Er Automatisering nøglen til effektiv sårbarhedshåndtering?

Den anden tirsdag i måneden udkommer Microsoft med nye sikkerhedsopdateringer, “Patch Tuesday”, og ofte følger flere producenter som Oracle og Adobe efter.

Hackeren bruger sårbarhederne til at angribe dig.
Reducer risikoen ved hurtig opdatering.

Automatisering (Windows):

Windows klienter konfigureres til automatisk opdatering, hvilket jeg mener er en god politik. De få gange hvor en opdatering skaber problemer, vil oftets opveje risikoen. Du kan overveje at oprette mindre grupper, som opdateres med dages mellemrum, og så langsomt udvides.

Server opdateringer håndteres mere manuelt, efter man har dannet sig et overblik over konsekvensen ved sikkerheds opdateringen.

Automatisering (alt det andet):

Men hvad med de andre opdateringer fra Oracle, Google, Adobe, måske du har Mac eller Linux .. som også skal opdateres. Ja hvad med Microsoft opdateringer på Mac?

Hvad med opdateringer i skyen, Google Cloud, AWS og Azure.

Blev alt opdateret?

Du skal sikre dig, at de enheder der er sat til opdatering, opdateres… allesammen.. og hvis ikke, så hvorfor?
Du skal sikre dig, at de andre producenters sikkerheds opdateringer, Oracle og Adobe med flere også udrulles.
Du skal sikre dig, at alle servere, også dem i skyen er opdateret, inkl. Google Cloud og AWS.
Du skal sikre dig, at Mac og Linux enheder opdateres

Automatisering er løsningen!

Alt som giver mening at automatisere, skal automatiseres, så tiden kan bruges på de servere som skal “håndbæres” gennem sikkerhedsopdateringen. I mellemtiden opdateres de andre enheder, så din virksomhed ikke er åben for angreb, helt uden at du skal gøre noget 😃

Jeg har automatiseret!

Er du nysgerrig hvordan du kunne automatisere og optimere, så kontakt mig på 40253921 eller ole@schmitto.dk

Eksempel på Patch Tuesday automatisering med Qualys Patch management for Windows, Linux og Mac.

Generelt skal en administrator holde øje med de patches, som Microsoft frigiver på hver Patch Tuesday, og manuelt vælge disse patches, der skal installeres på enheder.

Du kan oprette et job baseret på Qualys Query Language (QQL) og planlægge et tilbagevendende job hver anden torsdag i måneden.

For at automatisere patch Tuesday patchinstallation, skal du oprette et Patch job med følgende parametre:

appFamily:windows

Opret nedenstående automatiserings job

Nu vil de valgte enheder helt automatisk blive opdateret og genstartet. 😃

7. december 20228. december 2022

Skal du bruge julen på endnu en Chrome Zero-Day opdatering?

Fredag d. 2 december kom Google med den 9’ende Google Chrome Zero-day sårbarhed i 2022, og igen annoncerede Google denne sårbarhed lige op til en weekend.

Læs videre “Skal du bruge julen på endnu en Chrome Zero-Day opdatering?”

26. november 20227. december 2022

Google Chrome Zero Day sårbarhed udnyttes

Google meldte torsdag ud, at der var fundet en sårbarhed i Google’s browser, som de bekræfter udnyttes af angribere nu.

Læs videre

24. november 20227. december 2022

Sårbarhedsscanning – kapitel 2 – CVSS

Hvad betyder forkortelsen CVSS?

Hvad er CVSS?
Versioner of CVSS calculators?
Hvordan definerer man alvorligheden af en sårbarhed?
Hvordan beregnes sårbarheds tallet?
Hvordan hjælper CVSS i forbindelse med sårbarhedsscanning?

Læs videre

10. juni 202210. juni 2022

STOP med altid at fokusere på nyeste sårbarheder.

Hvad gik hackerne efter i 2021?

Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?

Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.

The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.

De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.

Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA

Har du overblik over sårbarheder i realtid på dit netværk?

Kontakt mig på 4025 3932 eller ole@schmitto.dk, så vi kan tage en dialog om muligheder.

23. maj 202219. maj 2022

Hvordan prioriterer du sikkerheds opdateringer?

Sikkerheds opdaterer du altid prioritet 5?

Mange IT-afdelinger udvælger sikkerhedsopdateringer baseret på:

Producentens ratings: en 5’er er kritisk og en 3’er kan vente, -måske for altid.
Kunne være hvad medierne siger.

