Risicobeoordeling legacy: focus op je assetinventarisatie
Doelgroep
Als CISO in een Groeiende organisatie heb ik een ruw beeld van legacy-systemen en -software die we niet structureel onderhouden. Dit met alle risico’s tot gevolg. Ik wil daarom zicht op kwetsbare systemen en software procesmatig in mijn organisatie inbedden.
Als Techneut moet ik aan de slag met het segmenteren van onze meest kwetsbare legacy- en OT-systemen zodat de risico’s beperkt worden.
Achtergrond
Binnen risicomanagement onderscheiden we een aantal fasen. De focus van dit hoofdstuk is de risicobeoordelingsfase voor je legacy-systemen. Met risicomanagement weet je wat je in huis hebt, welke dreigingen daarop mogelijk zijn, maar ook welke risico’s je bereid bent te nemen. Wil je deze risico’s goed kunnen beoordelen, dan doorloop je vier stappen, ook als het gaat om legacy-risico’s.
In de eerste stap identificeer je te beschermen belangen, dreigingen en weerbaarheid (stap 1). Het analyseren van deze data geeft vervolgens zicht op mogelijke risico’s (stap 2). Het bepalen van impact per risico geeft daarna een eerste weging aan de gevonden risico’s (stap 3). Tenslotte beoordeel je de risico’s en prioriteer je deze (stap 4). In het geval van legacy is de eerste stap vaak al een enorme uitdaging: je dataverzameling, ofwel, het in kaart brengen van je legacy-systemen. Dit is dan ook de focus van dit artikel.
Stap 1
Dataverzameling, belangen, assets, dreigingen en weerbaarheid
Bij veel organisaties ontbreekt een bruikbare assetinventarisatie. Bij incidenten of ontdekking van nieuwe kwetsbaarheden is het daarom lastig vast te stellen of ook jouw organisatie kwetsbaar is voor de gebruikte aanvalsmethode. Omdat legacy-systemen vaak slecht gedocumenteerd zijn, vaak gebouwd met componenten waarvan de herkomst is vergeten en verbouwd door verschillende afdelingen en/of leveranciers, geldt dit eens te meer. Zodra je namelijk wel weet welke hard- en software kwetsbaar zijn voor dreigingen maar je hebt geen assetinventarisatie, ben je kwetsbaar zonder dat je het doorhebt.
Hoe ga je te werk als een bruikbare assetinventarisatie ontbreekt?
Eerst breng je in kaart welke kernprocessen, kroonjuwelen of te beschermen belangen (A) de organisatie heeft. Vervolgens wil je in beeld hebben welke processen en systemen (hard -en software, ook wel: assets - B) de organisatie gebruikt om deze processen uit te voeren.
Ook de consequenties van dreigingen ten aanzien van deze assets (C) en het bepalen van de weerbaarheid (al getroffen beveiligingsmaatregelen) van de geïdentificeerde assets bepaalt (D), behoren bij je dataverzameling.
A. Belangen
De eerste stap op weg naar digitale weerbaarheid is altijd dat je moet weten wat je te beschermen belangen zijn. Als je immers niet weet wat je belangen zijn, dan weet je ook niet wat je moet beschermen. Deze zijn voor iedere organisatie uniek. In algemene zin begin je met de organisatiedoelstellingen helder hebben (in categorieën, onder andere: financieel, reputatie, juridisch), daarna de processen die de organisatiedoelstellingen dienen te realiseren en tenslotte de netwerk- en informatiesystemen waarmee je de processen ondersteunt.
Voor hoe je dit doet, hoe je hierin prioriteert/waardeert en de stakeholders binnen jouw organisatie betrekt, verwijzen we graag naar twee van onze artikelen:
Voorbeeldcasus Technische belangen HollandTech Solutions
De organisatie HollandTech Solutions heeft al haar te beschermen belangen (TBB’s) in kaart gebracht. Zij richt zich nu op de technische te beschermen belangen. Daarvoor moeten zij processen verbinden aan deze TBB’s. Vervolgens kijken ze of voor deze processen de beschikbaarheid, integriteit of vertrouwelijkheid (BIV) hoogste prioriteit is. Vervolgens kan een referentietabel opgesteld worden met daarin de TBB’s van de organisatie op procesniveau, met de waardering van het BIV-belang per proces. Bij HollandTech Solutions blijkt het proces ‘uitbetalen personeel’ op de 5-puntschaal van ‘Zeer groot belang’ voor zowel de beschikbaarheid, integriteit en vertrouwelijkheid. De organisatie kiest ervoor om met dit proces aan de slag te gaan.
