BIO 12.06 ISO A.8.8

Vulnerability Scanning Ingeschakeld

📅 2025-10-29
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Kwetsbaarheidsscanning moet ingeschakeld zijn voor de detectie van beveiligingszwakheden in Azure-omgevingen.

Aanbeveling
IMPLEMENTEER VIA DEFENDER VOOR SERVERS
Risico zonder
Critical
Risk Score
9/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Azure

Zonder deze beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot datalekken, nalevingsschendingen en reputatieschade voor de organisatie. Onbeveiligde systemen vormen een directe bedreiging voor de continuïteit van overheidsdiensten en de bescherming van burgergegevens.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Kwetsbaarheidsscanning is opgenomen in Microsoft Defender voor Servers en detecteert bekende kwetsbaarheden en ontbrekende beveiligingsupdates. Het systeem voert automatisch wekelijkse scans uit op alle virtuele machines en identificeert Common Vulnerabilities and Exposures (CVE's) die kunnen worden misbruikt door aanvallers.

Vereisten

Voor het inschakelen van kwetsbaarheidsscanning in Azure is Microsoft Defender voor Servers een absolute vereiste. Deze service vormt de basis voor geavanceerde beveiligingsmonitoring en bedreigingsdetectie in cloudomgevingen. Defender voor Servers biedt niet alleen kwetsbaarheidsscanning, maar ook endpoint detectie en respons (EDR), netwerkbeveiliging en integratie met Azure Security Center. De service is specifiek ontworpen om organisaties te helpen bij het beschermen van hun cloudinfrastructuur tegen moderne bedreigingen en kwetsbaarheden die continu worden ontdekt in software en systemen. Deze geïntegreerde aanpak zorgt ervoor dat beveiligingsinformatie vanuit verschillende bronnen wordt verzameld en geanalyseerd, waardoor een compleet beeld ontstaat van de beveiligingsstatus van de cloudomgeving. De combinatie van kwetsbaarheidsscanning met andere beveiligingsfuncties zoals EDR en netwerkbeveiliging maakt het mogelijk om niet alleen bekende kwetsbaarheden te identificeren, maar ook om verdachte activiteiten en potentiële aanvallen te detecteren voordat ze kunnen leiden tot daadwerkelijke schade.

Organisaties moeten ervoor zorgen dat Defender voor Servers is geactiveerd op het juiste prijsniveau. Voor volledige kwetsbaarheidsscanning functionaliteit is Plan 2 vereist, dat naast basisdetectie ook geavanceerde bedreigingsjacht, adaptieve applicatiecontroles en just-in-time VM-toegang biedt. Plan 1 biedt beperkte functionaliteit en wordt niet aanbevolen voor productieomgevingen met gevoelige gegevens. Het verschil tussen de plannen is significant: Plan 2 biedt geavanceerde machine learning-gebaseerde detectie, gedragsanalyse en geautomatiseerde responsmogelijkheden die essentieel zijn voor een effectieve beveiligingsstrategie in moderne cloudomgevingen. De investering in Plan 2 wordt gerechtvaardigd door de uitgebreide functionaliteit die het biedt, waaronder geavanceerde bedreigingsjacht die security analisten in staat stelt om proactief te zoeken naar indicatoren van compromittering, adaptieve applicatiecontroles die ongeautoriseerde applicaties blokkeren, en just-in-time VM-toegang die de aanvalsoppervlakte van virtuele machines minimaliseert door toegang alleen toe te staan wanneer dit daadwerkelijk nodig is. Deze geavanceerde functies zijn niet alleen handig, maar vormen vaak het verschil tussen het kunnen detecteren en voorkomen van geavanceerde aanvallen versus het alleen kunnen reageren nadat een aanval succesvol is geweest. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens en kritieke systemen is deze extra beveiligingslaag niet optioneel, maar essentieel voor het waarborgen van de continuïteit van dienstverlening en de bescherming van burgergegevens.

