Sårbarhetshantering – Hur går vi tillväga?
Sårbarhetshantering – Hur går vi tillväga?
Sårbarhetshantering: Nya sårbarheter ser dagens ljus och som företag ställer vi oss ofta frågan – hur påverkar detta oss?
Sårbarheter är svagheter i system och mjukvara som kan utnyttjas av angripare och få negativ effekt på företag och dess verksamhet. Vanligt förekommande effekter av sårbara IT-miljöer brukar resultera i att dessa upphör att fungera och att det uppstår verkan på affärsverksamhet eller produktion. En angripare är generellt sett mer benägen att utvinna information som har ett mycket högre värde, och som potentiellt kan säljas vidare till andra aktörer – eller användas vid utpressningsförsök, ransomware mot angripet företag. En angripare har drivkraft att vilja ta sig längre in och mot företagskänsliga system och nå kronan på verket.
Organisationer växer organiskt, eller genom förvärv, vilket breddar både tjänster och applikationer i ökande takt. För systemansvariga så uppstår utmaningar med att hålla jämn takt med dagliga operativa aktiviteter och samtidigt bedriva ett proaktivt säkerhetsarbete. Närmare bestämt att uppgradera system och mjukvara med uppdateringar från tillverkare, samt säkerställa att säkerhetsnivån är enligt önskad standard eller best-practice. Cybersäkerhet är ett område som många företag uppvisar brister inom och stundtals förlitar sig på att leverantörer har utfört genomgående tester och analyser innan produkter gjorts tillgänglig på marknaden – eller utgår ifrån att sin egen personal besitter kompetens även inom cybersäkerhet.
Sårbarhetshantering
Hantering av sårbarheter är hörnstenen i varje modernt säkerhetsarbete och påvisar en förhöjd nivå av cybersäkerhet inom ett företag. Det primära målet med sårbarhetshantering är att upptäcka och rapportera allvarliga sårbarheter i tid, samt att initiera en process för att åtgärda dessa. Alla sårbarheter som inte upptäcks och åtgärdas utgör en risk för konfidentialitet, integritet samt tillgänglighet. Negativa påföljder av bristande sårbarhetshantering kan få katastrofala konsekvenser på ett företags verksamhet och frambringa inkomstbortfall. Beroende på omfattning av intrång, eller informationsförlust, så kan detta även få ogynnsam effekt på ett etablerat och inarbetat varumärke samt påverkan på betydelsefulla marknadsandelar. Ett skadat förtroende hos konsumenter tar helt enkelt tid att återhämta sig ifrån. Under det senaste decenniet har t ex Yahoo! utsatts för flertalet intrång som medfört i att deras ca 3 miljarder användares personliga kontaktuppgifter har hamnat på villovägar. Equifax och Marriott (Starwood) är andra företag som utsatts för liknande intrång och som fått förödande konsekvenser för dessa bolag – skadat varumärke, förlorat förtroende samt skyhöga skadeståndsbelopp.
Att enbart identifiera sårbarheter och skapa rapporter till en organisation är varken tillräckligt eller vidare effektivt. Komplettera arbetet med IT-styrning, definiera processer, upprätta mål och uppföljningsmöten för att få bättre utväxling av påbörjat säkerhetsarbete. Förstärk den interna IT-strukturen genom att tilldela resurser och ansvar till tjänster, applikationer och system för att underlätta det operativa arbetet. De föreslagna åtgärder och dess styrka kommer även att uppenbara sig vid en kommande cyberincident, d v s när beslut och aktiviteter ska omsättas till praktiska moment och begränsa omfattningen av en attack. Alla företag bör förvänta sig att cyberincidenter kommer att inträffa – frågan är bara i vilken omfattning och grad som det sker med. När en cyberattack uppdagas så ställer det höga krav på en IT-organisation och många frågetecken ska initialt rätas ut. Nervositet, förvirring och stress är förekommande faktorer som uppenbarar sig i dessa situationer, och saknad av styrdokument, processer och tydligt ledarskap så försvåras det stundande kritiska arbetet. Förberedelser och situationsbaserad träning optimerar en organisations agerande under utmanande och ansträngande förhållanden.