Met verschillende stakeholders bepalen ze de processtappen. Ze achterhalen vervolgens de kerninformatie. Voor de processtap ‘Berekenen van salarissen’ concluderen zij afhankelijk te zijn van een integer overzicht van gewerkte uren. HollandTech Solutions concludeert dat verschillende kritische organisatieprocessen volledig afhankelijk zijn van de beschikbaarheid, integriteit en vertrouwelijkheid van de file-server die binnen de organisatie wordt gebruikt. Nu weet HollandTech Solutions dat de weerbaarheid van het file-server systeem grote prioriteit heeft voor de organisatie.
B. Assetinventarisatie
Een volgende belangrijke actie is het inventariseren van je assets. Assets zijn alle middelen die essentieel zijn voor het functioneren van de organisatie. Dit omvat fysieke middelen (zoals hardware), digitale middelen (zoals data, software en systemen) en immateriële middelen (zoals intellectueel eigendom en reputatie). In relatie tot de digitale weerbaarheid van je legacy-assets concentreren we ons hier op hardware, data, software en systemen.
Een bruikbare assetinventarisatie maakt onder andere duidelijk wanneer bepaalde assets geen onderhoud meer zullen ontvangen van de leverancier en dus tot je legacy gaan behoren.
Begin dus met een assetinventarisatie en houd die ook bij. Het IT-landschap is voortdurend in beweging. Een assetinventarisatie bijhouden is dan ook een continu proces. Je wilt bovendien weten in hoeverre je assets blootgesteld zijn aan dreigingen. Zie voor deze invalshoek onze publicatie over exposuremanagement.
Ook van belang voor OT
Ook voor operationele technologie (OT of IACS) is het hebben van een assetinventarisatie van groot belang. Een goed, Engelstalig hulpmiddel hierbij is bijvoorbeeld:
Deze handleiding beoogt je assets te categoriseren zodat je een OT-taxonomie opzet, voorzien van een prioritering voor je risicobehandeling (Hoofdstuk 5), waarin je de assets ook in hun onderlinge samenhang in beeld brengt. (Zie ook hieronder: classificeren). Ook bij OT benadrukken we dat het landschap voortdurend in beweging is en ook deze handleiding is dan ook niet bedoeld om een statisch en volledig overzicht te hebben. De classificering helpt je echter te kunnen bepalen wat urgent is om potentiële dreigingen het hoofd te bieden.
Het belang van een holistische benadering wordt benadrukt in een andere internationale handleiding die ook samen met het Nederlandse NCSC is opgesteld.
Door systemen niet als solistische entiteiten te zien maar in samenhang, ook met je IT, krijgt een assetinventarisatie een grote meerwaarde voor je digitale weerbaarheid. Een goede assetinventarisatie geeft een doorlopend en bruikbaar inzicht in alle hard- en software, data en systeemcomponenten die zich binnen de organisatie bevinden.
CMDB (Configuration Management Database)
Een manier om nauwkeurig en zorgvuldig assets in kaart te brengen en beheren is het aanleggen van een CMDB (Configuration Management Database). De belangrijkste elementen van zo’n asset-inventarisatie zijn:
- Welke hard- en software compenten heb je precies en hoe zijn deze verbonden aan de organisatie? Denk aan digitale diensten, servers, applicaties, printers etc.
- Waar is het? Hoe zijn de componenten blootgesteld aan het publieke internet?
- Wat voor softwareversie/update is erop geïnstalleerd, welke versie is het en zijn er nu al kwetsbaarheden bekend in relatie tot deze versie?
- Wie is verantwoordelijk voor beheer en onderhoud en wie heeft er toegang toe?
Ook voor OT is het aanleggen van een CMDB een uitstekende manier om je assets in kaart te brengen. Lees hier meer over in dit artikel van Securitydelta.
SBOM Startersgids
Een andere manier om een deel (software) van je assets in kaart te brengen is met een SBOM. Een SBOM is in feite een overzicht van alle onderliggende softwarecomponenten van systemen en geeft ook hun onderlinge relaties weer. Zodra een kwetsbaarheid zich voordoet, kun je aan de hand van de SBOM zien welk softwarepakket risico loopt. Een SBOM maakt inzichtelijk welke systemen geraakt worden als een kleiner, onderliggend software-element kwetsbaar of gecompromitteerd is. Dit geldt uiteraard ook voor OT. Voor hoe je een SBOM opstelt en hoe dit bijdraagt aan je risicomanagement verwijzen we naar een NCSC-publicatie "SBOM Startergids".