Problemet med denne prioritering er bare, at ingen af de ovennævnte kender lige netop dit setup og din valgte risiko profil.

Så hvis du altid fokuserer på 5’eren, så løber du en unødig stor risiko.

Hvorfor er det risikabelt at fokusere på 5’er sårbarheder?

Fordi en 5’er hos dig måske slet ikke er kritisk. Måske kan en angriber slet ikke udnytte den i dit miljø, og måske har du nogle foranstaltninger i dit netværk, der gør, at det ikke ville skade dig, hvis den blev udnyttet.

Producenter angiver en generel prioritet, ikke en prioritet baseret på lige dit setup og din risiko appetit.

En af de vigtigste ting at tage med i din prioritering er:

Hvor befinder enheden sig, internt eller direkte på internettet?
Hvilken rolle har enheden? Det kan være den indeholder den kritiske applikation, eller det blot er en print server.

En 3’er kan i dit miljø være en 5’er!

Hvis den enhed, der er sårbar, befinder sig direkte på internettet, så kan en 3’er jo godt være en kæmpe risiko for netop din virksomhed.

Derfor handler det ikke bare om at fokusere på en 5’er.

Men om at fokusere på DIN risiko.

Mere info

Hvis du vil høre mere om hvordan man kan få overblik over hvilke sårbarheder du bør fokusere på netop nu, så kontakt mig gerne for en dialog på enten ole@schmitto.dk eller 4025 3921.

21. maj 202219. maj 2022

Center for Cybersikkerhed hæver trussel niveauet.

CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.

I rapporten står der:

Truslen fra cyberaktivisme mod Danmark er MIDDEL. CFCS hæver dermed trusselsniveauet fra LAV til MIDDEL på baggrund af aktivistiske cyberangreb udført i forbindelse med krigen i Ukraine.
Cyberaktivistiske angreb ramte i krigens indledende fase hovedsageligt mål i Rusland, Ukraine og Belarus, men har i de seneste uger også ramt mål i vesteuropæiske NATO-lande.
CFCS vurderer, at det er muligt, at særligt pro-russiske hackere vil gå efter mål i Danmark. Det er en ændring af trusselsbilledet sammenlignet med de seneste år, hvor CFCS har vurderet, at cyberaktivister ikke har udvist intention om at ramme danske mål.

Hvorfor Danmark

I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.

Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.

Hvad kan jeg gøre

Generelt er det jo de normale ting man bør fokusere på:

Sikre at du har sikkerheds opdateret dine enheder med relevante sikkerhedsopdateringer
Anvende 2-faktor på alle service
Informer brugere om at de skal være opmærksomme på links i email.

Mere info:

Du kan læse hele rapporten her

15. maj 20227. december 2022

Slut på Office 2013 – End of Life

Office 2013 har end of support d. 11 April 2023.

Hvad betyder det?

Det betyder at du ikke længere vil modtage sikkerheds opdateringer, hvilket betyder at hackerne begynder at fokusere endnu mere på sårbarheder i Office 2013.

Hvad bør jeg gøre?

Opgrader snarest til nyeste version af Office. Faktisk har man ikke kunnet forbinde sig til Microsoft 365 services siden 2020 med Office 2013.

18. februar 202218. februar 2022

Er Vulnerability Management kun om software opdateringer?

Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.

Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.

Kend dine enheder.

Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.

Hvad er det for hardware?
Hvilken software er installeret?
Hvilken version?

Er vi sårbare?

Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.

Er vores hjemmebrugere sårbare?

I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.

Flere værktøjer.

Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.

Findes der en løsning?

Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:

Sårbarhedsskanning ( Vulnerability Management)
Sikkerhedsopdatering (Patch Management)
Konfigurations ændringer (Del af Patch management)
Asset Management

Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!

Mere info

Så kontakt mig på 4025 3921 eller ole@schmitto.com

29. juli 20214. oktober 2021

CISA advarsel: Disse sårbarheder udnyttes oftest.

D. 28 juli 2021 offentliggjorde det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) en advarsel, der beskriver de 30 mest kendte sårbarheder, der rutinemæssigt er blevet udnyttet til angreb i 2020 og 2021. Organisationer rådes til at prioritere sikkerhedsopdatering af disse sårbarheder så hurtigt som muligt.

Læs videre

4. juni 20214. oktober 2021

Hvor hurtigt skal du sikkerheds opdatere?

Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.

Læs videre