Översikt

Sårbarhetsscanning

Sårbarhetsscanningar är automatiserade verktyg som identifierar och klassificerar sårbarheter i datorer, nätverk och applikationer genom att matcha dem mot redan kända systembrister. Det kan till exempel röra sig om problem som saknade patchar och föråldrade protokoll, certifikat och tjänster. 

Det som oftast skiljer olika typer av sårbarhetsscanningar från varandra är i de allra flesta fall analysförfarandet. Många leverantörer använder sig av en klientbaserad modell där en klient samlar in information som sedan skickas till någon form av molnbaserad analysplattform för att sedan få analysresultat mm. i retur. 

Med Secure IT Appliance så kan vi antingen använda oss av en klientbaserad lösning eller en standalone lösning där hela analysprocessen sköts lokalt hos respektive kund och ingen information lämnar kundens nätverk.  

Det finns två nivåer av sårbarhetsscanning: autentiserad och oautentiserad. 

Autentiserade scanningar tillåts samma åtkomst som privilegierade användare. Det gör det möjligt för scannern att gräva djupare i ett nätverk och upptäcka hot inifrån, så som svaga lösenord, skadlig programvara, installerade program och konfigurationsproblem. Metoden kan simulera vad en systemanvändare har tillgång till och vilken skada denne potentiellt kan åstadkomma. Denna kan endast köras internt. 

Oautentisierade scanningar tilldelas ingen privilegierad åtkomst, utan söker istället igenom de system som är tillgängliga både internt och, i kombination med penetrationstest, från utsidan. Analysen utförs från ett separat system som inte har några medlemskap eller behörigheter i kundens nätverk. Metoden ger ett resultat med ett färre antal punkter men med högre relevans gällande sårbarheter i systemet eller miljön, och används främst av angripare eller säkerhetsanalytiker som utan förkunskap försöker hitta sårbara system och information alternativt externa vägar in. 

För att skapa och upprätthålla en hög säkerhetsnivå i sin nätverksmiljö är regelbunden sårbarhetssökning av känsliga nät nödvändig, gärna kvartalsvis eller oftare. Utöver det bör nya eller förändrade system och utrustning alltid scannas innan de tas i skarp drift. 

Sårbarhetsscanningarna bör utföras av externa leverantörer som kan vara certifierade/specialiserade inom olika områden, till exempel betalkortsindustrin (PCI) för att scanna betalkortsnätverk. Bland fördelarna med att använda externa leverantörer av sårbarhetsscanningar kan nämnas kravet på kunskap och specialisering samt oberoendet som medför en helt opartisk bedömning av potentiella risker och sårbarheter. 

Alla våra tester bygger på ett stort bibliotek av sårbarheter och vi använder oss av faktiska sårbarheter, som finns aktiva ute i omvärlden just nu, på ett kontrollerat sätt för att på säkrast möjliga vis kunna utvärdera olika skyddslösningar.

Våra säkerhetstester bygger på ett stort bibliotek med kommersiella sårbarheter som emulerar olika attackvektorer och scenarier på ett realistiskt sätt. Det finns också möjligheter att skräddarsy sårbarheter och attackvektorer för applikationer och tjänster som är egenutvecklade. 

Biblioteket innehåller sårbarheter som attackerar nätverksresurser som exempelvis: 

  • Applikationer: detta kan innefatta bland annat webbläsare, epostklienter, chatapplikationer, mediaspelare, affärsapplikationer, produktivitetsapplikationer och verktyg för utveckling mm.
  • Skyddslösningar: detta kan innefatta bland annat antivirus, anti-phishing, anti-malware, anti-spam samt system för intrångsdetektering och intrångsskydd 
  • Operativsystem och tjänster: detta kan innefatta bland annat Windows, Mac, Linux, OS400 med flera. 

Detta bibliotek är utvecklat av säkerhetsexperter över hela världen. Sårbarheterna testas och uppdateras dagligen så att det alltid går att testa och skydda sig mot de senaste sårbarheterna, även Zero-Day attacker. 

