Na een vulnerability scan ontvang je een rapport. Maar wat staat er nou precies in zo een document, en hoe lees je het? Veel mensen schrikken van de omvang of weten niet waar ze moeten beginnen. We leggen stap voor stap uit hoe een professioneel rapport is opgebouwd en wat je er mee kunt.
De executive summary: voor het management
Elk goed rapport begint met een samenvatting voor mensen die geen technische achtergrond hebben. Hierin staat in begrijpelijke taal wat de belangrijkste bevindingen zijn, wat het totale risiconiveau is en welke actie als eerste nodig is. Dit gedeelte is ideaal om te delen met directie, bestuur of aandeelhouders.
Risicoprioritering: kritiek, hoog, middel, laag
Elke gevonden kwetsbaarheid krijgt een prioriteit. Kritieke kwetsbaarheden vereisen onmiddellijke actie. Hoge kwetsbaarheden zijn serieus maar iets minder acuut. Middelmatige en lage risicos zijn belangrijk voor de lange termijn maar hoeven niet morgen opgelost te zijn. Deze indeling helpt je om je tijd en budget goed te verdelen.
Technische details per kwetsbaarheid
Voor elke bevinding staat een technische beschrijving: wat is de kwetsbaarheid, op welk systeem is hij gevonden, hoe ernstig is hij uitgedrukt in een CVSS-score, en hoe kan een aanvaller hem misbruiken. Dit gedeelte is bestemd voor de IT-beheerder die de oplossing gaat uitvoeren.
Remediatie-advies: zo los je het op
Een goed rapport laat je niet alleen weten wat er mis is, het vertelt ook hoe je het oplost. Per kwetsbaarheid staat een concrete aanbeveling: installeer patch X, schakel dienst Y uit, verander configuratie Z. Soms is de oplossing een simpele update. Soms vereist het meer werk.
Wat doe je na het rapport?
Het rapport is geen eindpunt maar een beginpunt. Prioriteer de bevindingen, wijs verantwoordelijkheden toe, stel een tijdlijn op en voer de verbeteringen door. Daarna is een hertest zinvol: zo kun je aantonen dat de kwetsbaarheden zijn verholpen.