Naast de technische vereisten moeten organisaties ook organisatorische maatregelen treffen. Dit omvat het toewijzen van verantwoordelijkheden voor het beoordelen van scanresultaten, het definiëren van procedures voor het prioriteren van kwetsbaarheden op basis van risicoscore, en het opstellen van service level agreements voor het oplossen van kritieke beveiligingslekken. Voor Nederlandse overheidsorganisaties is het essentieel dat deze processen aansluiten bij de BIO-normen en de vereisten van de NIS2-richtlijn. De organisatorische kant van kwetsbaarheidsbeheer is minstens zo belangrijk als de technische implementatie, omdat zonder duidelijke processen en verantwoordelijkheden de gedetecteerde kwetsbaarheden mogelijk niet tijdig worden aangepakt. Het opstellen van duidelijke verantwoordelijkheden betekent dat er specifieke rollen moeten worden gedefinieerd, zoals een kwetsbaarheidsbeheerder die verantwoordelijk is voor het coördineren van het kwetsbaarheidsbeheerproces, security analisten die verantwoordelijk zijn voor het beoordelen van scanresultaten, en systeembeheerders die verantwoordelijk zijn voor het implementeren van patches en updates. Deze rollen moeten worden gedocumenteerd in functiebeschrijvingen en moeten worden ondersteund door adequate training en middelen. Procedures voor het prioriteren van kwetsbaarheden moeten gebaseerd zijn op objectieve criteria zoals de risicoscore, de exploitatiemogelijkheden, de impact op bedrijfskritieke systemen, en de beschikbaarheid van patches of workarounds. Service level agreements moeten realistisch zijn en rekening houden met de complexiteit van het oplossen van verschillende soorten kwetsbaarheden, terwijl ze tegelijkertijd ervoor zorgen dat kritieke kwetsbaarheden snel worden aangepakt.

De implementatie vereist minimale technische inspanning omdat kwetsbaarheidsscanning automatisch wordt geactiveerd wanneer Defender voor Servers is ingeschakeld. Echter, de configuratie en optimalisatie van scaninstellingen, het instellen van waarschuwingsregels en het integreren van resultaten in bestaande beveiligingsoperatiecentrum (SOC) workflows vereist wel aandacht. Organisaties moeten rekening houden met de impact op systeemprestaties tijdens scans en eventuele netwerkbandbreedte die wordt gebruikt voor het uploaden van scanresultaten naar Azure Security Center. Het is belangrijk om te begrijpen dat hoewel de initiële activering eenvoudig is, het optimaliseren van de configuratie voor de specifieke behoeften van de organisatie een doorlopend proces is dat regelmatige evaluatie en aanpassing vereist. De integratie met SOC-workflows is cruciaal omdat dit ervoor zorgt dat gedetecteerde kwetsbaarheden direct worden opgepikt door beveiligingsanalisten die kunnen beoordelen of er sprake is van een actieve bedreiging. Zonder deze integratie bestaat het risico dat belangrijke bevindingen over het hoofd worden gezien of te laat worden opgemerkt, wat kan leiden tot onnodige beveiligingsrisico's.

Voor organisaties die werken met gevoelige gegevens of kritieke systemen is het bovendien belangrijk om te overwegen hoe kwetsbaarheidsscanning past binnen de bredere beveiligingsarchitectuur. Dit betekent dat de scanresultaten moeten worden geïntegreerd met andere beveiligingsinstrumenten, dat er duidelijke escalatiepaden moeten zijn voor kritieke bevindingen, en dat de scanactiviteiten zelf moeten worden beveiligd om te voorkomen dat aanvallers inzicht krijgen in de beveiligingsconfiguratie van de organisatie. Voor Nederlandse overheidsorganisaties kan dit ook betekenen dat er specifieke eisen zijn met betrekking tot waar scanresultaten worden opgeslagen en wie toegang heeft tot deze informatie. De integratie met andere beveiligingsinstrumenten zorgt ervoor dat kwetsbaarheidsscanning niet wordt uitgevoerd in isolatie, maar deel uitmaakt van een gecoördineerde beveiligingsaanpak. Dit kan betekenen dat scanresultaten worden gecombineerd met informatie uit andere bronnen, zoals netwerkmonitoring, loganalyse, en bedreigingsinformatie, om een completer beeld te krijgen van de beveiligingsrisico's. Duidelijke escalatiepaden zorgen ervoor dat kritieke bevindingen snel worden gecommuniceerd naar de juiste personen en dat er onmiddellijk actie wordt ondernomen wanneer dit nodig is. Deze escalatiepaden moeten worden gedocumenteerd en regelmatig worden getest om ervoor te zorgen dat ze effectief zijn. De beveiliging van scanactiviteiten zelf is belangrijk omdat aanvallers kunnen proberen om informatie te verzamelen over de beveiligingsconfiguratie van een organisatie door te monitoren welke scans worden uitgevoerd en welke kwetsbaarheden worden gedetecteerd. Organisaties moeten daarom ervoor zorgen dat scanactiviteiten worden uitgevoerd op een veilige manier, dat scanresultaten worden opgeslagen met de juiste encryptie en toegangscontroles, en dat alleen geautoriseerde personen toegang hebben tot deze informatie.

