Vulnerability Scan

Definitie

Een vulnerability scan is een geautomatiseerde controle van systemen op bekende beveiligingskwetsbaarheden. Verschil met pentest: scan rapporteert, pentest exploiteert.

Een vulnerability scan is een geautomatiseerde controle van systemen, netwerken en applicaties op bekende beveiligingskwetsbaarheden. Volgens het Ponemon Institute blijft 60% van de datalekken terug te voeren op kwetsbaarheden waarvoor al een patch beschikbaar was maar niet was toegepast.

Hoe werkt een vulnerability scan?

Een vulnerability scanner verbindt met de te testen systemen en vergelijkt geinstalleerde softwareversies, configuraties en open poorten met databases van bekende kwetsbaarheden (CVE-databases). De scanner identificeert ontbrekende patches, onveilige configuraties, standaardwachtwoorden en verouderde softwareversies. Elke gevonden kwetsbaarheid krijgt een ernstscore op basis van het Common Vulnerability Scoring System (CVSS), waarmee organisaties kunnen prioriteren welke kwetsbaarheden als eerste moeten worden opgelost. Scans kunnen authenticated (met inloggegevens voor diepere analyse) of unauthenticated (extern perspectief) zijn.

Verschil met penetration testing

Een vulnerability scan identificeert en rapporteert kwetsbaarheden automatisch maar probeert ze niet te exploiteren. Een pentest gaat verder: pentesters proberen kwetsbaarheden daadwerkelijk te misbruiken om te bewijzen wat een aanvaller ermee kan bereiken. Vulnerability scanning is breder maar oppervlakkiger; pentesting is diepgaander maar beperkter in scope. Beide zijn complementair en essentieel voor een volwassen beveiligingsprogramma.

Impact voor organisaties

Het aantal gepubliceerde CVE's groeit jaarlijks: in 2023 werden meer dan 29.000 nieuwe kwetsbaarheden geregistreerd. Zonder regelmatige vulnerability scanning hebben organisaties geen zicht op hun kwetsbare aanvalsoppervlak. NIS2 verplicht organisaties in kritieke sectoren tot regelmatige kwetsbaarhedenbeoordelingen. ISO 27001 vereist een systematisch proces voor het identificeren en behandelen van technische kwetsbaarheden. PCI DSS schrijft kwartaallijkse vulnerability scans voor door een Approved Scanning Vendor. DORA stelt vergelijkbare eisen aan financiele instellingen. Het niet uitvoeren van regelmatige scans is een van de meest voorkomende bevindingen bij security audits.

Bescherming

Een effectief vulnerability management-programma combineert regelmatige scans met een gestructureerd patchproces. Continue vulnerability scanning detecteert nieuwe kwetsbaarheden zodra ze worden gepubliceerd. Risk-based prioritering focust op kwetsbaarheden die daadwerkelijk exploiteerbaar zijn in de specifieke omgeving. Een vulnerability management-platform biedt dashboards, trendanalyse en compliance-rapportage. Integratie met patchmanagement-tools automatiseert het herstelproces.

Hoe DEFION helpt

DEFION biedt Continuous Vulnerability Management als beheerde dienst, waarbij het security-team continue scans uitvoert, kwetsbaarheden prioriteert op basis van risico en concrete hersteladvizen levert. External pentests valideren de effectiviteit van het vulnerability management-programma.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: