Waarom de nieuwe Tenable VPR een gamechanger is voor kwetsbaarheidsbeheer

We vragen regelmatig onze specialisten een blog te schrijven over een specifiek onderwerp. Dit keer gaat Ronald Kingma dieper in op de nieuwe prioritering van kwetsbaarheden door Tenable.

Elke securityspecialist kent het probleem: je opent je vulnerability managementdashboard en je wordt overspoeld met CVEs. Elke dag tientallen nieuwe meldingen, waarvan het gros kritiek of hoog is volgens CVSS. Maar wat moet je nu écht eerst aanpakken? Wat is daadwerkelijk een risico voor jouw organisatie, vandaag?

Ik loop al wat jaren mee in het vak en ik kan je vertellen: zonder goede prioritering verlies je kostbare tijd. En dat is precies waar de vernieuwde Tenable Vulnerability Priority Rating (VPR) in 2025 een verschil maakt.

Van “alles is kritiek” naar slimme selectie

Laten we eerlijk zijn: CVSS is handig om impact te beschrijven, maar het mist actuele exploitatiecontext. Als alles “hoog” of “kritiek” is, zegt dat eigenlijk niks. In mijn ervaring is 90 % van de CVEs die je binnenkrijgt geen direct risico. Probeer dat maar eens aan je CISO of auditor uit te leggen zonder onderbouwing.

Tenable pakt dat nu beter aan, met een VPR die:

• AI gebruikt om exploitkansen te voorspellen
• Threat intelligence combineert met sectorspecifieke risico’s
• En eindelijk uitlegt waarom iets belangrijk is

Dat maakt deze update niet alleen technisch sterk, maar ook bruikbaar in je dagelijkse praktijk.

Hoe werkt de nieuwe VPR?

De VPR-score bestaat uit twee onderdelen:

1. Impact Score
   Gebaseerd op CVSS Base Metrics (confidentiality, availability, integrity).

2. Threat Score
   Deze is het geheim van de smid. Hij komt uit een machine learning-model (Random Forest) dat elke dag traint op honderden factoren: exploit-code in the wild, aanwezigheid in exploitkits, waarnemingen in dark web-kanalen, Github-poc’s, etc.

Formule:

Resultaat: een score van 0–10, met duidelijke ranges:

• 0–4 = Low
• 4–7 = Medium
• 7–9 = High
• 9–10 = Critical

Maar nu komt het mooie: van alle CVEs in 2025 wordt met deze nieuwe aanpak nog maar 1,6 % als High of Critical aangemerkt. En toch worden álle belangrijke zero-days gedekt. Dat is efficiëntie.

Explainability: niet alleen een score, maar ook de waarom

Wat mij persoonlijk overtuigde, is de nieuwe explainability-functie. Stel: je krijgt een CVE met een VPR van 9,2. Dan krijg je meteen antwoord op de vragen:

• Waarom is dit relevant voor mijn sector?
• Is er al weaponized exploit code beschikbaar?
• Hoe zouden aanvallers deze kwetsbaarheid misbruiken?
• Welke actie moet ik nemen?

De AI genereert hierbij een samenvatting van blogs, nieuwsartikelen en dreigingsrapporten. Je hoeft dus zelf niet meer handmatig op zoek — dat scheelt uren per week.

Relevantie per sector en locatie

Een van de slimste toevoegingen vind ik de mogelijkheid om VPR te laten filteren op sector en geografische locatie. Want laten we eerlijk zijn: een kwetsbaarheid in een ICS‑systeem is totaal niet relevant als je alleen een SaaS-bedrijf runt. En een aanvalscampagne gericht op Zuid-Amerika raakt jou niet direct als je Europese klanten bedient.

De nieuwe VPR houdt hier nu automatisch rekening mee. Dat maakt de score niet alleen preciezer, maar ook veel beter verdedigbaar richting management en auditors.

Hoe verhoudt VPR zich tot andere methoden?

Ik heb VPR naast CVSS, EPSS en CISA KEV gelegd. Mijn bevindingen:

Conclusie

De nieuwe Tenable VPR is geen gimmick of kleine tweak. Het is een fundamentele upgrade die AI, exploitkans, context en begrijpelijkheid samenbrengt. Het helpt jou als securitypro beter beslissen. En laten we eerlijk zijn: dat is hard nodig in een wereld van steeds snellere aanvallen en beperkte capaciteit.

Mijn advies? Als je met Tenable werkt, schakel de nieuwe VPR (Beta) direct in, vergelijk de resultaten met de oude score, en gebruik het als leidraad voor je patch- en risicomanagement. Je team en je nachtrust zullen je dankbaar zijn.