Patch & Vulnerability Management

Kwetsbaarheden: het meest onderschatte aanvalsoppervlak in uw organisatie

In 2025 werden er meer dan 50.000 Common Vulnerabilities and Exposures (CVE's) geregistreerd — dat is gemiddeld meer dan 130 nieuwe kwetsbaarheden per dag. Van die 50.000 is een aanzienlijk deel kritiek: kwetsbaarheden die aanvallers in staat stellen om zonder authenticatie volledige controle over een systeem te nemen, data te stelen of malware te installeren. En van die kritieke kwetsbaarheden blijft circa 33 procent bij organisaties langer dan 180 dagen ongepatcht — zes maanden blootstelling aan een bekend risico.

De gevolgen zijn niet hypothetisch. Twintig procent van alle datalekken begint met de exploitatie van een bekende kwetsbaarheid die een patch voor beschikbaar was. De EternalBlue-exploit die WannaCry en NotPetya aandreef, maakte misbruik van een Windows-kwetsbaarheid waarvoor Microsoft al twee maanden eerder een patch had uitgebracht. De Log4Shell-kwetsbaarheid in 2021 trof honderden miljoenen systemen wereldwijd, waarvan vele weken en maanden na de ontdekking nog kwetsbaar waren omdat organisaties niet wisten dat ze de software draaiden.

Patch en vulnerability management — het systematisch identificeren, prioriteren en verhelpen van kwetsbaarheden in software en systemen — is de beveiligingsmaatregel die organisaties het meest structureel verwaarlozen. Niet omdat ze het onbelangrijk vinden, maar omdat ze het onderschatten in complexiteit en onderbezetten in middelen. Dit artikel legt uit waarom dat gevaarlijk is, hoe een effectief programma eruit ziet, en wat u kunt verwachten aan kosten en tooling.

Waarom ad hoc patchen niet werkt

Veel organisaties patchen reactief: als er een urgent beveiligingsbericht uitkomt, of als er een incident is geweest, worden patches geïnstalleerd. In de tussenliggende periodes stapelen de kwetsbaarheden zich op. Dit is de norm, niet de uitzondering — maar het is een gevaarlijke norm.

Ad hoc patchen heeft drie structurele zwakten. Ten eerste mist u kwetsbaarheden die niet breed in het nieuws komen maar wel actief worden uitgebuit. Aanvallers monitoren kwetsbaarhedendatabases actief en beginnen binnen 24 tot 72 uur na publicatie van een exploit met geautomatiseerde aanvallen. De window tussen publicatie en uitbuiting wordt kleiner: was dit in 2020 gemiddeld 15 dagen, in 2024 is dit gedaald naar gemiddeld 4 tot 5 dagen voor kritieke kwetsbaarheden (Bron: IBM Cost of a Data Breach Report 2024).

Ten tweede heeft u geen prioritering. Als u niet systematisch inventariseert en prioriteert, besteedt u mogelijk tijd aan het patchen van laagrisico-kwetsbaarheden terwijl kritieke kwetsbaarheden ongeadresseerd blijven. Effective vulnerability management gaat niet over zo snel mogelijk alles patchen — het gaat over de juiste kwetsbaarheden als eerste aanpakken.

Ten derde heeft u geen zichtbaarheid. Weet u precies welke software en versies er op al uw systemen draaien? Inclusief alle servers, werkstations, netwerkapparatuur, cloudinstances, containers, en embedded systemen? Zonder die inventaris kunt u niet systematisch kwetsbaar zijn.

Het vijfstappenproces voor vulnerability management

Effectief vulnerability management werkt via een cyclisch vijfstappenproces dat continu herhaald wordt.

De eerste stap is inventarisatie: weet wat u heeft. Een volledige en actuele asset-inventaris is de basisvoorwaarde voor alles wat volgt. Dit omvat niet alleen werkstations en servers, maar ook netwerkapparatuur (switches, routers, firewalls), IoT-apparaten, cloudresources, containers en virtuele machines, en externe systemen en SaaS-applicaties. Asset discovery tools (zoals Qualys, Tenable of open-source alternatieven zoals OpenVAS) kunnen automatisch uw netwerk scannen en een inventaris opbouwen.

