Hur man bygger upp ett program för hantering av sårbarheter
Ett program för hantering av sårbarheter identifierar, utvärderar, prioriterar och minskar systematiskt sårbarheter som kan utgöra en risk för ett företags infrastruktur och applikationer. Ett modernt program för hantering av sårbarheter kombinerar automatisering, hotinformation och datavetenskap för att förutsäga vilka sårbarheter som utgör den största risken för en specifik miljö.
Varför är ett program för hantering av sårbarheter kritiskt?
Antalet sårbarheter som observerats i enheter, nätverk och applikationer har ökat dramatiskt under de senaste åren. En titt på National Vulnerability Database avslöjar att antalet Common Vulnerabilities and Exploits (CVEs) har tredubblats sedan 2016.
Också på uppgång: Mycket sofistikerade försök att utnyttja dessa sårbarheter. Enligt Identity Theft Resource Center (ITRC) ökade antalet registrerade dataintrång med 17 procent från 2018 till 2019. Bara under de två första månaderna 2020 exponerades 1,66 miljarder poster i 11 476 intrång.
Då är de flesta företag fortfarande inte tillräckligt förberedda. Under 2019 fann PwC att ”mindre än hälften av företagen globalt är tillräckligt förberedda för en cybersäkerhetsattack”. Cyberkriminella blir allt mer avancerade och organisationer kämpar för att säkerställa att deras teams cybersäkerhetskompetens, verktyg och processer kan hantera dessa hot.
Allt detta har en reell kostnad för företagen. År 2021 förutspår Cybersecurity Ventures att skador orsakade av cyberbrottslighet kommer att kosta världen 6 biljoner dollar per år (en ökning från 3 biljoner dollar 2015) – kostnader som företag knappast har råd med i en tid av historiska ekonomiska störningar.
I takt med att sårbarheter och diversifierade attacker fortsätter att öka behöver du ett program för hantering av sårbarheter för att skydda din infrastruktur, dina program och dina data på rätt sätt.
Kan ett traditionellt program för hantering av sårbarheter hålla jämna steg?
Många företag förlitar sig fortfarande på vanan att lappa allt som ligger över ett visst tröskelvärde, t.ex. Common Vulnerability Scoring System (CVSS) med en poäng på sju eller högre. Vissa fortsätter att använda enorma kalkylblad med sårbarheter som de sedan sorterar utifrån intuition, den offentliga profilen för en sårbarhet eller antalet tillgångar som påverkas. För det mesta fungerade detta grundläggande tillvägagångssätt för ett program för hantering av sårbarheter – det vill säga tills angriparna blev mer sofistikerade och infrastrukturerna blev mer invecklade, känsliga och expansiva.
Problemet för dagens organisationer är att dessa traditionella modeller för program för hantering av sårbarheter tvingar dem att försöka prioritera vulner utan det sammanhang som krävs för att korrekt bedöma den risk som en sårbarhet utgör för just deras organisation. En sårbarhet kan t.ex. vara i rubrikerna och skapa oro bland intressenter och chefer. Många sårbarheter har åtgärdats under dessa förhållanden. Men i många fall kanske sårbarheten inte är en sårbarhet som utnyttjas aktivt inom din bransch; med andra ord utgör den en relativt låg risk för din infrastruktur. Om du har detta sammanhang kan du lättare avgöra vilka sårbarheter som är värda att åtgärda – och sedan försvara ditt beslut att bortprioritera åtgärdandet av sårbarheter som är i fokus för rubrikerna inför andra.
Tänk nu på att endast 2-5 % av en organisations sårbarheter sannolikt kommer att utnyttjas. Traditionella sätt att hantera sårbarheter är sannolikt inte till någon större hjälp när det gäller att peka ut dem som mest sannolikt kommer att användas som vapen. Sårbarhetsskannrar och CVSS-poäng ger IT- och säkerhetsteam liten insikt i den specifika risk som varje sårbarhet utgör för en organisation.
Detta gör att säkerhetsteam försöker övertala IT och DevOps att åtgärda en stor mängd sårbarheter som i slutändan kanske inte minskar risken och slösar bort värdefulla cykler som skulle kunna ägnas åt mer strategiska och meningsfulla initiativ. Friktionen mellan säkerhets- och IT-team är något som organisationer med traditionella program för sårbarhetshantering känner till alltför väl.
Traditionella vs. riskbaserade program för hantering av sårbarheter
Ett modernare alternativ till traditionella metoder kallas riskbaserad hantering av sårbarheter, där datavetenskap, information om sårbarheter i realtid och automatisering genomsyras för att skapa ett prioriterat och effektivt tillvägagångssätt för att bättre isolera och förstå de risker som faktiskt utgör ett reellt hot mot en organisation. Företag som vill spara tid, skapa effektivare arbetsflöden för åtgärdande och sänka sin riskprofil har vänt sig till riskbaserad sårbarhetshantering.
Enligt ledande analytiker är framtiden för program för sårbarhetshantering riskbaserad. Under de senaste månaderna, då sårbarheter och hot fortsätter att öka och utvecklas, har Gartner insett behovet av sårbarhetsprioritering baserad på risk. ”Gartner har påpekat det kritiska behovet av att bedöma tillgångar för konfigurationsproblem och sårbarheter, och att kunna prioritera vad du gör med den bedömningen, baserat på risken för din organisation.”
