Så många sårbarheter, så lite tid

Patchning är ingenting man blir färdig med, och för att göra det bra behöver man lära sig att prioritera. Vår data visar att de organisationer som har det mest välfungerande säkerhetsarbetet är de som har rutiner för att åtgärda de allvarligaste sårbarheterna först.

Författare: F-Secure Business Security Insider
Datum: 05.06.2017
Lästid: 3 Minuter

Det finns alldeles för mycket hajp kring nolldagarssårbarheter (zero days) idag. Webbsidan CVE Details, en allmänt erkänd auktoritet på det här området, visar en genomsnittlig sårbarhetspoäng på 6,8 för samtliga kända sårbarheter – över alla plattformar. Av de fler än 80 000 sårbarheter som finns i deras databas klassas 12 000 (nästan 15 procent) som mycket allvarliga. Man ska komma ihåg att dessa sårbarheter finns i många olika typer av mjukvara för såväl klienter som på serversidan (inklusive…drumroll…Adobe Flash).

Från ett företagsperspektiv så är det högsta prioritet att åtgärda dessa särskilt allvarliga sårbarheter. Och i väl fungerande organisationer hanteras de bra. De får mycket uppmärksamhet och patchas i regel så fort de upptäcks. Men sårbarheter är bara en del av ett företags totala attackyta. Din CISO känner antagligen mycket mer oro över nätfiske och attacker från partners och liknande än att enheter på det egna nätverket är felkonfigurerade – eller att interna system inte är patchade.

Som IT-ansvarig är infrastrukturen högsta prioritet. Det är klart att du kommer att göra en insats och lappa ihop det som behöver lappas ihop när det dyker upp en ny allvarlig sårbarhet. Men hur gör man med de andra? Att se till att alla mjukvaror på alla system – över hela nätverket – så fort en ny patch dyker upp är en fullständigt orealistisk målsättning. Det är därför många förlitar sig på periodiska patchcykler för att fånga upp och åtgärda de mindre allvarliga sårbarheterna. Om de ens bryr sig så mycket.

Att ta den tid som krävs för att första de implikationer som varje nyligen upptäckt sårbarhet kan medföra på det egna nätverket är att ställa för höga krav för de flesta systemadministratörer. Och i de flesta fall så är det heller inget de prioriterar. När de funderar över om ett system eller en mjukvara ska patchas så ställer man sig istället frågor som:

  • Hur utsatt är systemet?
  • Kommer den här patchen att sabba något annat?
  • Vet jag ens vad den här sårbarheten innebär?

När vi använder vår tjänst Radar, en plattform för att hantera sårbarheter och för att analysera sårbarhetsläget, bland våra kunder visar på just detta:

Vi ser knappt några sårbarheter alls med den högsta klassificeringen på CVE Details allvarlighetsskala. Majoriteten av de opatchade sårbarheterna vi hittade är klassas som låg eller medium. Bland dessa är det särskilt intressant att felaktigt konfigurerade TLS/SSL oh OpenSSH-lösningar är vanliga. Ha bara i åtanke att dessa felaktiga konfigurationer kan vara helt och hållet avsiktliga, inte sällan som en eftergift för att garantera att de kan prata med kunder, partners eller – i vissa fall – egna system och tjänster.

Vår egen Information Security Manager, en del av vår CISO-avdelning, tittade på grafen ovan och drog slutsatsen att om det här var en bild av hur det såg ut inom vår organisation så hade han absolut kunnat sova på nätterna.

Här är Andy Patel och Sean Sullivan från vår teknikavdelning med ytterligare information om det här:

Artikeln är en kortad och anpassad version av ett avsnitt i vår rapport The State of Cyber Security 2017. Läs mer om trender inom cybersäkerhet och flera intressanta djupdykningar genom att läsa hela rapporten. Fyll i dina uppgifter nedan för att ladda hem den.


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s