De tweede stap is kwetsbaarhedenscanning: identificeer de kwetsbaarheden. Geauthenticeerde scans — waarbij de scanner inlogt op systemen en van binnenuit controleert welke software en versies er draaien — geven een completer beeld dan niet-geauthenticeerde scans. Scans moeten regelmatig worden uitgevoerd: voor kritieke systemen wekelijks of zelfs dagelijks, voor minder kritieke systemen maandelijks. Continue monitoring via agents op eindpunten geeft nog betere zichtbaarheid.

De derde stap is prioritering: bepaal welke kwetsbaarheden als eerste worden aangepakt. Niet elke CVE verdient onmiddellijke actie. Prioriteer op basis van drie factoren: de CVSS-score (Common Vulnerability Scoring System, de standaard voor het beoordelen van ernst), de exploitabiliteit (wordt de kwetsbaarheid actief uitgebuit, is er een publieke exploit beschikbaar?), en de blootstelling (staat het kwetsbare systeem bloot aan het internet, of is het alleen intern bereikbaar?). Het CVSS-systeem alleen is onvoldoende — een kwetsbaarheid met een CVSS-score van 7.5 die actief wordt uitgebuit, verdient meer aandacht dan een kwetsbaarheid met een score van 9 waarvoor geen exploit bestaat en die achter meerdere beveiligingslagen zit.

De vierde stap is herstel: patch of mitigeer de kwetsbaarheden. Patching is de meest directe oplossing: installeer de beschikbare beveiligingsupdate van de softwareleverancier. Maar patchen is niet altijd mogelijk of onmiddellijk uitvoerbaar — sommige patches vereisten uitgebreide tests voordat ze in productie kunnen, sommige systemen kunnen niet herstarten zonder downtime, en voor sommige legacy-systemen bestaat simpelweg geen patch. In die gevallen zijn mitigatiemaatregelen nodig: netwerksegmentatie om een kwetsbaar systeem te isoleren, web application firewalls om aanvalspogingen te blokkeren, of compenserende maatregelen die het risico voldoende reduceren totdat een permanente oplossing beschikbaar is.

De vijfde stap is verificatie en rapportage: controleer of de patches werkzaam zijn en rapporteer aan stakeholders. Een patch die niet correct is geïnstalleerd, geeft een vals gevoel van veiligheid. Herscans na patching zijn essentieel. Rapportage — hoeveel kwetsbaarheden zijn er geïdentificeerd, hoeveel zijn er verholpen, hoe snel, en hoeveel staan nog open — is zowel voor interne sturing als voor compliance-doeleinden onmisbaar.

De NCSC-eisen en NIS2-verplichtingen

Het Nationaal Cyber Security Centrum (NCSC) publiceert richtlijnen voor het patchen van kritieke kwetsbaarheden. Voor kritieke kwetsbaarheden in publiek toegankelijke systemen is de aanbeveling: patch binnen 48 tot 72 uur na beschikbaarheid van de patch. Dit is een ambitieuze norm die de meeste organisaties niet halen — maar het geeft aan hoe urgent het NCSC de patching-kwestie beoordeelt.

NIS2 verbindt zich aan dit thema via de verplichting om passende maatregelen te nemen voor kwetsbaarheidsbeheer, inclusief het omgaan met en bekendmaken van kwetsbaarheden in artikel 21 (Bron: NCSC / Digitale Overheid). Dit betekent niet alleen dat u uw eigen systemen moet patchen, maar ook dat u een beleid moet hebben voor het omgaan met kwetsbaarheden die in uw eigen software of diensten worden ontdekt — relevant voor organisaties die zelf software ontwikkelen of aanbieden.

ISO 27001 en NEN 7510 stellen vergelijkbare eisen: beheersmaatregel 8.8 in ISO 27001:2022 vereist expliciet het managen van technische kwetsbaarheden. Organisaties die werken aan ISO 27001 implementatiebegeleiding of NEN 7510 implementatiebegeleiding zullen vulnerability management als een van de concrete technische beheersmaatregelen in hun programma moeten opnemen.

Kosten en tooling: het landschap

De markt voor vulnerability management tooling is breed. Aan de top staan enterprise-platforms zoals Qualys VMDR, Tenable.io en Rapid7 InsightVM, die volledige vulnerability management lifecycles ondersteunen inclusief asset discovery, geauthenticeerde scanning, prioritering en rapportage. Deze platforms kosten typisch 15.000 tot 60.000 euro per jaar voor middelgrote organisaties, afhankelijk van het aantal assets.