Förbered organisationen
En rekommenderad typ av träningsmetod för en IT-organisation kan t ex vara ett Red Team-test där våra säkerhetskonsulter försöker angripa ett system från motsvarande perspektiv som en extern hacker har. Ett alternativ till föregående scenario är att genomföra en intern säkerhetsgranskning där säkerhetsnivå och övervakning tillika analyseras. Huvudsyftet med testet är att granska generell säkerhetsnivå samt att analysera vilka möjligheter en allmän användare har i IT-miljön – t ex vilka känsliga resurser har en användare åtkomst till och hur kan dessa utnyttjas på ett illvilligt sätt. En hacker som har försett sig med åtkomst till ett företags interna IT-miljö kommer initialt att påbörja en rekognosering på närliggande system, samt utforska beprövade metoder för att kunna förskaffa sig högre privilegier i nätverket. En intern IT-miljö utan ordentlig övervakning på användarbeteende, nätverksutrustning, servrar och klienter samt nätverkstrafik är ett öppet landskap för en hacker.
Sårbarhetsskanning – en start i säkerhetsarbetet
Om ett företag är i begynnelsen av att påbörja ett säkerhetsarbete så rekommenderas sårbarhetsskanning som den mest fundamentala åtgärden. Både intern och extern IT-miljö genomgår då en automatiserad säkerhetsgranskning genomförd av betrodda och marknadsledande verktyg. Resultatet sammanställs i en slutrapport som inkluderar rekommendationer på identifierade sårbarheteter samt förslag på hur en organisation hanterar implementationen av dessa. Sårbarhetsskanning ger dessutom en aktuell avbild på en IT-miljös välbefinnande samt identifierar enheter som är föråldrade och som redan hade tagits ur bruk.
Sårbarhetsskanning har sina inskränkningar och har en begränsad förmåga att bekräfta sårbarheter. Som komplement till sårbarhetsskanning så återfinns verktyg som är inriktade på att testa webbapplikationer och innehar samtidigt en större intelligens – både i granskning och analys. Komplexa webbapplikationer bör dock genomgå en manuell säkerhetsgranskning då automatiserade verktyg inte alltid har förmågan att t ex kunna analysera kommentarer i kod eller besitter förståelse i hur användarupplevelsen är tilltänkt.
Företag som i dagsläget genomför sårbarhetsskanning bör överväga nästkommande steg för att förstärka organisationens cybersäkerhet. En åtgärd kan vara att utföra säkerhetsgranskningar på prioriterade och exponerade system, men även säkerhetsgranskningar på de segment som diskuterats i detta inlägg – själva kärnan i en IT-miljö. Penetrationstester på prioriterade system bör förekomma regelbundet och framförallt när påtagliga uppdateringar eller förändringar sker i produkten. Någon specifik tidsintervall när penetrationstester bör utföras går inte att förorda, utan rekommendationen är att sådan bör ske när en eller flera betydande förändringar skett i ett system eller i applikation.
Threat Hunting
Threat Hunting är ett alternativ till att närma sig identifiering av sårbarheter och ett proaktivt arbetssätt för att minimera den skada en hacker kan åstadkomma – oavsett vid en intern eller extern attack. Effektiv Threat Hunting är en kombination av ingående kunskap om sin IT-miljö samt förmågan att förstå detaljerna om förändringar som sker på daglig basis, d v s att kunna eftersöka och verifiera onormal aktivitet på IT-infrastruktur som kan vara tecken på en pågående attack. Ytterligare åtgärder kan adderas till det analytiska arbetet genom att göra efterforskningar i tillgänglig information på Internet, t ex om anställdas uppgifter har förekommit i publika och tillkännagivna intrång. Andra resurser och källor till betydelsefull information kan vara tjänster som Certificate Transparency Monitoring där ett företag kan prenumerera på varningar när ett nytt certifikat för deras alla domäner skapas. En IT-organisation informeras omgående när en testsajt eller utvecklingsmiljö implementerats med ett tillhörande certifikat. Threat Hunting ska snarare ses som en process i ständig förändring än fler verktyg till en redan stor låda.
Hur kan Orange Cyberdefense underlätta mitt arbete med cybersäkerhet?
Orange Cyberdefense kan bistå med säkerhetskonsulter som innehar mångårig erfarenhet av likartade scenarios och säkerhetsgranskningar. Oavsett vart ni befinner er i processen med att initiera, eller förbättra, ert säkerhetsprogram, så har vi kompetent personal som kan hjälpa er i alla dessa faser.
Ta kontakt med Orange Cyberdefense för vidare dialog kring vårt tjänste- och produktutbud och hur dessa kan appliceras i er verksamhet.