Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Kwetsbaarheid

Concepten

Een eigenschap die een aanvaller de mogelijkheid biedt een cyberaanval uit te voeren of een eigenschap die kan leiden tot uitval. Dit kan zich voordoen in een digitale dienst, proces of systeem, maar ook in de samenleving als geheel of in een specifieke organisatie.

Een kwetsbaarheid (vulnerability) is een zwakte in software, hardware of configuratie die door aanvallers kan worden misbruikt om ongeautoriseerde toegang te verkrijgen, gegevens te stelen of systemen te verstoren. Kwetsbaarheden ontstaan door programmeerfouten, ontwerpfouten, onjuiste configuraties of verouderde software die niet meer wordt onderhouden door de leverancier. Ze worden geregistreerd in het CVE-systeem (Common Vulnerabilities and Exposures) en krijgen een specifiek identificatienummer waarmee ze wereldwijd herkenbaar zijn en eenduidig gecommuniceerd kunnen worden. Volgens de CISA Known Exploited Vulnerabilities Catalog wordt meer dan 60% van succesvolle inbraken veroorzaakt door bekende kwetsbaarheden waarvoor al patches beschikbaar waren maar niet waren toegepast.

De ernst van een kwetsbaarheid wordt uitgedrukt via het Common Vulnerability Scoring System (CVSS). Dit systeem kent een score van 0 tot 10, waarbij hogere scores duiden op kritiekere kwetsbaarheden. Een CVSS-score van 9.0 of hoger wordt als kritiek beschouwd en vereist onmiddellijke actie. Het is belangrijk om kwetsbaarheden niet alleen op basis van hun CVSS-score te prioriteren, maar ook te kijken of er actieve exploits in omloop zijn, hoe blootgesteld je systemen zijn aan het internet en welke data het getroffen systeem verwerkt. Context bepaalt de daadwerkelijke urgentie.

Waarom is een kwetsbaarheid belangrijk?

Kwetsbaarheden vormen de toegangspoort voor cyberaanvallen. Zonder kwetsbaarheden om te exploiteren, hebben aanvallers geen technische manier om systemen te compromitteren. Het tijdig identificeren en verhelpen van kwetsbaarheden is daarom een van de meest effectieve beveiligingsmaatregelen die een organisatie kan nemen. Elke ongepatcht systeem is een potentieel doelwit voor zowel geautomatiseerde scans als gerichte aanvallen door geavanceerde dreigingsactoren die specifiek zoeken naar bekende zwakheden.

De impact van een onontdekte of ongepatche kwetsbaarheid kan verstrekkend zijn. De Log4Shell-kwetsbaarheid (CVE-2021-44228) in december 2021 trof miljoenen systemen wereldwijd en kreeg een CVSS-score van 10.0. Organisaties die geen gestructureerd patchmanagement hadden, waren wekenlang kwetsbaar voor aanvallen die datadiefstal, ransomware-infectie en volledige systeemovername mogelijk maakten. Dit illustreert waarom een proactieve aanpak van kwetsbaarheden essentieel is voor elke organisatie, ongeacht grootte of sector.

Vanuit compliance-perspectief vereisen regelgevingen zoals NIS2, ISO 27001 en de AVG dat organisaties passende technische maatregelen treffen om de beveiliging van systemen en gegevens te waarborgen. Een gestructureerd vulnerability management-programma is hiervoor onmisbaar. Zonder zo'n programma loop je niet alleen beveiligingsrisico's, maar ook het risico op boetes, bestuurdersaansprakelijkheid en reputatieschade bij incidenten die voorkomen hadden kunnen worden door tijdig patchen en monitoren.

Hoe pas je kwetsbaarheidsbeheer toe?

Kwetsbaarheidsbeheer begint met het in kaart brengen van je IT-landschap. Je kunt alleen kwetsbaarheden verhelpen in systemen waarvan je weet dat ze bestaan. Maak een actueel overzicht (asset inventory) van alle hardware, software en configuraties, inclusief shadow IT, clouddiensten en IoT-apparaten. Dit vormt de basis voor gerichte scanning en prioritering van kwetsbaarheden op basis van de waarde en blootstelling van elk systeem binnen je organisatie.

Voer regelmatig vulnerability scans uit met geautomatiseerde tools die je systemen controleren op bekende kwetsbaarheden. Plan scans minimaal maandelijks voor interne systemen en wekelijks voor extern bereikbare systemen. Combineer geautomatiseerde scans met periodieke penetratietesten waarbij ethische hackers proberen kwetsbaarheden daadwerkelijk te exploiteren. Scans vinden bekende technische zwakheden, terwijl pentests ook logische fouten, configuratieproblemen en business logic-kwetsbaarheden ontdekken die scanners missen.