C. Dreigingen
In deze stap verzamel je informatie om potentiële dreigingen te identificeren. Wat een dreiging voor jouw organisatie is, is net als de hierboven beschreven stappen, sterk afhankelijk van jouw organisatie. Voor wat het is, hoe je in gesprek hierover gaat met je bestuur en hoe je passende informatie hierover verzamelt, verwijzen we je graag naar een onze publicatie over dreigingen.
Voor je legacy-systemen is een goed beeld hebben van de dreigingen voor jouw organisatie urgent. Als er bijvoorbeeld geen beveiligingsupdates meer zijn voor een legacy-systeem, terwijl het wel blootgesteld is aan een dreiging, zijn mitigerende maatregelen essentieel. Je wilt dus ook weten in hoeverre jouw assets vatbaar zijn voor de geïdentificeerde dreigingen. Waarschijnlijk is dat juist voor legacy-systemen het geval.
D. Weerbaarheid
Digitale weerbaarheid is het vermogen van een organisatie om potentiële schade aan te beschermen belangen te reduceren tot een aanvaardbaar risico. Daarvoor heb je als organisatie maatregelen genomen om incidenten te voorkomen, te ontdekken, schade ervan te beperken en hiervan te herstellen.1 Deze mitigerende maatregelen bepalen dus je digitale weerbaarheid. Voor meer informatie hierover verwijzen we je naar de volgende publicatie Verbeter je kwetsbaarhedenbeheer.
In deze stap identificeer je dan ook de beveiligingsmaatregelen die je al hebt getroffen: Hoe krijg ik zicht op mijn security controls?
Stap 2 t/m 4
Analyse risico’s, impactbepaling en prioritering
Je hebt nu alle gegevens verzameld die je nodig hebt om een goede risicoanalyse te maken en deze te beoordelen: (te beschermen) belangen, assets, dreigingen en weerbaarheid. Om te weten hoe kwetsbaar je daadwerkelijk bent voor risico’s, voer je deze risicoanalyse uit. Tijd en geld zijn voor iedere organisatie schaars. Het in kaart brengen van de belangrijkste, meest missie-kritische legacy-systemen helpt je om deze schaarse middelen geprioriteerd te besteden. Daarvoor moet je ze wel rangschikken: prioriteren dus, op basis van kritiek naar minder belangrijk/kritiek.
Voor een goede risicobepaling moet je de impact bepalen. Impactbepaling kan kwalitatief of kwantitatief en druk je uit in termen van schade aan de organisatie of de maatschappij. Een dreiging manifesteert zich met een bepaalde kans, die vaak gerelateerd is aan de aard van de kwetsbaarheid en of de capaciteit, motivatie en mogelijkheid van een kwaadwillende actor. Aan de hand van deze factoren maak je een risicobepaling voor de verschillende scenario’s die een gevaar vormen voor je TBB’s.
Tenslotte bepaal je wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken. Hiervoor zijn verschillende methoden. Een self-assessment is sowieso een goed idee omdat je er inzicht mee ontwikkelt binnen jouw eigen organisatie.
Het Britse Gov.uk heeft voor OT onder andere een (Engelstalig) self-assessment opgesteld waarmee je kwetsbaarheden in kaart brengt via twee categorieën van criteria: waarschijnlijkheid en impact.
Waarschijnlijkheidscriteria zijn onder meer:
- Systeem is end-of-life/end-of-support
- Contract met leverancier verloopt
- Bekende kwetsbaarheden
Impactcriteria zijn onder meer:
- Nationale veiligheid is in het geding
- Reputatie van de organisatie of overheidsorgaan is in het geding
- Andere systemen zijn sterk afhankelijk van het legacy-systeem.
Door alle criteria te beantwoorden met een geclassificeerde score, heb je al vrij snel een goed overzicht van je belangrijkste risico’s waarmee je naar de volgende stap en hoofdstuk kunt: de risicobehandeling.
Ten slotte
Over assetinventarisatie is heel veel te vertellen. Afhankelijk van het onderwerp waarop je risicomanagement wilt ontwikkelen, kan je assetinventarisatie afwijken. Wil je hierover meer weten, lees dan deze engelstalige publicatie van NCSC UK.