Voor kleinere organisaties zijn meer budgetvriendelijke opties beschikbaar: Tenable Nessus Professional kost rond 3.500 euro per jaar voor onbeperkte IP's. Open-source tools zoals OpenVAS (Greenbone) bieden gratis scanning-capaciteit maar vereisen meer technische expertise om te beheren.

Vulnerability scanning als dienst — waarbij een externe partij de scans uitvoert en rapporteert — is via vulnerability scanning als dienst beschikbaar voor organisaties die de tooling niet intern willen beheren. Dit is met name interessant voor organisaties zonder dedicated security-team.

De totale kosten van een volwassen vulnerability management programma voor een organisatie van 100 tot 500 werkstations en 20 tot 100 servers liggen typisch tussen 10.000 en 40.000 euro per jaar, inclusief tooling en interne arbeidstijd.

Prioritering met EPSS en dreigingsintelligentie

Traditionele CVSS-scores zijn een goed startpunt maar niet voldoende voor effectieve prioritering. De Exploit Prediction Scoring System (EPSS), een initiatief van FIRST (Forum of Incident Response and Security Teams), voorspelt de kans dat een specifieke kwetsbaarheid in de komende 30 dagen actief zal worden uitgebuit op basis van dreigingsintelligentie-data. EPSS-scores variëren van 0 tot 100 procent en worden dagelijks bijgewerkt.

Combineer CVSS met EPSS en real-world exploitatiestatus: een kwetsbaarheid die CISA (het Amerikaanse Cybersecurity and Infrastructure Security Agency) heeft toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, wordt actief uitgebuit en verdient hoogste prioriteit, ongeacht de CVSS-score. De KEV-catalogus is publiek beschikbaar en wordt dagelijks bijgewerkt.

AI-gedreven prioritering is de volgende stap: moderne vulnerability management platforms integreren machine learning om context mee te nemen in prioriteringsbeslissingen — welke systemen zijn het meest blootgesteld, welke kwetsbaarheden zijn het makkelijkst uitbuitbaar in uw specifieke omgeving, welke zouden de meeste schade veroorzaken als uitgebuit? Dit reduceert het volume aan te verwerken kwetsbaarheden dramatisch: in een gemiddeld enterprise-netwerk worden dagelijks duizenden kwetsbaarheden geïdentificeerd, maar slechts een kleine fractie verdient onmiddellijke actie.

CTEM: continue dreigingsblootstelling beheren

Continuous Threat Exposure Management (CTEM) is het bredere kader waar vulnerability management een onderdeel van vormt. CTEM, een concept dat Gartner in 2022 introduceerde, omvat niet alleen technische kwetsbaarheden maar alle manieren waarop een aanvaller uw organisatie kan aanvallen: misconfiguraties, identiteitsrisico's, aanvalspaden via de toeleveringsketen, en blootstelling van assets aan het internet.

Een CTEM-programma bestaat uit vijf fasen: scoping (welke kritieke assets en processen moeten worden beschermd?), discovery (wat is de huidige blootstelling?), prioritering (welke risico's zijn het urgentst?), validatie (zijn de genomen maatregelen effectief?), en mobilisatie (hoe worden remediation-acties efficient uitgevoerd?). Dit cyclische proces geeft een continu bijgewerkt beeld van uw werkelijke risicoblootstelling — in plaats van een momentopname uit een jaarlijkse penetratietest.

Organisaties die naast vulnerability management ook werken met penetratietesten en breach and attack simulation valideren niet alleen of kwetsbaarheden aanwezig zijn, maar ook of aanvallers ze daadwerkelijk kunnen uitbuiten via realistische aanvalspaden. Dit geeft een rijker en actionabeler beeld van het werkelijke risico.

Integratie met de bredere beveiligingsarchitectuur

Vulnerability management werkt het best als het geïntegreerd is met de bredere beveiligingsarchitectuur. Integratie met uw SIEM-systeem stelt u in staat om kwetsbaarheidsdata te correleren met dreigingsdetectie: als een kwetsbaar systeem ongewone netwerkactiviteit vertoont, is de correlatie met bekende kwetsbaarheden op dat systeem direct beschikbaar voor de analisten.

Integratie met uw change management proces zorgt dat patches worden gepland en uitgevoerd als onderdeel van het reguliere change-proces, inclusief goedkeuring, documentatie en fallback-planning — niet als ad hoc noodoperaties. Integratie met asset management houdt de inventaris actueel als nieuwe systemen worden toegevoegd of bestaande systemen worden aangepast.

