Sårbarhetsstyring - hvorfor er det så viktig?

Antall sårbarheter øker i takt med digitaliseringen, og det er essensielt for sikkerheten at sårbarheter avdekkes og elimineres. Vi ser nærmere på sårbarhetsstyring og sårbarhetshåndtering.

Forfatter: Frank Haugnes, Senior Information Security Specialist

Nye sårbarheter i IT-systemer oppdages daglig, og tusenvis av sårbarheter registreres årlig. I 2019 rapporterte Microsoft om et rekordhøyt antall nye IT-sårbarheter: 858 nye sårbarheter i Microsoft-produkter alene.

«Sårbarhet» defineres som en manglende evne til å motstå en uønsket hendelse eller å opprette en ny stabil tilstand dersom en verdi er utsatt for uønsket påvirkning, jf. NS 5830, og er ofte et resultat av mangelfull eller uhensiktsmessig sikring av verdier.

Alle systemer og enheter eid av en virksomhet må beskyttes gjennom en sikker grunnkonfigurasjon, herding etter god praksis, samt løpende installasjon av sikkerhetsoppdateringer.

Et av de mest grunnleggende sikkerhetstiltakene for en virksomhet er å etablere et regime for kontinuerlig å avdekke og eliminere sårbarheter i egne IT-systemer. Noe av det første virksomheten bør gjøre er å etablere en prosess for identifisering og utbedring av tekniske sårbarheter i forretningsapplikasjoner, systemer, utstyr og enheter.

«Sårbarhetsstyring» (Vulnerability management) er en etablert prosess for å ha kontroll på tekniske sårbarheter som sikkerhetshull i programvare, operativsystem og maskinvare, og et verktøy for å oppdage, fjerne og kontrollere den iboende risikoen for sårbarheter.

I prosessen for sårbarhetsstyring brukes ofte spesialisert programvare og arbeidsflyt for å eliminere oppdagede risikoer. Sårbarhetshåndtering er en syklisk prosess som bidrar til å identifisere, klassifisere, utbedre og redusere sårbarheter.

Prosessen omfatter spesielt teknologiske sårbarheter i operativsystemer, programvare og konfigurasjon. Reduksjon av sårbarhet gjennom en effektiv løpende prosess er en viktig del av både systemsikkerhet og nettverkssikkerhet.

«Sårbarhetsvurderinger» benyttes til å identifisere mulige svakheter i systemer og vurdere risikoen forbundet med disse svakhetene. Når sårbarheter er identifisert, skal risikovurderte tiltak iverksettes og dokumenteres.

Prosessen for sårbarhetshåndtering

En prosess for sårbarhetshåndtering krever et antall aktiviteter for å sikre at sårbarheter i virksomhetens nettverk og systemer blir rettidig identifisert og utbedret:Stegene er basert på den såkalte PIACT-modellen (Prepare, Identify, Analyze, Communicate, Treat):

Steg 1: Forberede - Definere, bygge og kontinuerlig forbedre sårbarhetsstyrings-programmet.

Dette handler om å ivareta oversikt og kontroll over utstyr og programvare (Asset Management), dokumentere arkitektur og infrastruktur (inklusive sky-komponenter), etablere policy, retningslinjer og prosedyrer, etablere prosesser for teknisk sårbarhetshåndtering, definere roller og ansvar samt omfang og avgrensning for gjennomføring. Verktøy og metoder som virksomheten skal bruke for innhenting av sårbarhetsinformasjon må også spesifiseres.

Steg 2: Identifisere – Identifisere sårbarheter som er tilstedeværende i virksomhetens operative miljøer.

Dette inkluderer å detektere og dokumentere alle sårbarheter (i operativsystemer, applikasjoner, konfigurasjoner mm.) og en validering av de identifiserte sårbarhetene.

Sårbarheter kan identifiseres eksempelvis fra:

  • Sårbarhetsskanning
  • Konfigurasjonskontroll
  • Samsvarsrevisjoner
  • Sårbarhetsvarsler fra eksterne
  • Penetrasjonstester
  • Analyse av hendelser eller angrepsforsøk

Steg 3: Analysere – Analysere og prioritere identifiserte sårbarheter og produsere oversikter som  veiledning til sårbarhetsstyringsprogrammet. Det er også viktig at sårbarhetene omsettes til forretningsrisiko på dette stadiet.

Steg 4: Kommunisere – Presentere funn fra analyser og progresjon for utbedringer på en oversiktlig måte til alle interessenter. En kommunikasjonsstrategi må besluttes, og parametere for måling og rapportering, samt et rapporteringsregime defineres.

Steg 5: Behandle – Implementere, teste og overvåke korrigerende tiltak. Tiltak kan inkludere prosesser for Change-, Patch-, Configuration-, Cloud-, og Application management samt andre relevante tiltak.

Prioritering av sårbarheter

Verktøy som benyttes til å finne sårbarheter vil rapportere på alvorligheten av disse, ihht. Common Vulnerability Scoring System (CVSS), med en score fra 0.0 til 10.0. Virksomheten må selv sette sårbarhetene inn i en forretningsmessig sammenheng, og prioritere ut fra risikoen de medfører.

