Hvordan får jeg succes med udbedring af sårbarheder?

at opdage sårbarheder er typisk sikkerhedsafdelingens ansvar.
at udbedre sårbarheder er typisk IT-driftsafdelingens ansvar.

Afdelingernes fokus:

Sikkerhedsafdelingens fokus er at minimere risiko.
IT-driftafdelingens fokus er at sikre oppetid.

Indbygget konflikt:

Når man ikke har et fælles fokus og mål, er der risiko for, at udbedring af kendte sårbarheder ikke bliver optimalt, og dermed en øget risiko for virksomheden.

Tid er Risiko.

Den tid der går, fra en sårbarhed bliver offentlig kendt til den udnyttes, bliver kortere og kortere. Så tid er en meget vigtig parameter.

Der er dog også mange sårbarheder, som aldrig forsøges udnyttet. Der bliver aldrig udviklet et såkaldt “exploit”, som en angriber kan udnytte.

Prioritering:

Det er essentielt, at sikkerheds afdelingen fokuserer på de sårbarheder der udnyttes NU, uanset producentens risiko vurdering.

En sårbarhed der udnyttes NU, er en langt større risiko, end en sårbarhed med høj risiko score, som IKKE ses udnyttet nu.

Eksempel: Du har tusinder af sårbarheder på hundredevis af enheder, men efter en prioritering, der kunne være baseret på:

Enhedens risko vurdering, er det chefens PC eller en printserver?
Enhedens placering, står den direkte på internettet eller?
Udnyttes sårbarhederne nu?

Bedre samarbejde.

Hvis man kun fokuserer og prioriterer sårbarheder ud fra risiko, vil man reducere virksomhedens risiko hurtigere, samtidig med at antallet af kritiske her og nu sårbarheder typisk reduceres. Og så vil IT-driftsafdeligen vide, at dem de udbedrer er baseret på en reel risiko for virksomheden.

—

Kontakt mig på tlf. 40253921 for at drøfte hvordan du kan blive bedre til udbedring af sårbarheder.

21. september 202326. oktober 2023

Er Automatisering nøglen til effektiv sårbarhedshåndtering?

Den anden tirsdag i måneden udkommer Microsoft med nye sikkerhedsopdateringer, “Patch Tuesday”, og ofte følger flere producenter som Oracle og Adobe efter.

Læs videre

7. december 20228. december 2022

Skal du bruge julen på endnu en Chrome Zero-Day opdatering?

Fredag d. 2 december kom Google med den 9’ende Google Chrome Zero-day sårbarhed i 2022, og igen annoncerede Google denne sårbarhed lige op til en weekend.

Læs videre “Skal du bruge julen på endnu en Chrome Zero-Day opdatering?”

26. november 20227. december 2022

Google Chrome Zero Day sårbarhed udnyttes

Google meldte torsdag ud, at der var fundet en sårbarhed i Google’s browser, som de bekræfter udnyttes af angribere nu.

Læs videre

24. november 20227. december 2022

Sårbarhedsscanning – kapitel 2 – CVSS

Hvad betyder forkortelsen CVSS?

Hvad er CVSS?
Versioner of CVSS calculators?
Hvordan definerer man alvorligheden af en sårbarhed?
Hvordan beregnes sårbarheds tallet?
Hvordan hjælper CVSS i forbindelse med sårbarhedsscanning?

Læs videre

10. juni 202210. juni 2022

STOP med altid at fokusere på nyeste sårbarheder.

Hvad gik hackerne efter i 2021?

Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?

Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.

The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.

De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.

Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA

Har du overblik over sårbarheder i realtid på dit netværk?

Kontakt mig på 4025 3932 eller [email protected], så vi kan tage en dialog om muligheder.

23. maj 202219. maj 2022

Hvordan prioriterer du sikkerheds opdateringer?

Sikkerheds opdaterer du altid prioritet 5?

Mange IT-afdelinger udvælger sikkerhedsopdateringer baseret på:

Producentens ratings: en 5’er er kritisk og en 3’er kan vente, -måske for altid.
Kunne være hvad medierne siger.

Problemet med denne prioritering er bare, at ingen af de ovennævnte kender lige netop dit setup og din valgte risiko profil.