Prioriteer kwetsbaarheden op basis van een combinatie van factoren: de CVSS-score, de aanwezigheid van actieve exploits (raadpleeg de CISA KEV-catalogus), de blootstelling van het systeem (extern bereikbaar of intern geisoleerd), en de waarde van de data die het systeem verwerkt. Niet elke kwetsbaarheid vereist dezelfde urgentie. Een kritieke kwetsbaarheid op een extern bereikbare webserver heeft absolute prioriteit boven een medium kwetsbaarheid op een geisoleerd intern systeem dat geen gevoelige data bevat.

Implementeer een patchmanagementproces met duidelijke SLA's per ernstniveau: kritieke kwetsbaarheden binnen 24-48 uur, hoge kwetsbaarheden binnen een week, medium binnen een maand en lage binnen een kwartaal. Als patchen niet direct mogelijk is vanwege operationele beperkingen of legacy-afhankelijkheden, pas dan mitigerende maatregelen toe zoals netwerksegmentatie, het uitschakelen van kwetsbare functies, het beperken van toegang tot het systeem of het implementeren van virtual patching via een WAF of IPS. Documenteer elke beslissing en de bijbehorende risicoacceptatie.

Kwetsbaarheid in de praktijk

Een softwarebedrijf ontdekt via een geautomatiseerde scan dat hun webapplicatie kwetsbaar is voor SQL injection, een kwetsbaarheid die in de OWASP Top 10 staat. De CVSS-score is 8.6 en er zijn actieve exploits beschikbaar op publieke platforms. Het security-team escaleert direct naar het development-team, dat parameterized queries implementeert als structurele oplossing in plaats van een tijdelijke workaround. Binnen 24 uur is de patch uitgerold naar productie en is de kwetsbaarheid geverifieerd als verholpen door een herscan.

Tegelijkertijd toont dezelfde scan een kwetsbaarheid in een interne bibliotheek met CVSS 4.3, zonder bekende exploits en alleen bereikbaar vanuit het interne netwerk. Deze wordt geprioriteerd voor de volgende reguliere release-cyclus. Het team documenteert beide kwetsbaarheden in hun vulnerability register, inclusief ontdekkingsdatum, CVSS-score, exploitstatus, verantwoordelijke eigenaar en remediatiestatus met tijdslijn.

Een ander scenario: een productiebedrijf draait een legacy ERP-systeem waarvoor de leverancier geen patches meer uitbrengt. De 0-day-kwetsbaarheid die wordt ontdekt, kan niet worden gepatcht via de reguliere weg. Het team implementeert compenserende maatregelen: het systeem wordt geisoleerd in een apart netwerksegment met strikte firewallregels, toegang wordt beperkt tot specifieke IP-adressen en gebruikersaccounts, en er wordt extra monitoring ingesteld om verdacht verkeer en ongebruikelijke activiteiten te detecteren. Parallel wordt een migratietraject gestart naar een ondersteund systeem. Dit is een realistisch scenario voor veel organisaties die afhankelijk zijn van legacy-systemen waarvan de end-of-life datum al lang is verstreken.

Veelgestelde vragen over kwetsbaarheden

Wat is een CVE-nummer?

Een CVE-nummer is een unieke identificatiecode voor een bekende kwetsbaarheid, bijvoorbeeld CVE-2021-44228. Het systeem wordt beheerd door MITRE en maakt het mogelijk om kwetsbaarheden eenduidig te identificeren en te communiceren tussen leveranciers, beveiligingsonderzoekers en organisaties wereldwijd.

Wat is het verschil tussen een kwetsbaarheid en een exploit?

Een kwetsbaarheid is de zwakte zelf in software of hardware. Een exploit is de code of techniek waarmee een aanvaller die kwetsbaarheid daadwerkelijk misbruikt om toegang te krijgen of schade aan te richten. Niet elke kwetsbaarheid heeft een bekende exploit, maar kwetsbaarheden met actieve exploits vereisen de hoogste prioriteit bij patching.

Hoe ontdek je kwetsbaarheden in je systemen?

Gebruik geautomatiseerde vulnerability scanners voor regelmatige controles en laat periodiek penetratietesten uitvoeren door ethische hackers. Abonneer je op security advisories van je softwareleveranciers en monitor bronnen als het NCSC en CISA voor waarschuwingen over nieuwe dreigingen die jouw systemen kunnen raken.

Wat doe je als patchen niet mogelijk is?

Pas compenserende maatregelen toe zoals netwerksegmentatie, het beperken van toegang, virtual patching via een WAF of IPS, en verhoogde monitoring op het kwetsbare systeem. Documenteer de risicoacceptatie formeel en plan vervanging van het kwetsbare systeem op de middellange termijn als structurele oplossing.

Hoe snel moet je een kritieke kwetsbaarheid patchen?

Kritieke kwetsbaarheden met actieve exploits vereisen actie binnen 24 tot 48 uur. Veel compliance-frameworks zoals NIS2 en ISO 27001 schrijven voor dat organisaties een risicogebaseerd patchbeleid hanteren met duidelijke doorlooptijden per ernstniveau en gedocumenteerde escalatieprocedures.

Meer weten over kwetsbaarheidsbeheer? Vergelijk Patch & Vulnerability Management aanbieders op IBgidsNL.