De cyberbeveiligingsindustrie wordt geconfronteerd met een systemische perceptiecrisis. Organisaties vertrouwen al jaren op het Common Vulnerability Scoring System (CVSS) om prioriteit te geven aan wat moet worden opgelost. Recente spraakmakende inbreuken (met name ‘Operatie Lunar Peek’) hebben echter een fatale fout blootgelegd: CVSS beoordeelt kwetsbaarheden afzonderlijk, terwijl aanvallers deze in ketens misbruiken.
Wanneer beveiligingsteams elke kwetsbaarheid als een op zichzelf staand datapunt behandelen, creëren ze blinde vlekken die nationale actoren steeds beter kunnen uitbuiten.
De Palo Alto casestudy: een falende logica
Tijdens Operatie Lunar Peek in november 2024 kregen aanvallers root-toegang tot meer dan 13.000 beheerinterfaces van Palo Alto Networks. Deze enorme inbreuk werd mogelijk gemaakt door twee specifieke kwetsbaarheden te ‘ketenen’:
- CVE-2024-0012: Een authenticatie-bypass (hoog gescoord met 9,3).
- CVE-2024-9474: Een fout in de escalatie van bevoegdheden (lagere score: 6,9).
Omdat de tweede fout relatief laag werd gescoord, viel deze onder veel patchdrempels voor ondernemingen. Omdat de escalatiefout technisch gezien ‘beheerderstoegang’ vereiste om te kunnen werken, kreeg deze bovendien een lage prioriteit. De fatale fout was het niet beseffen dat de eerste kwetsbaarheid precies de beheerderstoegang bood die de tweede nodig had.
Zoals Adam Meyers, SVP van Counter Adversary Operations bij CrowdStrike, opmerkt, lijdt triagelogica vaak aan een vorm van ‘geheugenverlies’, waarbij verbonden bedreigingen worden behandeld als losstaande gebeurtenissen.
5 cruciale blinde vlekken in modern kwetsbaarheidsbeheer
De kloof tussen de theoretische ernst (CVSS) en het reële risico wordt groter als gevolg van vijf evoluerende dreigingsklassen:
1. Kwetsbaarheidsketen
Zoals we bij Palo Alto zien, vallen aanvallers niet één bug tegelijk aan. Ze combineren een bug met een “gemiddeld” risico met een bug met een “hoog” risico om een ”kritieke” catastrofe te creëren. Als uw triageproces alleen naar individuele scores kijkt, mist u consequent het samengestelde effect.
2. De bewapeningsrace
Het venster voor defensie wordt kleiner. Uit gegevens uit het CrowdStrike 2026 Global Threat Report blijkt dat tegenstanders van de Chinese nexus nieuw gepatchte kwetsbaarheden binnen twee tot zes dagen kunnen bewapenen. Met een gemiddelde “breakout-tijd” van slechts 29 minuten voor aanvallers is het traditionele “Patch Tuesday”-model verouderd.
3. Het risico van voorraadvorming
Natiestaatactoren houden vaak jarenlang vast aan bekende kwetsbaarheden (CVE’s), in afwachting van het juiste moment om toe te slaan. In het geval van de ‘Salt Typhoon’-aanvallen werden Cisco-apparaten gecompromitteerd door kwetsbaarheden die al meer dan een jaar gepatcht waren. CVSS houdt geen rekening met blootstelling aan veroudering, wat betekent dat een kwetsbaarheid die al 14 maanden niet is gepatcht, met dezelfde urgentie wordt behandeld als een kwetsbaarheid die gisteren werd ontdekt.
4. De identiteitskloof
Niet alle kwetsbaarheden zijn op code gebaseerd. Een social engineering-oproep naar een helpdesk kan miljoenen dollars aan softwarebeveiliging omzeilen zonder dat er ook maar één CVE wordt uitgegeven. Naarmate Agentic AI -systemen beginnen te werken met hun eigen API-tokens en machtigingen, creëren ze bovendien een nieuw ‘identiteitsoppervlak’ dat traditionele softwarescanners eenvoudigweg niet kunnen zien.
5. AI-gestuurde ontdekkingsexplosie
Het enorme aantal kwetsbaarheden bereikt een breekpunt. Nu de CVE-onthullingen jaarlijks met meer dan 20% toenemen en AI-modellen zoals Claude van Anthropic in staat zijn om op grote schaal en tegen lage kosten bugs te vinden, zet de industrie zich schrap voor een ‘kwetsbaarheidstsunami’. Als AI het aantal ontdekkingen tien keer zo groot maakt, zal de huidige infrastructuur voor het beheer van patches instorten.
Strategisch actieplan voor veiligheidsleiders
Om van reactieve patching naar proactieve verdediging over te gaan, moeten organisaties hun bestuursmodellen ontwikkelen:
- Audit voor ketens: Kijk niet alleen naar individuele CVE’s. Voer ‘ketenafhankelijkheidsaudits’ uit op alle bekende uitgebuite kwetsbaarheden (KEV). Als er op hetzelfde systeem sprake is van een authenticatieomzeiling en een escalatiefout van bevoegdheden, moeten deze als één enkele, kritische prioriteit worden behandeld.
- Versnel SLA’s: Voor internetgerichte systemen, ga naar een 72-uurs patchvenster voor KEV’s. Wekelijkse cycli zijn niet langer voldoende om moderne uitbraaksnelheden tegen te gaan.
- Volg “Kwetsbaarheidsleeftijd”: Voorzie het bord van rapporten die niet alleen laten zien wat er niet is gepatcht, maar hoe lang het niet is gepatcht. Blootstelling aan de vergrijzing is een primair doelwit voor geavanceerde actoren.
- Verenig identiteit en softwarebeheer: Integreer helpdeskverificatieprotocollen en AI-referentiebeheer in uw standaard pijplijn voor rapportage van kwetsbaarheden.
Conclusie: Alleen vertrouwen op CVSS-scores schept een vals gevoel van veiligheid. Echte veerkracht vereist een verschuiving van het ‘scoren van bugs’ naar het ‘analyseren van aanvalspaden’, waarbij rekening wordt gehouden met de snelheid, schaal en onderlinge verbondenheid van moderne exploitatie.
