSVC voortkomt. Op die manier ondersteunen we afnemers beter in het maken van weloverwogen beslissingen in het eigen patchmanagementproces.

Naast het meenemen van CSAF en SSVC in de operationele informatievoorziening vragen we in de nieuwe NCSC Onderzoeksagenda ook aandacht voor de verdere automatisering van beveiligingsadviezen om de steeds groter wordende stroom van kwetsbaarheden behapbaar te houden. Het is duidelijk dat we voor boeiende veranderingen staan op het gebied van beveiligingsadviezen.

Geschreven door: 
Rik van Dijk en Jeroen van der Ham,
Onderzoekers NCSC