Wat is een CVE?
CVE staat voor Common Vulnerabilities and Exposures. Het is een gestandaardiseerd systeem voor het identificeren en benoemen van bekende beveiligingskwetsbaarheden in software en hardware. Elke CVE heeft een uniek ID-nummer (zoals CVE-2025-0311) en een beschrijving van de kwetsbaarheid.
Het CVE-systeem wordt beheerd door MITRE Corporation in opdracht van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De National Vulnerability Database (NVD) van het Amerikaanse NIST breidt CVE-gegevens uit met technische details, CVSS-scores en remediation-informatie.
Elke dag worden er gemiddeld 60 tot 80 nieuwe CVEs gepubliceerd. In 2024 werden meer dan 28.000 CVEs geregistreerd — een nieuw record. Dit volume maakt handmatige opvolging vrijwel onmogelijk zonder geautomatiseerde tools.
Hoe werkt de CVSS-score?
De Common Vulnerability Scoring System (CVSS)-score is een numeriek getal tussen 0 en 10 dat de ernst van een kwetsbaarheid aangeeft. De score wordt bepaald door factoren als:
- Attack Vector: Hoe bereikbaar is de kwetsbaarheid? (Netwerk, Adjacent, Lokaal, Fysiek)
- Attack Complexity: Hoe moeilijk is een aanval? (Laag vs. Hoog)
- Privileges Required: Welke rechten heeft een aanvaller nodig?
- User Interaction: Is gebruikersactie nodig?
- Scope: Beïnvloedt de kwetsbaarheid componenten buiten het systeem?
- Confidentiality/Integrity/Availability Impact: Welke schade kan de kwetsbaarheid aanrichten?
De CVSS-categorieën zijn:
- Kritiek (9.0–10.0): Onmiddellijke actie vereist
- Hoog (7.0–8.9): Urgent patchen aanbevolen
- Medium (4.0–6.9): Patchen in reguliere cyclus
- Laag (0.1–3.9): Laag risico, opnemen in routineonderhoud
De CISA KEV-lijst: de meest kritieke kwetsbaarheden
Niet elke CVE wordt actief misbruikt. De CISA Known Exploited Vulnerabilities (KEV)-catalogus is een lijst van kwetsbaarheden die bevestigd actief worden uitgebuit door aanvallers. Amerikaanse overheidsinstellingen zijn verplicht om KEV-kwetsbaarheden binnen een vaste termijn te patchen.
Voor Nederlandse organisaties is de KEV-lijst een uitstekende prioriteringsgids: als een kwetsbaarheid op de KEV-lijst staat, is onmiddellijk patchen een absolute must. Fortivox toont duidelijk welke CVEs op de KEV-lijst staan.
Waarom handmatig bijhouden niet werkt
Sommige organisaties proberen CVEs bij te houden via de NVD-website of RSS-feeds. Dit werkt voor kleine omgevingen, maar heeft grote nadelen:
- Geen filtering op uw specifieke technologiestack
- Geen prioritering op basis van actieve exploitatie
- Geen koppeling met NCSC-NL advisories en vendor bulletins
- Veel ruis: het merendeel van CVEs is niet relevant voor uw situatie
- Geen alerting buiten kantooruren
Wat goede CVE monitoring inhoudt
Professionele CVE monitoring doet meer dan CVEs weergeven. Een goed systeem:
- Synchroniseert realtime met NVD, MITRE, CISA KEV en vendor advisories
- Filtert op uw specifieke technologiestack (Windows, Cisco, VMware, etc.)
- Prioriteert op basis van CVSS-score én actieve exploitatie
- Koppelt CVEs aan MITRE ATT&CK-technieken voor contextueel begrip
- Stuurt direct alerts via e-mail, Slack of Teams
- Genereert rapportages voor management en toezichthouders (zoals vereist door NIS2)
De werkelijke kosten van niet-monitoren
De kosten van een geslaagde aanval via een bekende kwetsbaarheid zijn aanzienlijk. Onderzoek van IBM toont aan dat de gemiddelde kosten van een datalek in 2024 wereldwijd $4,88 miljoen (ca. €4,5 miljoen) bedroegen. In Nederland zijn de gemiddelde herstelkosten lager, maar een MKB-bedrijf kan toch snel €100.000 tot €500.000 kwijt zijn aan forensisch onderzoek, systeemherstel, juridische kosten en reputatieschade.
De kosten van een goed CVE-monitoringplatform zijn hiermee verwaarloosbaar klein.
Hoe Fortivox CVE monitoring aanpakt
Fortivox synchroniseert continu met alle grote bronnen en biedt:
- Realtime CVE-database met filtering en zoekfunctie
- CVSS-scores en KEV-status per CVE
- Direct koppelbaar met uw tech stack voor relevante filtering
- Live NVD-feed die de nieuwste CVEs ophaalt op aanvraag
- Integratie met Slack, Teams en SIEM-systemen
- NIS2-conforme rapportages van uw patchstatus
Conclusie: monitoring is geen luxe, maar noodzaak
Met tientallen nieuwe CVEs per dag, actief misbruik binnen twee weken na publicatie en strenge NIS2-verplichtingen voor aantoonbaar kwetsbaarheidsbeheer, is CVE monitoring voor elke serieuze organisatie een fundamentele beveiligingsmaatregel geworden. Wacht niet op het eerste incident.