Introduktion til Vulnerability Management
Hvis vi skal være ærlige, elsker vi en god udfordring. Hvis du har en nødsituation eller er blevet ramt at et sikkerhedsbrud, er vi selvfølgelig glade for, at du ringer til os. Men der er to sider af denne cybersikkerhedsmønt: På den ene side lidenskaben for adrenalinen i et krigsrum med høj sikkerhed, hvor vi hjælper med at styre et skib midt i en storm. På den anden side håbet om at se tingene løst, før de bliver til et problem.
I dag taler vi om et af aspekterne ved den anden side af mønten: Vulnerability Management.
01.1 Hvad er Vulnerability Manangement?
Vulnerability Management er en af de mange iterationer af “opdag tidligt, afhjælp tidligt.” For et område så omskifteligt som vores, kan dette være en ægte udfordring – der er altid noget nyt at sikre i et hvilket som helst IT-landskab, en ny sårbarhed at tage fat på, nye risici at overveje og så videre. Hvis denne udvikling ignoreres, kan det efterlade en sårbar over for uventede cyberangreb. Og hvem ønsker det uden først at beslutte, at det er en risiko, der er værd at tage? Ingen, selvfølgelig.
Et Vulnerability Management program har til formål at opdage uadresserede sårbarheder og består af forskellige faser; afdækning af systemsårbarheder gennem en sårbarhedsscanning, evaluering, rapportering og udbedring for at reducere og styre risikoen, som uadresserede, måske endda ukendte, sårbarheder udgør for en organisation.
Er Vulnerability Management det samme som risikostyring? Ikke helt. Vulnerability Management er mere fokuseret på at afdække og adressere tekniske sårbarheder inden for IT-systemer i et kontinuerligt program for at styrke en organisations sikkerhedsposition. Som sådan kan det være en værdifuld del af et bredere Risk Management-program.
01.2 Sådan kører du et Vulnerability Management program
Heldigvis er Vulnerability Management ret ligetil. SANS Instituttet udgav en indledende whitepaper om emnet, som vi synes er en god introduktion til, hvordan Vulnerability Management kan se ud i praksis.
Her er vores 5 faser af et succesfuldt Vulnerability Management program:
01.2.1 Forberedelse
Hvis det er første gang, du scanner for sårbarheder, eller hvis du har anskaffet dig nyt værktøj til at understøtte din sårbarhedshåndteringsproces, er dette den fase, hvor du vil implementere og konfigurere dit værktøj. Det er også her hvor du bør tage stilling til omfanget af din scanning. Vores anbefaling er at tænke stort, men starte småt – især hvis du har mange servere. Som en tommelfingerregel skal du først forsøge at afdække din virksomhedskritiske infrastruktur, og derefter udvide dine scanninger og udbedringsindsatser.
01.2.2 Sårbarhedsscanning
Når dit scanningsværktøj er sat op og konfigureret til dit behov, er det tid til at scanne! Hvad kan scannes? Det afhænger af din scanningsløsning, men for eksempel udfører InsightVM fra vores partnere hos Rapid7 scanninger på interne IP-adresser, eksterne IP-adresser og har også mulighed for at scanne webapplikationer.
Hvis du vil læse mere om, hvordan Rapid7-værktøjer scanner for sårbarheder, så ring til os. Hvis du foretrækker at dykke ned i det på egen hånd først, anbefaler vi Rapid7’s artikel om sårbarhedshåndtering og scanning.
01.2.3 Sårbarhedsanalyse
Når scanningen er afsluttet, er det tid til at evaluere eventuelle sårbarheder. Mange værktøjer inkluderer en sårbarhedsscore i deres rapportering, ofte baseret på Common Vulnerability Scoring System (CVSS), der vurderer sårbarheder efter sværhedsgrad eller giver risikomålinger til at hjælpe organisationer med at prioritere resultaterne.
Det er denne fase, hvor du håndterer falske positiver, analyserer scanningsresultater og forbereder dig på at rapportere resultaterne og nødvendige afhjælpningstrin til dine Service Owner. Hvis du ønsker eller har brug for at gå den ekstra kilometer for et kritisk system, er det også her, du vil validere kernesårbarheder gennem pentest-værktøjer.
Ved afslutningen af denne fase vil du have en liste over sårbarheder, der er grupperet efter, hvordan du vil reagere på dem; ved at afhjælpe, begrænse eller acceptere sårbarheden. Hvis du har et godt team af cyberprofessionelle på din side, vil de hjælpe med anbefalinger til afhjælpning og eliminering af dine prioriterede fund og støtte dig i at løse disse sårbarheder.
01.2.4 Sårbarhedsrapport
Det er på tide at vise dine interessenter, hvad du har fundet – ‘interessenter’ er som regel tjenesteejere. Efter at have scannet og fortolket resultaterne, samt prioriteret dem for compliance og sikkerhed, er det tid til at involvere de rigtige interessenter.
Vi anbefaler at være i dialog med dine tjenesteejere om dit Vulnerability Management program. Især hvis du lige er begyndt at anvende det. At få dem med ombord og hjælpe dem med at allokere de nødvendige ressourcer til at løse de fundne sårbarheder vil styrke dit program fremadrettet.
01.2.5 Sårbarhedsfix/support
Det næste punkt er at adressere dine sårbarheder. Ofte vil dette være i hænderne på tjenesteejere, men du kan støtte dem ved at give alle relevante oplysninger fra dine resultater, som de har brug for. Gerne med din begrundelse og analyse, hvis det er nødvendigt. Lyt til deres feedback – de kender systemet og dets brug indgående og vil være i stand til at give noget mere kontekst til dine fremtidige analyser.
“Når du bruger hyppig og konsekvent scanning, vil du begynde at se den røde tråd mellem sårbarhederne og få en bedre forståelse af hele systemet.”
Rapid7, sårbarheder, udnyttelse og trusler
Men hvorfor gøre alt dette, når det (for det meste) er gået fint indtil videre? Du kan jo bare lukke øjnene for farerne ved dine potentielle eksponeringer og aldrig mere tænke på dine interne og eksterne sårbarheder.
Desværre forholder virkeligheden sig ikke sådan. Uadresserede sårbare systemer, som er forbundet til internettet, kan udgøre en sårbarhed for automatiserede angreb. I mange tilfælde vil sådanne automatiserede angreb være lige så lette at udføre, som hvis man skulle sende en masseforsendelse på e-mail. Hvis du har grund til at tro, at din organisation kan være et emne for et målrettet angreb, bør Vulnerability Management være øverst på din liste over prioriteter. Interne systemer er lige så kritiske – når først en fjende har kompromitteret en brugerkonto, eller endnu værre, hvis en insidertrussel leder efter et pressionsmiddel, vil du være glad for, at du har kontrol over håndteringen af dine sårbarheder.
Læs mere om sårbarhedshåndtering i vores kilder:
Værktøj: Common Vulnerability Scoring System Calculator – leveret af NIST
Whitepaper: Implementing a Vulnerability Management Process – Tom Palmaers for SANS™ Institute
Artikel: Vulnerability Management Process – Rapid7
Fundamentals: Vulnerabilities, Exploits og Threats – Rapid7
Partnerskabsmeddelelse
Vi er glade for at kunne meddele, at vi har indgået partnerskab med Rapid7 for at bringe det bedste af sårbarhedsscanning og sårbarhedshåndtering til dig! Sammen tilbyder vi Vulnerability Management as-a-Service til organisationer på tværs af Danmark og Norden, og uforpligtende demoer og Proof-of-Concepts – som altid kun én e-mail væk.