Monitoring en verificatie

Het monitoren van kwetsbaarheidsscanning vereist een gestructureerde aanpak waarbij regelmatig wordt gecontroleerd of de service actief is en correct functioneert. Organisaties moeten een monitoringstrategie implementeren die zowel technische verificatie als procescontrole omvat. Dit begint met het valideren dat Microsoft Defender voor Servers is ingeschakeld op het juiste prijsniveau (Plan 2) voor alle relevante abonnementen en resourcegroepen. Deze validatie moet niet alleen eenmalig plaatsvinden bij de implementatie, maar moet deel uitmaken van een regelmatige controlecyclus om ervoor te zorgen dat configuratiewijzigingen of abonnementswijzigingen de beveiligingsconfiguratie niet onbedoeld hebben aangetast.

Gebruik PowerShell-script vulnerability-scanning-enabled.ps1 (functie Invoke-Monitoring) – Automatische verificatie van kwetsbaarheidsscanning configuratie.

De monitoring moet zich richten op verschillende aspecten van de kwetsbaarheidsscanning. Ten eerste moet worden gecontroleerd of scans daadwerkelijk worden uitgevoerd volgens het geplande schema. Standaard voert Defender voor Servers wekelijkse scans uit, maar organisaties kunnen dit aanpassen aan hun specifieke behoeften. Het is belangrijk om te begrijpen dat het aanpassen van de scanfrequentie een afweging is tussen beveiligingsdekking en systeembelasting. Voor kritieke systemen kan een hogere frequentie wenselijk zijn, terwijl voor minder kritieke omgevingen wekelijkse scans voldoende kunnen zijn. Ten tweede moeten de scanresultaten regelmatig worden geëvalueerd om te bepalen of er nieuwe kwetsbaarheden zijn gedetecteerd en of bestaande kwetsbaarheden zijn opgelost. Deze evaluatie moet niet alleen kijken naar het aantal kwetsbaarheden, maar ook naar de ernst, de exploitatiemogelijkheden en de impact op de bedrijfsvoering.

Voor Nederlandse overheidsorganisaties is het belangrijk dat monitoringresultaten worden gedocumenteerd voor auditdoeleinden. Dit omvat het bijhouden van wanneer scans zijn uitgevoerd, welke kwetsbaarheden zijn geïdentificeerd, welke risicoscores zijn toegekend en welke acties zijn ondernomen om kwetsbaarheden te verhelpen. Deze documentatie is essentieel voor het aantonen van naleving van BIO-norm 12.06 en ISO 27001 controles A.8.8 en A.12.6.1. De documentatie moet voldoende gedetailleerd zijn om auditors te kunnen laten zien dat de organisatie proactief omgaat met beveiligingsrisico's en dat er een gestructureerd proces is voor het identificeren, beoordelen en oplossen van kwetsbaarheden. Dit betekent dat niet alleen de technische bevindingen moeten worden vastgelegd, maar ook de besluitvorming rondom prioritering en de redenen waarom bepaalde kwetsbaarheden wel of niet direct zijn aangepakt.

