Veel organi­sa­ties proberen nog steeds álle kwets­baar­heden met een hoog risico­pro­fiel te patchen. Dat is niet alleen onhaal­baar, maar ook ineffi­ciënt, zo blijkt uit het onder­zoeks­rap­port Security Navigator 2025 van Orange Cyber­de­fense. Volgens de onder­zoe­kers is het tijd voor een funda­men­teel andere aanpak: Conti­nuous Threat Exposure Manage­ment (CTEM). Deze door Gartner geïden­ti­fi­ceerde trend helpt securi­ty­teams zich te richten op de kwets­baar­heden die de grootste dreiging vormen, in plaats van alles te willen patchen.

Volgens Gartner zullen organi­sa­ties die hun security-inves­te­ringen priori­teren op basis van een CTEM-programma tegen 2026 twee derde minder datalekken ervaren. Orange Cyber­de­fense heeft een volle­dige dienst ontwik­keld die organi­sa­ties helpt bij de imple­men­tatie van deze gestruc­tu­reerde aanpak.

Van de 32.585 geana­ly­seerde kwets­baar­heden in het afgelopen jaar wordt slechts 6% echt misbruikt. Toch blijven securi­ty­teams overbe­last met het dichten van bevei­li­gings­lekken die mogelijk nooit een bedrei­ging vormen. Een struc­tu­rele CTEM-aanpak is dan ook hard nodig.

Te veel kwetsbaarheden, te weinig tijd

Securi­ty­teams krijgen niet alleen meer kwets­baar­heden te verwerken, maar cyber­cri­mi­nelen slagen er ook steeds sneller in om kwets­baar­heden uit te buiten. Uit Security Navigator 2025 blijkt dat kritieke kwets­baar­heden soms al binnen een maand na ontdek­king actief worden misbruikt. Daarnaast tonen data aan dat een aanvaller met een bescheiden succes­per­cen­tage al binnen tientallen pogingen op een netwerk of systeem kan binnendringen.

Onder­tussen groeit het aantal nieuw ontdekte Common Vulne­ra­bi­li­ties and Exposures (CVE’s) zo snel dat zelfs de National Vulne­ra­bi­lity Database (NVD) moeite heeft om bij te blijven: in 2024 waren 18.167 kwets­baar­heden nog niet geana­ly­seerd. Dit betekent dat securi­ty­teams niet kunnen vertrouwen op scores voor standaardrisico’s zoals het Common Vulne­ra­bi­lity Scoring System (CVSS), maar aanvul­lende dreigings­in­for­matie nodig hebben voor een goede prioritering.

De vijf pijlers van CTEM

Orange Cyber­de­fense biedt een gestruc­tu­reerde CTEM-aanpak die bestaat uit vijf essen­tiële fasen:

1. Scoping – Het defini­ëren van het aanvals­op­per­vlak dat in deze cyclus wordt beschouwd. 
2. Disco­very – Het identi­fi­ceren van alle assets en hun bevei­li­gings­status binnen de scope van de cyclus. 
3. Priori­ti­za­tion – Het aanwijzen van hoogwaar­dige assets en de meest kritieke risico’s. 
4. Valida­tion – Het beves­tigen van de exploi­teer­baar­heid en het beoor­delen van de poten­tiële impact. 
5. Mobili­za­tion – Het opera­ti­o­na­li­seren volgens de bevindingen. 

De voordelen van CTEM

Met CTEM krijgen organi­sa­ties verbe­terd inzicht in hun aanvals­op­per­vlak en de bijbe­ho­rende risico’s, waardoor ze beter inzicht krijgen in aanvals­paden naar bedrijfs­kri­ti­sche assets. Hiermee kunnen ze:

• Dreigingen priori­teren op basis van reële exploits 
• Begrijpen waar ze zich juist niet op hoeven te richten 
• Focussen op choke points in plaats van doodlo­pende wegen 
• De reste­rende gemak­ke­lijk exploi­teer­bare aanvals­paden sluiten 

Een nieuwe strategie

Orange Cyber­de­fense pleit voor een aanpak waarbij snelheid en impact centraal staan. Effec­tief vulne­ra­bi­li­ty­ma­na­ge­ment steunt daarbij op twee pijlers:

1. Prioritering op basis van dreigingsinformatie

Niet elke kwets­baar­heid vormt een even groot risico. Daarom is het cruciaal om priori­teiten te stellen op basis van twee factoren. Securi­ty­teams moeten zich daarbij de volgende vragen stellen:

• Hoe waarschijn­lijk is het dat een kwets­baar­heid wordt misbruikt? 
• Wordt de kwets­baar­heid al actief geëxploi­teerd door hackers? 
• Zijn verge­lijk­bare organi­sa­ties recen­te­lijk getroffen? 
• Wordt de kwets­baar­heid gebruikt in bekende ransomwarecampagnes? 