Så hvis du altid fokuserer på 5’eren, så løber du en unødig stor risiko.

Hvorfor er det risikabelt at fokusere på 5’er sårbarheder?

Fordi en 5’er hos dig måske slet ikke er kritisk. Måske kan en angriber slet ikke udnytte den i dit miljø, og måske har du nogle foranstaltninger i dit netværk, der gør, at det ikke ville skade dig, hvis den blev udnyttet.

Producenter angiver en generel prioritet, ikke en prioritet baseret på lige dit setup og din risiko appetit.

En af de vigtigste ting at tage med i din prioritering er:

Hvor befinder enheden sig, internt eller direkte på internettet?
Hvilken rolle har enheden? Det kan være den indeholder den kritiske applikation, eller det blot er en print server.

En 3’er kan i dit miljø være en 5’er!

Hvis den enhed, der er sårbar, befinder sig direkte på internettet, så kan en 3’er jo godt være en kæmpe risiko for netop din virksomhed.

Derfor handler det ikke bare om at fokusere på en 5’er.

Men om at fokusere på DIN risiko.

Mere info

Hvis du vil høre mere om hvordan man kan få overblik over hvilke sårbarheder du bør fokusere på netop nu, så kontakt mig gerne for en dialog på enten [email protected] eller 4025 3921.

21. maj 202219. maj 2022

Center for Cybersikkerhed hæver trussel niveauet.

CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.

I rapporten står der:

Truslen fra cyberaktivisme mod Danmark er MIDDEL. CFCS hæver dermed trusselsniveauet fra LAV til MIDDEL på baggrund af aktivistiske cyberangreb udført i forbindelse med krigen i Ukraine.
Cyberaktivistiske angreb ramte i krigens indledende fase hovedsageligt mål i Rusland, Ukraine og Belarus, men har i de seneste uger også ramt mål i vesteuropæiske NATO-lande.
CFCS vurderer, at det er muligt, at særligt pro-russiske hackere vil gå efter mål i Danmark. Det er en ændring af trusselsbilledet sammenlignet med de seneste år, hvor CFCS har vurderet, at cyberaktivister ikke har udvist intention om at ramme danske mål.

Hvorfor Danmark

I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.

Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.

Hvad kan jeg gøre

Generelt er det jo de normale ting man bør fokusere på:

Sikre at du har sikkerheds opdateret dine enheder med relevante sikkerhedsopdateringer
Anvende 2-faktor på alle service
Informer brugere om at de skal være opmærksomme på links i email.

Mere info:

Du kan læse hele rapporten her

15. maj 20227. december 2022

Slut på Office 2013 – End of Life

Office 2013 har end of support d. 11 April 2023.

Hvad betyder det?

Det betyder at du ikke længere vil modtage sikkerheds opdateringer, hvilket betyder at hackerne begynder at fokusere endnu mere på sårbarheder i Office 2013.

Hvad bør jeg gøre?

Opgrader snarest til nyeste version af Office. Faktisk har man ikke kunnet forbinde sig til Microsoft 365 services siden 2020 med Office 2013.

18. februar 202218. februar 2022

Er Vulnerability Management kun om software opdateringer?

Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.

Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.

Kend dine enheder.

Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.

Hvad er det for hardware?
Hvilken software er installeret?
Hvilken version?

Er vi sårbare?

Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.

Er vores hjemmebrugere sårbare?

I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.

Flere værktøjer.

Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.

Findes der en løsning?

Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:

Sårbarhedsskanning ( Vulnerability Management)
Sikkerhedsopdatering (Patch Management)
Konfigurations ændringer (Del af Patch management)
Asset Management

Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!

Mere info

Så kontakt mig på 4025 3921 eller [email protected]

29. juli 20214. oktober 2021

CISA advarsel: Disse sårbarheder udnyttes oftest.

D. 28 juli 2021 offentliggjorde det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) en advarsel, der beskriver de 30 mest kendte sårbarheder, der rutinemæssigt er blevet udnyttet til angreb i 2020 og 2021. Organisationer rådes til at prioritere sikkerhedsopdatering af disse sårbarheder så hurtigt som muligt.

Læs videre

4. juni 20214. oktober 2021

Hvor hurtigt skal du sikkerheds opdatere?

Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.

Læs videre