Geavanceerde monitoring omvat ook het instellen van waarschuwingen voor kritieke kwetsbaarheden met een hoge risicoscore. Organisaties moeten waarschuwingsregels configureren die automatisch meldingen genereren wanneer nieuwe kwetsbaarheden worden gedetecteerd die mogelijk kunnen worden misbruikt door aanvallers. Deze waarschuwingen moeten worden geïntegreerd in bestaande beveiligingsinformatie- en gebeurtenisbeheersystemen (SIEM) en incidentafhandelingsworkflows om een snelle reactie mogelijk te maken. Het is belangrijk dat deze waarschuwingen niet alleen technisch correct zijn, maar ook contextueel relevant. Dit betekent dat waarschuwingen moeten worden gefilterd en geprioriteerd op basis van de werkelijke bedreiging voor de organisatie, waarbij rekening wordt gehouden met factoren zoals of de kwetsbaarheid daadwerkelijk kan worden geëxploiteerd in de specifieke omgeving, of er al mitigaties zijn geïmplementeerd, en wat de potentiële impact is op bedrijfskritieke systemen. De integratie met SIEM-systemen maakt het mogelijk om kwetsbaarheidsinformatie te combineren met andere beveiligingsgebeurtenissen, waardoor een completer beeld ontstaat van de beveiligingssituatie. Dit helpt beveiligingsanalisten om te bepalen of een gedetecteerde kwetsbaarheid daadwerkelijk wordt misbruikt of dat er sprake is van een actieve aanval. Zonder deze contextuele informatie bestaat het risico op waarschuwingsmoeheid, waarbij analisten overweldigd raken door te veel meldingen en belangrijke signalen over het hoofd zien.

Het monitoren van de effectiviteit van kwetsbaarheidsscanning vereist ook het bijhouden van metrische gegevens zoals het aantal gedetecteerde kwetsbaarheden per maand, de gemiddelde tijd tot oplossing van kritieke kwetsbaarheden, en de trend in het totale aantal openstaande kwetsbaarheden over tijd. Deze metriek helpt organisaties om te bepalen of hun kwetsbaarheidsbeheerprogramma effectief is en waar verbeteringen mogelijk zijn. Naast deze kwantitatieve metriek is het ook belangrijk om kwalitatieve aspecten te monitoren, zoals of de gedetecteerde kwetsbaarheden daadwerkelijk relevant zijn voor de omgeving, of de risicoscores accuraat zijn, en of de remediatieacties effectief zijn geweest. Door zowel kwantitatieve als kwalitatieve monitoring te combineren kunnen organisaties een compleet beeld krijgen van de effectiviteit van hun kwetsbaarheidsbeheerprogramma en kunnen ze gerichte verbeteringen doorvoeren waar nodig.

Een belangrijk aspect van monitoring dat vaak wordt over het hoofd gezien is het monitoren van de scanactiviteit zelf. Dit betekent dat organisaties moeten controleren of scans daadwerkelijk worden uitgevoerd op alle beoogde systemen, of er systemen zijn die om welke reden dan ook niet worden gescand, en of de scans volledig en accuraat zijn. Het kan bijvoorbeeld voorkomen dat bepaalde virtuele machines niet worden gescand vanwege configuratiefouten, ontbrekende agenten, of netwerkproblemen. Door deze aspecten te monitoren kunnen organisaties ervoor zorgen dat hun kwetsbaarheidsbeheerprogramma volledige dekking biedt en dat er geen blinde vlekken zijn in de beveiligingsmonitoring.

Compliance en Auditing

Kwetsbaarheidsscanning is een fundamentele vereiste voor naleving van verschillende beveiligingsstandaarden en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van automatische kwetsbaarheidsscanning draagt direct bij aan het voldoen aan meerdere compliance-eisen en helpt organisaties om hun beveiligingspostuur te verbeteren en auditrisico's te verminderen. Het is belangrijk om te begrijpen dat compliance niet alleen gaat om het implementeren van technische controles, maar ook om het kunnen aantonen dat deze controles effectief zijn en dat er processen zijn om de resultaten te beoordelen en te adresseren. Voor Nederlandse overheidsorganisaties betekent dit dat kwetsbaarheidsscanning niet alleen moet worden geïmplementeerd, maar ook moet worden geïntegreerd in de bredere governance- en risicomanagementprocessen van de organisatie.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) de primaire beveiligingsstandaard. BIO-norm 12.06 specificeert dat organisaties kwetsbaarheidsbeheer moeten implementeren, inclusief het regelmatig scannen van systemen op bekende beveiligingslekken. Kwetsbaarheidsscanning via Microsoft Defender voor Servers voldoet aan deze eis door automatisch wekelijkse scans uit te voeren en alle gedetecteerde kwetsbaarheden te rapporteren met gedetailleerde informatie over de risicoscore en mogelijke impact. Het is echter belangrijk om te benadrukken dat het alleen uitvoeren van scans niet voldoende is om te voldoen aan BIO-norm 12.06. Organisaties moeten ook kunnen aantonen dat ze de scanresultaten regelmatig beoordelen, dat ze kwetsbaarheden prioriteren op basis van risico, en dat ze een proces hebben voor het tijdig oplossen van geïdentificeerde beveiligingslekken. Dit betekent dat de technische implementatie van kwetsbaarheidsscanning moet worden ondersteund door duidelijke processen en procedures die zijn gedocumenteerd en die regelmatig worden geëvalueerd en verbeterd.

