Wat is exposuremanagement?
Achtergrond
Exposure en exposuremanagement liggen in elkaars verlengde. Met exposure bedoelen we de blootstelling (zichtbaarheid en bereikbaarheid) van de netwerk- en informatiesystemen van jouw organisatie aan dreigingen. Een dreiging kan zich alleen manifesteren als een netwerk- of informatiesysteem is blootgesteld aan die dreiging. Wil je grip krijgen op jouw digitale risico’s dan is het belangrijk te weten wat de exposure van jouw systemen is.
In het licht van de Cyberbeveiligingswet (NIS2) is exposuremanagement zeer relevant. Artikel 21 specificeert dat organisaties een risicobeoordeling moeten uitvoeren en passende beveiligingsmaatregelen moeten treffen. Exposuremanagement geeft organisaties hierbij focus. Voor dit artikel ligt de focus op systemen die direct verbonden zijn met het internet, omdat deze systemen het meest toegankelijk zijn voor kwaadwillenden. Weet wat er zichtbaar is en maak inzichtelijk wat je niet ziet, want wat je niet ziet, kun je niet beschermen.
Exposure en exposuremanagement: wat is het?
Met exposuremanagement bedoelen we het proces waarmee je zicht en grip krijgt op de exposure van de systemen van jouw organisatie. Met exposuremanagement breng je de digitale weerbaarheid van jouw organisatie op een passend niveau.
Exposure
Exposure van netwerk- en informatiesystemen is nodig voor het functioneren van jouw organisatie. Als onderdeel van de bedrijfsvoering kunnen medewerkers een database raadplegen, e-mailen of, in sommige gevallen, een configuratie wijzigen. Mogelijk moeten zij dit doen vanaf kantoor, in de productiehal of onderweg. De netwerk- en informatiesystemen die medewerkers hiervoor gebruiken moeten voor hen zichtbaar en bereikbaar zijn, maar worden hiermee ook exposed aan kwaadwillenden. Naast de netwerk- en informatiesystemen die worden beheerd door jouw IT-organisatie, gebruiken medewerkers soms ook andere digitale systemen voor hun werk. Bijvoorbeeld persoonlijke apparaten zoals eigen mobiele telefoons, maar ook een online service voor bestandsoverdracht. Deze ‘schaduw-IT’ wordt niet beheerd door de IT-beheerorganisatie, maar ook hiermee stel je de organisatie bloot.
De exposure van netwerk- en informatiesystemen kan verschillende vormen aannemen, zoals uiteengezet in Tabel 1. Zo kan fysieke interactie nodig zijn om een systeem te bedienen of moet een medewerker inloggen op een lokaal netwerk om te kunnen werken. Dit laatste beperkt de exposure omdat een kwaadwillende ook fysiek aanwezig moet zijn om een aanval uit te voeren. Netwerk- en informatiesystemen zijn echter in toenemende mate bereikbaar via internet, ook voor kwaadwillenden. Dit vergroot natuurlijk de exposure. Voor de meeste organisaties is dit de meest relevante en pregnante categorie en om deze reden leggen we hier in dit artikel de nadruk op.
Tabel 1: Categorieën van exposure en soorten dreigingen
De scope van deze publicatie is extern netwerkgericht.
| Categorie | Hoe wordt het systeem bereikt? | Waar kan de aanvaller zich bevinden? | Voorbeelden van aan te vallen assets |
|---|---|---|---|
| Extern netwerkgericht | Open voor internet | Overal ter wereld | Websites, cloudservers, online API's |
| Aangrenzend netwerkgericht | Toegang tot specifiek netwerk | Binnen hetzelfde netwerk | (Bedrijfs-)Wifi, interne systemen |
| Lokaal | Lokaal toegang tot het systeem | Binnen hetzelfde systeem | Lokale database (eigen beheer) |
| Fysiek | Fysieke interactie vereist | Moet bij het apparaat zijn | Serverruimten (eigen beheer) |
Exposuremanagement
Exposuremanagement is een proces dat als doel heeft zicht en grip te krijgen op de exposure van de netwerk- en informatiesystemen van jouw organisatie en te zorgen dat deze beheerst wordt, voordat een kwaadwillende ongeautoriseerde toegang kan hebben.
Exposuremanagement kent drie belangrijke kenmerken:
- Het is een continu proces. Je organisatie en de netwerk- en informatiesystemen van je organisatie zijn continu in beweging. Hierbij zijn voortdurend aanpassingen en verbeteringen nodig.
- Het is een combinatie van enerzijds door mensen uitgevoerde processen en analyses en anderzijds automatische tooling. Met behulp van tooling kan de exposure van digitale middelen met minimale inspanning worden gedetecteerd, beoordeeld, geprioriteerd en beperkt. De resultaten van deze tooling moeten echter wel door mensen worden geanalyseerd en begrepen.
- Het moet worden ingebed in het risicomanagementproces van jouw organisatie. Exposuremanagement helpt bij het duiden, prioriteren en beheersen van digitale risico’s.
Exposuremanagement staat niet op zichzelf, maar is nauw verbonden met andere cybersecurityprocessen. De belangrijkste aspecten hierbij zijn asset management, vulnerability management (ook wel: kwetsbaarhedenbeheer) en risicomanagement.
Asset management is het proces waarmee je doorlopend zicht hebt op alle informatie- en netwerksystemen van jouw organisatie. Je hebt bij het inrichten van exposuremanagement altijd enige vorm van asset management nodig.
Kwetsbaarhedenbeheer is het proces waarmee je grip houdt op de kwetsbaarheden in jouw informatie- en netwerksystemen. Om te bepalen in hoeverre een kwetsbaarheid een risico oplevert voor jouw organisatie moet je weten wat de exposure is van het betreffende systeem. Exposuremanagement is dus randvoorwaardelijk voor kwetsbaarhedenbeheer. Tegelijk geef je de informatie- en netwerksystemen die exposed zijn extra aandacht vanuit het perspectief van kwetsbaarhedenbeheer. Er bestaat dus een sterke wisselwerking tussen kwetsbaarhedenbeheer en exposuremanagement.
Risicomanagement is het overkoepelende proces waarmee je de onzekerheden minimaliseert die jouw organisatiedoelen kunnen verstoren. Gebruik exposuremanagement als belangrijk onderdeel van je risicomanagementproces om risico's te inventariseren, prioriteren en behandelen.