Endpoint Detection and Response platforms bieden aanvullende bescherming voor systemen die (nog) niet gepatcht zijn: door gedragsanalyse kunnen ze exploit-pogingen detecteren en blokkeren, zelfs voor kwetsbaarheden waarvoor nog geen patch beschikbaar is (zero-days). Dit vormt een waardevolle compenserende maatregel in de periode tussen kwetsbaarheidsontdekking en patching.

Het combineren van een solide vulnerability management programma met gestructureerd patchbeleid, geïntegreerde tooling en heldere processen is niet glamourous beveiligingswerk — maar het is fundamenteel. De organisaties die structureel de meeste kwetsbaarheden het snelst patchen, zijn significant beter beschermd dan organisaties met geavanceerde detectietools maar een achterstallige patchachterstand. De eenvoudigste aanvalspaden sluiten is altijd de eerste prioriteit.

Patchbeleid opstellen: de bouwstenen

Een effectief patchbeleid legt vast hoe uw organisatie omgaat met patches: wie verantwoordelijk is voor welke systemen, hoe snel patches moeten worden geïnstalleerd voor verschillende risicocategorieën, hoe de testprocedure eruitziet, en wat er gebeurt als een patch niet direct geïnstalleerd kan worden.

Een risicoclassificatie voor patches werkt typisch met drie of vier niveaus. Kritiek: kwetsbaarheden die actief worden uitgebuit of CVSS-score 9.0 of hoger hebben op publiek toegankelijke systemen. Doel: patch binnen 24 tot 72 uur. Hoog: CVSS 7.0 tot 8.9, of kwetsbaarheden met beperkte blootstelling maar significante impact. Doel: patch binnen twee weken. Medium: CVSS 4.0 tot 6.9, geen actieve exploitatie, beperkte blootstelling. Doel: patch binnen 30 dagen. Laag: CVSS onder 4.0, minimale impact, geen publieke blootstelling. Doel: patch bij eerstvolgende geplande onderhoudsronde.

Testprocedures zijn essentieel maar mogen geen excuus worden voor vertraging. De meest voorkomende reden dat kritieke patches te laat worden geïnstalleerd, is dat organisaties wachten op uitgebreide testen — terwijl de systemen wekenlang kwetsbaar blijven. Een pragmatische aanpak: patches voor kritieke kwetsbaarheden worden na minimale smoke-tests geïnstalleerd op niet-productiesystemen, en na 24 uur zonder problemen uitgerold op productie. Voor minder urgente patches is een volledig testprotocol op zijn plaats.

Patchvensters — vaste tijdsblokken voor het installeren van patches — helpen de operationele impact te beheersen. Werkstations worden bijvoorbeeld elke dinsdag bijgewerkt via Windows Update of een patch management tool, servers elke eerste zaterdag van de maand in een onderhoudsvenster. Kritieke patches worden buiten deze vensters geïnstalleerd via een spoedprocedure.

Leveranciers en software van derden: het vergeten aanvalsoppervlak

De meeste patchprogramma's zijn relatief goed in het bijhouden van Microsoft- en besturingssysteemupdates. Waar het stelselmatig misgaat, is software van derden: Java, Adobe Acrobat, Chrome, Firefox, 7-Zip, WinRAR, VPN-clients, en honderden andere applicaties die installaties op werkstations en servers draaien. Aanvallers weten dit — ze richten zich bewust op veelgebruikte third-party applicaties omdat die systematisch later worden gepatcht dan het besturingssysteem.

Een effectief patch management programma omvat ook third-party software. Patch management tools zoals PDQ Deploy, ManageEngine Patch Manager Plus, Ivanti Neurons en anderen bieden automatische detectie en patching van honderden common third-party applicaties. Voor SaaS-applicaties is patching de verantwoordelijkheid van de leverancier — maar u moet wel contractueel vastleggen dat de leverancier een patchbeleid heeft en dit aantoonbaar naleeft.

Netwerkapparatuur — firewalls, switches, routers, access points — is een categorie die nog vaker wordt vergeten. Firmware-updates voor netwerkapparatuur worden door veel organisaties zelden of nooit geïnstalleerd, terwijl kwetsbaarheden in netwerkapparatuur bijzonder aantrekkelijk zijn voor aanvallers: een gecompromitteerde firewall of router geeft volledige controle over het netwerkverkeer.