• Wat is de poten­tiële impact als de kwets­baar­heid wordt uitgebuit? 
• Staat het kwets­bare systeem bloot aan het internet of is het geïsoleerd? 
• Bevat het systeem gevoe­lige data of speelt het een cruciale rol in bedrijfsprocessen? 
• Kan een aanval leiden tot serieuze versto­ringen, zoals dataver­lies of productiestilstand? 

Door gebruik te maken van realtime dreigings­in­for­matie, kunnen securi­ty­teams beter inschatten welke kwets­baar­heden op korte termijn een daadwer­ke­lijk gevaar vormen. Bij het analy­seren van die dreigings­in­for­matie kan AI van grote waarde zijn. AI kan dreigings­data razend­snel analy­seren en patronen herkennen die voor het mense­lijk oog moeilijk zicht­baar zijn. Zo kan het automa­tisch voorspellen welke kwets­baar­heden waarschijn­lijk zullen worden geëxploi­teerd, gebaseerd op histo­ri­sche aanvals­pa­tronen, exploi­t­ont­wik­ke­lingen en darknet­dis­cus­sies. Securi­ty­teams kunnen daardoor sneller en nauwkeu­riger priori­teiten stellen en zo hun reactie­tijd aanzien­lijk verkorten.

2. Focus op ‘threat mitigation’ en ‘risk reduction’

Het ‘oude’ vulne­ra­bi­li­tiy­ma­na­ge­ment focust zich op het patchen van kwets­baar­heden nadat deze bekend zijn geworden. In plaats van deze puur reactieve aanpak, is een tweespo­ren­stra­tegie nodig:

• Threat mitiga­tion – Organi­sa­ties moeten de systemen die het grootste risico lopen direct bevei­ligen. Dit kan door netwerk­seg­men­tatie, streng toegangs­be­heer of het toepassen van tijde­lijke worka­rounds in plaats van uitslui­tend te patchen. 

Deze aanpak is essen­tieel omdat patching alleen vaak te traag of opera­ti­o­neel lastig uitvoer­baar is. Sommige kritieke systemen kunnen niet zomaar opnieuw worden opgestart of geüpdatet zonder impact op de bedrijfs­voe­ring. Door proac­tief maatre­gelen te nemen, zoals het beperken van netwerk­toe­gang en het instellen van stren­gere verifi­ca­tie­pro­ce­dures, kunnen organi­sa­ties de kans op een succes­volle aanval verkleinen en tijd winnen om een duurzame oplos­sing te implementeren.

• Risk reduc­tion – Voor een struc­tu­rele verklei­ning van de risico’s kunnen organi­sa­ties een aantal gerichte maatre­gelen nemen. Zo blijven veel organi­sa­ties vasthouden aan verou­derde systemen of appli­ca­ties die niet langer worden onder­steund. Dat maakt ze kwets­baar voor aanvallen. Door actief te inven­ta­ri­seren welke systemen echt nodig zijn en welke vervangen of uitge­fa­seerd kunnen worden, verkleinen bedrijven hun aanvals­op­per­vlak aanzienlijk. 

Daarnaast helpt de imple­men­tatie van Zero Trust. Alle activi­teiten op het netwerk en de systemen worden daarbij nauwkeurig gecon­tro­leerd en geveri­fi­eerd. In combi­natie met continue monito­ring en geauto­ma­ti­seerde detectie kunnen organi­sa­ties de impact van poten­tiële dreigingen drastisch beperken.

Hoge druk verminderen

“Securi­ty­teams staan onder enorme druk: een einde­loze stroom kwets­baar­heden, beperkte middelen en steeds slimmere aanvallen”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyber­de­fense. “Terwijl cyber­cri­mi­nelen hun tactieken automa­ti­seren en versnellen, worden verde­di­gers overspoeld met alerts. Zij worden gedwongen om keuzes te maken met te weinig tijd en infor­matie. In plaats van de illusie na te jagen dat álles gepatcht kan worden, ligt de kracht in een slimmere aanpak zoals CTEM. Met intel­li­gen­tere detectie, gerichte priori­te­ring en risico­be­heer­sing blijft security werkbaar en effec­tief, zonder securi­ty­teams te laten verdrinken in werk.”