Service

In een snel veranderend digitaal landschap is actuele informatie over kwetsbaarheden cruciaal. Het Nationaal Cyber Security Centrum (NCSC) publiceert Security Advisories om organisaties te waarschuwen voor recente dreigingen in specifieke software of diensten. Op deze pagina lees je hoe onze adviezen zijn opgebouwd, wat onze visie is op vulnerability management en welke technische formaten wij ondersteunen voor geautomatiseerde verwerking.

Doel en Structuur van een Advies

Het aantal kwetsbaarheden dat wereldwijd wordt ontdekt is enorm; de adviezen van het NCSC beslaan de "uitgelichte zaken" die landelijk of sectorbreed een hoog risico kunnen vormen. Een Security Advisory biedt een duiding van een recent gevonden kwetsbaarheid en geeft snel antwoord op drie kernvragen:

1. Wat is er aan de hand? Een beschrijving van de kwetsbaarheid en de betrokken software.
2. Wat is de impact? De mogelijke gevolgen voor de vertrouwelijkheid, integriteit of beschikbaarheid van jouw systemen.
3. Wat moet u doen? Beschikbare handelingsperspectieven, zoals patches, workarounds (mitigaties) of tips voor monitoring en detectie.

Classificatie: Urgent en Normaal

Om te helpen bij het stellen van prioriteiten, stappen wij af van kans- en schadeberekeningen in de communicatie en hanteren wij heldere labels:

1. Urgent: Kwetsbaarheden met een hoge kans op uitbuiting gecombineerd met hoge schade. Directe actie is vereist om incidenten te voorkomen.
2. Normaal: Kwetsbaarheden met een gemiddelde kans op uitbuiting, maar wel met hoge potentiële schade. Deze vereisen planning binnen jouw reguliere patch-cyclus.

Van reactief naar eigen regie

Onze visie is gericht op het vergroten van de digitale weerbaarheid en de zelfredzaamheid van organisaties. Een volwassen vulnerability management proces vraagt om eigen inzicht en regie.

Wij adviseren organisaties om het NCSC-advies te zien als een essentiële aanvulling en validatie (een 'Extra Trigger'), maar niet als enige bron.

• Eigen selectie: Gebruik algemene bronnen (zoals onze vulnerabilities.ncsc.nl) om zelf inzicht te krijgen in alle kwetsbaarheden en filter deze op basis van jouw eigen infrastructuur en risicoprofiel.
• Rol van CVE-data: In onze advisories (en CSAF-bestanden) verwijzen wij naar de bijbehorende kwetsbaarheden (CVE's). Wij nemen in het advies zelf beperkte technische details over de CVE op. Dit is een bewuste keuze: wij verwachten dat organisaties voor de meest actuele en gedetailleerde CVE-informatie gebruikmaken van vulnerabilities.ncsc.nl of de bronnen van de leverancier.

Overgang naar CSAF

Tot 15 mei 2024 werd elk advies gepubliceerd als PGP-gesigneerde tekst. Sinds die datum is het CSAF-formaat (Common Security Advisory Framework) ons primaire bronformaat. Dit machine-leesbare formaat stelt organisaties in staat om het ophalen en verwerken van adviezen te automatiseren en direct te integreren in security-processen.

Voor verschillende gebruikersgroepen bieden wij de volgende formaten aan:

1. CSAF (Aanbevolen): Voor geautomatiseerde verwerking. In elk bestand staat vermeld welke softwareversie is gebruikt bij generatie.
2. HTML & PDF: Bedoeld voor menselijke leesbaarheid en het makkelijk delen binnen de organisatie. Let op: deze versies kunnen op elk moment worden aangepast.
3. Tekstformaat (Legacy): Om compatibiliteit met bestaande systemen te behouden, bieden wij de huidige CSAF-data ook aan in het oorspronkelijke tekstformaat.
4. Policy: Het tekstformaat blijft beschikbaar zolang wij de huidige versie van de CSAF-standaard ondersteunen. Bij een nieuwe CSAF-versie hanteren wij een overgangsperiode van zes maanden waarin beide versies beschikbaar blijven.

Distributiekanalen

• Publiek: Alle adviezen zijn vrij toegankelijk via advisories.ncsc.nl.
• NIS2 & Rijksoverheid: Organisaties die onder de NIS2-richtlijn vallen of tot de Rijksoverheid behoren, hebben aanvullend toegang via mijn.ncsc.nl en een beveiligde API api.ncsc.nl.

Changelog

Wij behouden ons het recht voor om de toepassing van de CSAF-standaard aan te passen. Hieronder vindt je een overzicht van de wijzigingen in onze CSAF-generatie.