De ISO 27001:2022 standaard bevat meerdere controles die relevant zijn voor kwetsbaarheidsscanning. Controle A.8.8 (Technische kwetsbaarheden) vereist dat organisaties informatie verkrijgen over technische kwetsbaarheden van informatie systemen, tijdig beoordelen welke acties nodig zijn en passende maatregelen nemen. Controle A.12.6.1 (Beheer van technische kwetsbaarheden) specificeert dat organisaties tijdig informatie moeten verkrijgen over technische kwetsbaarheden en deze moeten evalueren en actie moeten ondernemen. Automatische kwetsbaarheidsscanning faciliteert beide controles door continue monitoring en tijdige detectie te bieden. Voor organisaties die ISO 27001 gecertificeerd willen worden of blijven, is het belangrijk om te kunnen aantonen dat het kwetsbaarheidsbeheerproces is gedocumenteerd, dat verantwoordelijkheden zijn toegewezen, en dat er regelmatige evaluaties plaatsvinden van de effectiviteit van het proces. Dit betekent dat naast de technische implementatie ook aandacht moet worden besteed aan het opstellen van beleid, procedures en werk instructies die beschrijven hoe kwetsbaarheden worden geïdentificeerd, beoordeeld en opgelost.

De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist dat organisaties passende technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Kwetsbaarheidsscanning vormt een essentieel onderdeel van deze maatregelen en helpt organisaties om proactief bedreigingen te identificeren voordat ze kunnen worden misbruikt door aanvallers. De NIS2-richtlijn legt ook nadruk op het belang van incidentafhandeling en het vermogen om snel te reageren op beveiligingsincidenten. Kwetsbaarheidsscanning draagt hieraan bij door organisaties in staat te stellen om kwetsbaarheden te identificeren voordat ze worden geëxploiteerd, waardoor de kans op succesvolle aanvallen wordt verkleind. Voor organisaties die onder de NIS2-richtlijn vallen is het belangrijk om te kunnen aantonen dat ze een proactieve aanpak hebben voor het beheren van beveiligingsrisico's, en kwetsbaarheidsscanning is een belangrijk onderdeel van deze aanpak.

Voor auditdoeleinden moeten organisaties kunnen aantonen dat kwetsbaarheidsscanning actief is en dat scanresultaten regelmatig worden beoordeeld en geadresseerd. Dit vereist het bijhouden van auditlogboeken die documenteren wanneer scans zijn uitgevoerd, welke kwetsbaarheden zijn gedetecteerd, welke risicobeoordelingen zijn uitgevoerd en welke remediatieacties zijn ondernomen. Microsoft Defender voor Servers biedt uitgebreide rapportagefunctionaliteit die kan worden gebruikt om deze auditbewijzen te genereren en te bewaren volgens de vereiste bewaartermijnen. Het is belangrijk dat organisaties deze rapportagefunctionaliteit gebruiken om regelmatig rapporten te genereren die kunnen worden gebruikt voor interne audits, externe certificeringsaudits, en compliance-verificaties. Deze rapporten moeten niet alleen de technische bevindingen bevatten, maar ook informatie over de processen die zijn gevolgd, de besluitvorming rondom prioritering, en de effectiviteit van remediatieacties. Door deze informatie te documenteren kunnen organisaties aantonen dat ze niet alleen technische controles hebben geïmplementeerd, maar ook dat ze een volwassen proces hebben voor het beheren van kwetsbaarheden.