Zero-days: kwetsbaarheden zonder patch

Zero-day kwetsbaarheden — kwetsbaarheden waarvoor nog geen patch beschikbaar is — zijn een bijzondere categorie. Ze kunnen niet worden gepatcht per definitie, wat compenserende maatregelen vereist. Netwerksegmentatie beperkt de blootstelling: een kwetsbaar systeem dat alleen intern bereikbaar is, is minder risicovol dan hetzelfde systeem dat publiek toegankelijk is. Web Application Firewalls en Intrusion Prevention Systems kunnen bekende aanvalspatronen blokkeren zelfs zonder een patch. EDR-platforms met gedragsanalyse kunnen exploitpogingen detecteren en blokkeren.

De tijd tussen de ontdekking van een zero-day en de beschikbaarheid van een patch varieert sterk: van enkele uren voor emergency patches bij actief uitgebuite zero-days (Microsoft publiceert soms out-of-band patches binnen 48 uur) tot weken voor complexere kwetsbaarheden. Gedurende die periode is waakzaamheid vereist: verhoogde monitoring van kwetsbare systemen, versnelde detectie van afwijkend gedrag, en communicatiekanalen met het NCSC en relevante leveranciers die u snel informeren over beschikbare workarounds.

Rapportage en KPI's: meten is weten

Een vulnerability management programma zonder rapportage is stuurloos. Essentiële KPI's die u minimaal maandelijks moet bijhouden zijn: het totaal aantal openstaande kwetsbaarheden uitgesplitst naar ernst (kritiek, hoog, medium, laag), de mean time to remediate (MTTR) per risicocategorie, het percentage kwetsbaarheden dat binnen de gestelde SLA is opgelost, de patchdekking per systeemsegment (hoeveel procent van de werkstations, servers en netwerkapparaten zijn volledig bijgewerkt?), en het aantal systemen zonder recente scan (blind spots in uw inventaris).

Trend-rapportage is minstens zo belangrijk als momentopname-rapportage: gaat de achterstand in patchage omhoog of omlaag? Neemt het aantal kritieke kwetsbaarheden toe? Is de MTTR voor kritieke patches kleiner dan vorig kwartaal? Deze trends vertellen u of uw programma verbetert of verslechtert, en zijn de basis voor managementrapportages en compliance-documentatie.

Voor organisaties onder NIS2, ISO 27001 of NEN 7510 is vulnerability management-rapportage ook compliance-documentatie. Auditors willen zien dat u systematisch kwetsbaarheden identificeert, prioriteert en verhelpt — en dat u de effectiviteit van dit proces meet en verbetert.

Intern versus uitbesteed: welke aanpak past bij uw organisatie?

Kleinere organisaties zonder dedicated security-team worstelen met de vraag hoe ze vulnerability management praktisch invullen zonder over te drogen capaciteit te beschikken. De opties lopen uiteen van volledig intern (met de juiste tooling) tot volledig uitbesteed.

Volledig intern werkt voor organisaties met een security-bewuste IT-afdeling en de bereidheid om te investeren in tooling en opleiding. De investering in een kwalitatieve vulnerability scanner, de tijd voor reguliere scans en rapportage, en de IT-capaciteit voor patchuitrol is substantieel maar beheersbaar.

Gedeeltelijk uitbesteed — een externe partij voert kwartaalscans uit en rapporteert de bevindingen, terwijl uw eigen IT-afdeling de patches uitrolt — is een praktische middenweg. U heeft externe expertise voor de detectie en prioritering, maar behoudt operationele controle over de uitrol.

Volledig uitbesteed via een MSSP die een volledig managed vulnerability management programma aanbiedt, is voor organisaties die geen interne security-capaciteit willen opbouwen de meest efficiënte route. De MSSP beheert de tooling, voert de scans uit, prioriteert de bevindingen, en rapporteert aan uw management. In veel gevallen is dit ook onderdeel van een bredere managed detection and response dienst die vulnerability management combineert met actieve dreigingsmonitoring en incidentrespons.

De keuze tussen deze modellen hangt af van uw risicobereidheid, beschikbare capaciteit, en budget. Maar de keuze voor geen van alle — voor ad hoc, reactief patchen zonder structureel programma — is in het licht van de huidige dreigingen en regelgevende eisen geen acceptabele optie meer.