Att gå ett steg längre än sårbarhetskanning

Blog Reading Time 3 Lästid
/
december 22, 2023

Att gå ett steg längre än sårbarhetskanning

Att hålla sig steget före potentiella intrång är högsta prioritet för säkerhetsteam inom organisationer av alla storlekar. Sårbarhetsskanning har länge varit en grundpelare i dessa ansträngningar och möjliggör för företag att identifiera svagheter i sin säkerhetsposition. Men medan cyberattacker blir mer sofistikerade och omfattande och med ett stort antal gemensamma sårbarheter och exponeringar (CVEs) som katalogiseras varje år blir det alltmer tydligt att sårbarhetsskanning inte är tillräckligt.

Vad är sårbarhetsskanning?

Sårbarhetsskanning är ett övergripande sätt att kontrollera operativsystem, appar eller nätverk efter säkerhetssvagheter eller potentiella sårbarheter. Målet är att genomföra en sårbarhetsbedömning för att hitta kryphål (som föråldrad programvara eller firmware) eller exploaterbara säkerhetssårbarheter och felkonfigurationer som cyberbrottslingar skulle kunna utnyttja.

I praktiken innebär sårbarhetsskanning att man använder specialiserade webbapplikationer eller verktyg för sårbarhetsskanning för att skanna servrar, bärbara datorer och arbetsstationer som är anslutna till ett nätverk.

Säkerhetsteam kan utföra olika typer av sårbarhetsskanningar, som externa skanningar som granskar identifierade sårbarheter som angripare skulle kunna utnyttja om de började utanför ditt nätverk. Eller interna sårbarhetsskanningar där de kan söka efter sårbarheter som insidern kan utnyttja, som exponerade lösenordshashar. De kan också utföra autentiserade skanningar som använder privilegierade referenser för att upptäcka hot som uppstår från svaga lösenord, skadlig kod eller oautentiserade skanningar för att hitta svagheter inom operativsystem, tjänster som lyssnar på öppna portar och mer för att se sitt nätverk från en angripares perspektiv.

I själva verket kräver vissa säkerhetsstandarder, som Payment Card Industry Data Security Standard (PCI DSS), att organisationer regelbundet utför sårbarhetsskanningar.

Begränsningar av sårbarhetsskanning

Sårbarhetsskanning erbjuder en systematisk skanningsprocess som en del av utförandet av säkerhetstestning av din digitala miljö för att söka efter svagheter. Den använder ofta automation för att jämföra konfigurationen och programvaruversionerna mot en databas med kända sårbarheter och flaggar en potentiell säkerhetsrisk när en matchning hittas. Även om det har varit en viktig del av cybersäkerhet i många år har den digitala transformationen förvärrat processen och lett till flera begränsningar som organisationer arbetar med att övervinna, inklusive de nedan:

  • Begränsad till kända sårbarheter: En sårbarhetsskanner kommer att skanna dina enheter mot varje sårbarhet som dess utvecklare känner till. Nyckelordet här är ”känner till”. När det ställs inför okända sårbarheter, som nya sårbarheter som inte har lagts till i en databas, kommer skannern inte kunna flagga dem. Detta lämnar organisationer sårbara för noll-dagars hot.
  • Falska positiva och falska negativa: Sårbarhetsskanningar är inte perfekta. De kan ge falska positiva (dvs. sårbarheter som inte finns i ditt system) och falska negativa (dvs. sårbarheter som finns i ditt system men missas av skannern). För att säkerställa att detta inte händer måste du anpassa dina skanningskonfigurationer och validera skanningsresultaten – annars kommer skanningarna fortsätta att ge felaktigheter och resultera i larmtrötthet inom IT-team.
  • Ej utnyttjbara sårbarheter: Inte varje sårbarhet som identifieras av en sårbarhetsskanning kommer att vara utnyttjbar i ditt system. Även om en sårbarhet är utnyttjbar kanske du har kontroller på plats för att minska denna risk. En sårbarhetsskanning tar inte hänsyn till detta.
  • Ej patchbara risker och felkonfigurationer: Den digitala transformationen introducerar ofta risker som sträcker sig bortom traditionella sårbarheter. Dessa risker inkluderar felkonfigurationer, exponerade inloggningssidor, svaga krypteringsprotokoll eller utgående certifikat. Traditionella verktyg för sårbarhetshantering kanske inte effektivt fångar och åtgärdar dessa ej patchbara risker, vilket lämnar organisationer sårbara för potentiella säkerhetsintrång.


Vad kan vi göra?

För att minska begränsningarna med sårbarhetsskanning måste organisationer skifta fokus från enskilda sårbarheter till den bredare konceptet av attackytan. Attackytan omfattar alla punkter där dina system, applikationer och data är exponerade för potentiella hot. Det är hela det digitala fotavtrycket för din organisation, inklusive kända och okända tillgångar.

Sårbarhetsskanning kan ge dig viktiga ledtrådar om varifrån risken kommer, men hanteringen av attackytan (Attack Surface Management) ger en snabb och aktuell översikt över vilka cyberhot du faktiskt behöver fokusera på. Det är inte möjligt att effektivt försvara din attackyta från utnyttjbara sårbarheter enbart med sårbarhetsskanning. Det är avgörande att gå bortom dess begränsningar och ta en mer omfattande ansats till säkerhet genom att lämna den traditionella ”hitta och åtgärda”-metoden och i stället anta en proaktiv strategi.

Av: Erik Berg

Jobbar som Säkerhetsarkitekt har jobbat inom IT-säkerhet i 12 år i både privata sektorn och offentlig verksamhet, med Security Operations (Blue Teaming) och som säkerhetschef på flertalet IT-Bolag.