Organisaties moeten ook rekening houden met de Algemene Verordening Gegevensbescherming (AVG) bij het implementeren van kwetsbaarheidsscanning. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het regelmatig scannen op kwetsbaarheden en het tijdig oplossen van beveiligingslekken is een essentieel onderdeel van deze verplichting, vooral voor systemen die persoonsgegevens verwerken. Het is belangrijk om te benadrukken dat kwetsbaarheidsscanning zelf ook moet worden uitgevoerd op een manier die in overeenstemming is met de AVG. Dit betekent dat organisaties moeten overwegen welke gegevens worden verzameld tijdens scans, hoe deze gegevens worden opgeslagen, wie toegang heeft tot deze gegevens, en hoe lang deze gegevens worden bewaard. Voor Nederlandse overheidsorganisaties kan dit ook betekenen dat er specifieke eisen zijn met betrekking tot waar scanresultaten worden opgeslagen, bijvoorbeeld dat deze binnen de Europese Unie moeten worden opgeslagen om te voldoen aan gegevensbeschermingsvereisten.

Naast deze primaire compliance-vereisten kunnen er ook sector-specifieke eisen zijn die relevant zijn voor kwetsbaarheidsscanning. Voor organisaties in de gezondheidszorg kunnen bijvoorbeeld aanvullende eisen gelden vanuit de NEN 7510 norm, terwijl organisaties in de financiële sector mogelijk moeten voldoen aan eisen vanuit de DNB of AFM. Het is belangrijk dat organisaties hun specifieke compliance-vereisten identificeren en ervoor zorgen dat hun kwetsbaarheidsbeheerprogramma hieraan voldoet. Dit kan betekenen dat er aanvullende documentatie nodig is, dat er specifieke rapportagevereisten zijn, of dat er bepaalde processen moeten worden gevolgd die specifiek zijn voor de sector waarin de organisatie actief is.

Remediatie en herstel

Wanneer kwetsbaarheidsscanning niet is ingeschakeld of niet correct functioneert, is onmiddellijke actie vereist om de beveiligingspostuur van de organisatie te herstellen. Het ontbreken van kwetsbaarheidsscanning betekent dat organisaties blind zijn voor bekende beveiligingslekken die kunnen worden misbruikt door aanvallers om ongeautoriseerde toegang te verkrijgen, gegevens te stelen of systemen te compromitteren. Deze situatie is bijzonder gevaarlijk omdat aanvallers vaak gebruik maken van bekende kwetsbaarheden die al patches hebben, maar die niet zijn toegepast door organisaties die geen zicht hebben op hun beveiligingsstatus. Voor Nederlandse overheidsorganisaties kan het ontbreken van kwetsbaarheidsscanning ook leiden tot niet-naleving van belangrijke beveiligingsstandaarden zoals BIO-norm 12.06, wat kan resulteren in auditbevindingen, mogelijke boetes, en reputatieschade.

Gebruik PowerShell-script vulnerability-scanning-enabled.ps1 (functie Invoke-Remediation) – Automatisch inschakelen van kwetsbaarheidsscanning.

De remediatie begint met het verifiëren dat Microsoft Defender voor Servers is ingeschakeld op alle relevante Azure-abonnementen. Als Defender voor Servers nog niet is geactiveerd, moet dit eerst worden geconfigureerd voordat kwetsbaarheidsscanning kan worden ingeschakeld. De implementatie van Defender voor Servers vereist het selecteren van het juiste prijsniveau (aanbevolen: Plan 2) en het configureren van de service voor alle virtuele machines in de omgeving. Het is belangrijk om te benadrukken dat de remediatie niet alleen moet worden uitgevoerd op productieomgevingen, maar ook op ontwikkel- en testomgevingen, omdat kwetsbaarheden in deze omgevingen ook kunnen worden misbruikt om toegang te krijgen tot productiesystemen. Bovendien moeten organisaties ervoor zorgen dat alle nieuwe abonnementen en resourcegroepen automatisch worden geconfigureerd met Defender voor Servers om te voorkomen dat er in de toekomst weer systemen zonder beveiligingsmonitoring worden toegevoegd.