I slutet av förra året konstaterade Forrester också att riskbaserad prioritering kommer att definiera framtidens moderna program för hantering av sårbarheter.
Vad är stegen för att bygga upp ett program för hantering av sårbarheter?
Organisationer som vill upprätta eller stärka sina program för hantering av sårbarheter bör börja med att följa dessa sex viktiga steg.
- Samla ihop ditt team. Börja lägga grunden för ditt program genom att identifiera alla nyckelaktörer som behövs. Organisationer har ofta en säkerhetschef eller chef som har till uppgift att hantera sårbarhetshantering och minst en analytiker som identifierar, spårar och bedömer sårbarheter i hela miljön. Din medlem i åtgärdsteamet, som ansvarar för att åtgärda sårbarheterna, kan spänna över flera avdelningar, t.ex. IT, DevOps och AppSec.
- Skaffa rätt verktyg. Vanliga verktyg för att hitta sårbarheter som används av säkerhetsteam gräver fram sårbarheter i miljön. När dessa sårbarheter väl är lokaliserade ger en konfigurationshanteringsdatabas detaljerad information om alla hård- och mjukvarutillgångar i en organisation. En lösning för hantering av sårbarheter gör dessa data begripliga och sorterar dem, vilket identifierar de främsta sårbarheterna som utgör den största risken för organisationen. Dessa matas sedan in i ett arbetsflöde för åtgärdande (vanligtvis med hjälp av ett biljettsystem) som delas med IT och DevOps.
- Korsreferera hotlandskapet med din miljö. Ta din förståelse för dina tillgångar och kända sårbarheter inom din organisation och korsreferera dem med din hotinformation. Detta hjälper dig att fastställa konsekvenserna av en potentiell exploatering – en annan viktig faktor för att fastställa risken. Verktyg som CVE-listor, CPE-information (common platform enumeration) och CWE-information (common weakness enumeration) är en början, men för att kunna göra effektiva korshänvisningar behövs breda, verkliga data som ett modernt program för hantering av sårbarheter kommer att innehålla.
- Känn till dina tillgångar, tillämpningar och din risktolerans. Att förstå dina nuvarande tillgångar och din organisations acceptabla risknivå är avgörande för en effektiv prioritering. För att utveckla en detaljerad inventering av tillgångarna kan du använda automatiserade verktyg för att hjälpa till med denna upptäcktsuppgift, som skannar din organisation för att identifiera tillgångar som servrar, arbetsstationer, virtuella maskiner, lagringsenheter och nätverksenheter. Din risktolerans kan bero på din bransch eller specifika företagsriktlinjer. Leta efter källor inom ditt företag som kan visa dig på riktlinjer för riskbedömning som rör andra aspekter av verksamheten. För specifika sårbarheter är det viktigt att förstå hur stor risk du kan acceptera och vilka kompromisser som följer med att antingen åtgärda nu eller vänta.
- Mät, utvärdera och prioritera dina sårbarheter. Det är i detta skede som ditt val av plattform för sårbarhetshantering blir avgörande. När du överväger rätt plattform för din organisation ska du leta efter en som integrerar verklig sårbarhetsinformation, datavetenskap, automatiserad riskanalys, anpassade riskmått och till och med riskbaserade SLA:er. De bästa moderna plattformarna kombinerar allt detta i en mätning – eller poäng – som är enkel, begriplig och repeterbar.
- Kommunicera, åtgärda och rapportera. Din lösning för hantering av sårbarheter bör hjälpa – inte hindra – din interna kommunikation mellan nyckelgrupper. Den ska också stödja din förmåga att åtgärda snabbt och effektivt samtidigt som alla hålls uppdaterade, och göra det enkelt och intuitivt att rapportera om dina framsteg. Se till att du letar efter en plattform som erbjuder integration med populära biljettsystem och möjlighet att utveckla mätvärden och anpassade instrumentpaneler så att nyckelintressenter har en konstant, lättförståelig insyn i företagets riskhanteringsframsteg. De flesta organisationer använder en blandning av tre vanliga åtgärdstaktiker, inklusive automatiserade patchar, verktyg för patchhantering och manuella uppdateringar.
Lär dig att implementera ett modernt, riskbaserat sårbarhetshanteringsprogram
Behovet för ett företag att upprätta ett modernt sårbarhetshanteringsprogram är tydligt. Att luta sig mot traditionella metoder för sårbarhetshantering gör att åtgärdsteam jagar sårbarheter som kanske inte minskar den totala risken och skapar ineffektivitet i arbetsflöden. Moderna program för hantering av sårbarheter gör det möjligt för organisationer att inta en proaktiv, datadriven hållning mot hot och effektiviserar den interna verksamheten för att spara tid och pengar, minska slöseri med arbete, förbättra samarbetet mellan olika team och få en meningsfull inverkan på sina riskprofiler.
För en djupgående titt på hur man implementerar ett program för riskbaserad sårbarhetshantering kan du ladda ner How to Implement Risk-Based Vulnerability Management Now (hur man implementerar riskbaserad sårbarhetshantering nu): A Practical Guide. Den här e-boken är fylld av praktiska tips och bästa praxis och beskriver vikten av ett modernt sårbarhetshanteringsprogram i dagens föränderliga hotlandskap och går i detalj igenom de sex viktiga stegen för att inrätta ett riskbaserat sårbarhetshanteringsprogram som beskrivs ovan.
Ladda ner e-boken idag och börja framtidssäkra ditt företag.