  • Analyserar kundens nätverk upp till en gång per dag (beroende på nätverkets storlek) 
  • Lösningen/analysen körs på plats i nätverket av en appliance (eller virtuellt) ”self-contained” utan någon behörighet till AD, servrar eller system mm. på appliance maskinen och utan behov av att någon klient/agent behöver installeras på de system som skall övervakas. 
  • Uppdateras med nya sårbarheter dagligen  
  • Lättlästa rapporter med åtgärdsförslag  
  • Tekniska delen av PCI DSS ingår  
  • Secure IT-Appliance levererar mätbara risker/sårbarheter. 
  • Kraftigt förenklad hantering! Inga komplicerade inställningar innan allt fungerar som det skall, utan bara att ta ut rapporter (TOP10) och börja jobba med åtgärder!  
  • En massiv databas över olika typer av risker och hot som dessutom kompletteras med kombinerade hot och sårbarheter som bygger på chained-exploits och proxy/pivoting attacker.  
  • Lösningen bygger på att appliance maskinen kör kartläggning, informationsinsamling, matchning mot hotdatabas, filtrering av false-positives och rapportgenerering helt internt utan att någon information lämnar kundens nätverk. 

Secure IT kan köras antingen manuellt eller schemalagt via en appliance eller en probe. Ingen behörighet via koppling till domän/AD skall finnas. Dessutom jobbar Secure IT helt klientlöst och skickar inte upp någon av kundens information för analys/bearbetning i molnet om man kör som appliance utan bara om man kör som probe.

En kortfattad genomgång kring flödet i ett typiskt usecase för Secure IT beskrivs nedan.

Vid körning mot kund med Secure IT så görs följande steg:

  • Kartläggning av den miljö som skall scannas vilket identifierar nya enheter
  • Informationsinsamling kring den identifierade miljön samt avstämning mot tidigare körningar
  • Hämtning av uppdaterad signaturdata samt scanningsprofiler för den identifierade miljön
  • Sårbarhetsanalys och insamling av information kring potentiella risker samt sårbarheter
  • Utfiltrering av false positives samt annan information som inte är relevanta för den aktuella miljön
  • Kontroll av förekomst eller risk för Chained-Exploits, Pivoting-Exploits samt Proxy-Exploits
  • Tester av kvarvarande potentiella risker samt sårbarheter som inte stör/påverkar miljön utförs
  • Matchning av kvarvarande potentiella risker samt sårbarheter mot realtidsdata för att göra korrekt gradering
  • Gradering av identifierade risker och sårbarheter samt generering av rapporter och säkerhetsindex

Jämför man med en liknande produkt från andra leverantörer så utför dessa INTE följande steg:

  • Kontroll av förekomst eller risk för Chained-Exploits, Pivoting-Exploits samt Proxy-Exploits
  • Tester av kvarvarande potentiella risker samt sårbarheter som inte stör/påverkar miljön utförs
  • Matchning av kvarvarande potentiella risker samt sårbarheter mot realtidsdata för att göra korrekt gradering

Dessutom så integreras produkter från andra leverantörer mot mindre databaser medan vi använder oss av ett mycket större bibliotek av tester samt marknadens erkänt bästa produkt för efterkontroll och validering av risker och sårbarheter!

Sårbarhetsscanning vs Penetrationstest

Rekommendationen är att köra både sårbarhetsscanningar och penetrationstest för att kunna säkerställa inte bara vilka risker och hot som finns mot system och information i kundens nätverk men även de olika attackvektorer som potentiellt skulle kunna utnyttjas.

Tabellen nedan beskriver kortfattat skillnaden mellan sårbarhetsscanningar och penetrationstest:

 SårbarhetsscanningPenetrationstest
FrekvensMinst kvartalsvis men gärna oftare samt vid betydande förändringar i nätverk och utrustning.En till två gånger om året samt vid betydande förändringar i nätverk och utrustning.
RapporterGer en omfattande bild av de sårbarheter som finns och vad som har förändrats sedan den senaste rapporten.Anger på ett detaljerat sätt vilken information som är i risk samt de säkerhetsåtgärder som bör vidtas.
FokusListar kända sårbarheter som kan utnyttjas. Har även tillgång till olika typer av hot av typen 0-day, chained-exploits, proxy/pivoting-exploits samt viss realtidsinformation för gradering.Identifierar både kända, okända och exploaterbara sårbarheter i specifika objekt och/eller affärs-processer.
GenomförandeBör utföras av oberoende externa leverantörer. Kräver expertis inom området.Bör utföras av oberoende externa leverantörer. Kräver hög expertis inom området.
VärdeProaktivitet! Detekterar alla de olika förutsättningar som kan medföra att säkerheten hos diverse information och utrustning kan äventyras.Identifierar och minskar risken för sårbarheter att ta sig in via externa attackvektorer.