Zodra Defender voor Servers is geactiveerd, wordt kwetsbaarheidsscanning automatisch ingeschakeld als onderdeel van de service. Er is geen aanvullende configuratie vereist, maar organisaties moeten wel controleren of scans daadwerkelijk worden uitgevoerd. De eerste scan wordt meestal binnen 24 uur na activatie gestart, en vervolgens worden wekelijkse scans uitgevoerd volgens het standaardschema. Het is belangrijk om te begrijpen dat de eerste scan mogelijk niet alle kwetsbaarheden detecteert, vooral als systemen al langere tijd in gebruik zijn zonder kwetsbaarheidsscanning. Organisaties moeten daarom niet alleen vertrouwen op de eerste scanresultaten, maar moeten meerdere scans afwachten om een compleet beeld te krijgen van de beveiligingsstatus van hun omgeving. Bovendien moeten organisaties rekening houden met het feit dat nieuwe kwetsbaarheden continu worden ontdekt, en dat het daarom belangrijk is om de scanresultaten regelmatig te blijven monitoren en te beoordelen.

Na het inschakelen van kwetsbaarheidsscanning moeten organisaties een proces opzetten voor het beoordelen en adresseren van gedetecteerde kwetsbaarheden. Dit omvat het prioriteren van kwetsbaarheden op basis van risicoscores, het bepalen van de impact op bedrijfskritieke systemen, en het ontwikkelen van remediatieplannen voor hoog-risico kwetsbaarheden. Organisaties moeten ook service level agreements (SLA's) of dienstniveauovereenkomsten definiëren voor het oplossen van kwetsbaarheden, waarbij kritieke kwetsbaarheden bijvoorbeeld binnen 48 uur moeten worden verholpen. Het is belangrijk dat deze SLA's realistisch zijn en rekening houden met de complexiteit van het oplossen van bepaalde kwetsbaarheden. Sommige kwetsbaarheden kunnen bijvoorbeeld worden opgelost door het installeren van een patch, terwijl andere kwetsbaarheden mogelijk vereisen dat applicaties worden aangepast of dat systemen opnieuw moeten worden geconfigureerd. Organisaties moeten daarom flexibiliteit inbouwen in hun remediatieprocessen, terwijl ze tegelijkertijd ervoor zorgen dat kritieke kwetsbaarheden snel worden aangepakt. De definitie van duidelijke SLA's helpt niet alleen om prioriteiten te stellen, maar ook om verantwoordelijkheden te verdelen en om te kunnen meten of het kwetsbaarheidsbeheerprogramma effectief is. Voor Nederlandse overheidsorganisaties is het belangrijk dat deze SLA's aansluiten bij de vereisten van de BIO-normen en dat ze worden gedocumenteerd voor auditdoeleinden.

Voor organisaties die al kwetsbaarheidsscanning hebben ingeschakeld maar problemen ondervinden met de functionaliteit, moet worden onderzocht wat de oorzaak is. Mogelijke problemen kunnen zijn: onjuiste configuratie van Defender voor Servers, ontbrekende machtigingen voor de scanfunctionaliteit, of conflicten met andere beveiligingsservices. In dergelijke gevallen moet de configuratie worden gecontroleerd en eventuele problemen worden opgelost om ervoor te zorgen dat scans correct worden uitgevoerd. Het is belangrijk om systematisch te werk te gaan bij het oplossen van dergelijke problemen, door eerst te verifiëren wat de exacte symptomen zijn, dan te onderzoeken wat de mogelijke oorzaken zijn, en vervolgens gerichte tests uit te voeren om te bevestigen dat het probleem is opgelost. Organisaties moeten ook overwegen om een testomgeving in te richten waar ze kunnen experimenteren met verschillende configuraties zonder de productieomgeving te beïnvloeden.

Het is belangrijk om te benadrukken dat het inschakelen van kwetsbaarheidsscanning slechts de eerste stap is in een effectief kwetsbaarheidsbeheerprogramma. Organisaties moeten ook processen implementeren voor het regelmatig beoordelen van scanresultaten, het prioriteren van kwetsbaarheden, het implementeren van patches en updates, en het monitoren van de effectiviteit van remediatieacties. Alleen door deze volledige cyclus te doorlopen kunnen organisaties hun beveiligingspostuur daadwerkelijk verbeteren en risico's verminderen. Dit betekent dat organisaties moeten investeren in zowel technische als organisatorische capaciteiten voor kwetsbaarheidsbeheer. Technisch gezien betekent dit dat er tools en processen moeten zijn voor het automatisch of semi-automatisch toepassen van patches, voor het testen van patches voordat ze worden toegepast in productie, en voor het monitoren van de effectiviteit van patches. Organisatorisch gezien betekent dit dat er duidelijke verantwoordelijkheden moeten zijn, dat er training moet zijn voor medewerkers die betrokken zijn bij kwetsbaarheidsbeheer, en dat er regelmatige evaluaties moeten plaatsvinden van de effectiviteit van het kwetsbaarheidsbeheerprogramma.