Hensikten med en slik vurdering er å finne ut:

1. Hvilke sårbarheter som utgjør høyest forretningsrisiko;
2. I hvilken rekkefølge de må prioriteres; og
3. Hvordan sårbarhetene kan lukkes raskest mulig.

 

Når data om sårbarhetene i de operative miljøene har blitt innhentet, må virksomheten fastslå hvilken faktisk risikoen de utgjør. Et fullstendig risikostyringsprosjekt er generelt ikke nødvendig for å vurdere risikoen for slike sårbarheter, men en grunnleggende (eller forenklet) risikovurdering er nødvendig.

Gitt det store antallet sårbarheter som blir oppdaget ved hver skanning, er det sannsynlig at virksomheten må utføre et stort antall mini-risikovurderinger. Virksomheten bør derfor ha en veldefinert prosedyre for raskt og nøyaktig måle risikoer.

Merk at tilstedeværelsen av en sårbarhet ikke alltid berettiger korrigerende tiltak, og virksomheten kan velge å akseptere risikoen som sårbarheten utgjør. Eksempelvis kan risiko aksepteres når eksisterende sikkerhetstiltak reduserer sannsynligheten for et vellykket angrep tilstrekkelig, eller når identifisert aktiva har liten eller ingen verdi. I disse tilfellene skal risikoakseptansen dokumenteres og godkjennes for å unngå å måtte revurdere det samme funnet senere.

Virksomheten bør prioritere utbedring av sårbarheter i henhold til kritikaliteten til sårbare aktiva, sannsynligheten eller hyppigheten av at et angrep vil gjennomføres (f.eks. Internett-tilgjengelige enheter er mer sannsynlig å bli angrepet enn backend-enheter), og innsatsen som kreves for å implementere tiltak.

På bakgrunn av dette vil en kunne sammenligne den faktiske risikoen for virksomheten med kostnadene for å implementere tiltaket, og dermed prioritere risikoen ut fra en vurdering av kostnadseffektivitet. Virksomheten bør også undersøke årsakene til tidligere sikkerhetshendelser og prioritere deretter.

Nedenfor er et eksempel på en trussel- / risikomatrise hvor eksponeringsnivå og potensielle konsekvenser inngår for å klassifisere alvorlighetsgraden av sårbarheter:

  • Eksponeringsnivå: Antall og type systemer som potensielt kan påvirkes av ondsinnet teknikk eller nyttelast som utnytter den identifiserte sårbarheten, med tanke på faktorer som:

    • Antall tjenester / enheter som potensielt kan påvirkes;

    • Antall virksomhets- eller tidskritiske tjenester som potensielt kan påvirkes;

    • Antall systemer som kan påvirkes; og

    • Geografisk distribusjon av disse systemene / enhetene.

  • Konsekvensnivå: Skader på systemer som ondsinnet teknikk eller nyttelast, som utnytter den identifiserte sårbarheten, kan forårsake. Inkludert i denne beregningen er faktorer som:

    • Evne til eksisterende installert teknologi for å redusere trusselen / risikoen;

    • Risiko for reduksjon i kritisk server- eller nettverksytelse;

    • Potensial for ødeleggelse / endring eller kompromittering av sensitiv informasjon;

    • Tap av produktivitet;

    • Kompromittering av sikkerhetsinnstillinger; og

    • Kostnader / ressurser som kreves for å gjenopprette eller utbedre skader.

    • Distribusjon eller hastigheten som et ondsinnet program sprer seg med kan brukes for å heve alvorlighetsgraden.

Konklusjon

Uten å ha på plass en prosess for sårbarhetsstyring kan virksomhetens ledelse være blinde for risikoer knyttet til sikkerhet i IT-infrastrukturen. Implementering av en sårbarhetsstyringsprosess handler nettopp om å håndtere risiko.

Ved å ha en veldefinert prosess på plass får virksomheten en kontinuerlig oversikt over risikoen forbundet med tilstedeværelsen av sikkerhetsproblemer i IT-systemene. Dette gjør det mulig for ledelsen å ta velinformerte beslutninger med hensyn til korrigerende tiltak for å redusere risikoen.

Kort sagt, enhver virksomhet som ønsker å få en forståelse av sikkerhetsrisikoen de står overfor på grunn av teknologien de bruker, bør implementere en sårbarhetsstyringsprosess.

For å sikre et vellykket program for sårbarhetsstyring, bør man være oppmerksom på følgende:

  • Roller og ansvar bør være tydelig definert og tildelt.
  • Sørg for at alle interessenter i virksomheten vet hva de kan forvente.
  • Velg en skanningsteknologi for sårbarhet som passer virksomhetens behov.
  • Tilstrekkelig oppmerksomhet bør rettes mot konfigurasjon og finjustering av sårbarhetsskannerteknologien.
  • Omfanget av den første sårbarhetsskanningen bør begrenses. Dette forhindrer innledende skanninger som resulterer i et overveldende antall sårbarheter.

Våre rådgivere leverer sårbarhetshåndtering som en tjeneste, skreddersydd for virksomhetens behov og løsninger. Vi har muligheten til å gjennomføre sårbarhetsskanninger på tvers av virksomheten for å identifisere sårbarheter i lokale miljø- og skyinfrastrukturmiljøer og leverer rapporter optimalisert for systemet, infrastrukturen og trusselandskapet.

Les mer om våre tjenester her.