Voor organisaties die voor het eerst kwetsbaarheidsscanning implementeren, kan het overweldigend zijn om te zien hoeveel kwetsbaarheden er worden gedetecteerd, vooral als systemen al langere tijd in gebruik zijn zonder regelmatige scanning. Het is belangrijk om niet in paniek te raken, maar om een gestructureerde aanpak te volgen waarbij eerst de meest kritieke kwetsbaarheden worden aangepakt, en vervolgens systematisch wordt gewerkt aan het oplossen van de overige kwetsbaarheden. Organisaties moeten ook overwegen om een baseline te creëren van de initiële beveiligingsstatus, zodat ze kunnen meten of hun remediatie-inspanningen effectief zijn en of de beveiligingspostuur over tijd verbetert. Dit kan helpen om prioriteiten te stellen en om te demonstreren aan management en auditors dat er vooruitgang wordt geboekt in het verbeteren van de beveiligingsstatus van de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Vulnerability Scanning Enabled .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.15 Controleert of vulnerability scanning is ingeschakeld (via Defender for Servers). .NOTES Filename: vulnerability-scanning-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/vulnerability-scanning-enabled.json CIS Control: 2.1.15 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Vulnerability Scanning Enabled" function Connect-RequiredServices { function Invoke-Revert { Write-Host "`n⚠️ Vulnerability scanning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { throw } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "vulnerability-scanning-enabled" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n⚠️ Vulnerability scanning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "✓ '$($sub.Name)': Vulnerability scanning enabled (via Defender for Servers)" } else { $result.NonCompliantCount++ $result.Details += "✗ '$($sub.Name)': Vulnerability scanning DISABLED" $result.Recommendations += "Enable Defender for Servers voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Defender for Servers bevat integrated vulnerability scanning" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan Write-Host "⚠️ Vulnerability scanning wordt enabled via Defender for Servers" -ForegroundColor Yellow function Invoke-Revert { Write-Host "`n⚠️ Vulnerability scanning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { $fixed = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" if ($pricing.PricingTier -ne 'Standard') { Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard" -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled for: $($sub.Name)" -ForegroundColor Green $fixed++ } } Write-Host "`n[OK] Configured: $fixed subscription(s)" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Vulnerability scanning uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou Defender for Servers enablen voor $($result.NonCompliantCount) subscription(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder kwetsbaarheidsscanning blijven beveiligingslekken onopgemerkt en kunnen aanvallers deze misbruiken om ongeautoriseerde toegang te verkrijgen tot systemen en gegevens. Het ontbreken van zichtbaarheid op bekende kwetsbaarheden (CVE's) betekent dat organisaties niet kunnen reageren op bedreigingen voordat ze worden geëxploiteerd. Dit leidt tot verhoogd risico op datalekken, systeemcompromittering en nalevingsschendingen. Voor Nederlandse overheidsorganisaties betekent dit niet-naleving van BIO-norm 12.06, ISO 27001 controles A.8.8 en A.12.6.1, en mogelijk ook NIS2-vereisten. Het risico is bijzonder hoog voor virtuele machines die direct toegankelijk zijn via internet of die gevoelige gegevens verwerken.

Management Samenvatting

Kwetsbaarheidsscanning via Microsoft Defender voor Servers biedt automatische wekelijkse scans die Common Vulnerabilities and Exposures (CVE's) detecteren en rapporteren met risicoscores. De functionaliteit is opgenomen in Defender voor Servers Plan 2 en wordt automatisch geactiveerd wanneer de service is ingeschakeld. Er zijn geen extra kosten verbonden aan kwetsbaarheidsscanning wanneer Defender voor Servers Plan 2 al is geactiveerd. De implementatie is volledig automatisch en vereist geen handmatige configuratie. Deze maatregel is verplicht voor alle productieomgevingen die gevoelige gegevens verwerken of kritieke diensten leveren.