Hvad er sårbarhedsvurdering? {Vulnerability Testing Guide}

Cyberkriminelle målretter ofte virksomheder gennem sårbarheder, som sikkerhedspersonalet ikke formåede at opdage og rette til tiden. Selvom de typisk er små og lette at overse, tilbyder disse svagheder en bagdør, der gør det muligt for en hacker at glide ind ubemærket og forårsage et dyrt brud.

Denne artikel er en introduktion til sårbarhedsvurderinger, en af de mest effektive og overkommelige teknikker til at opdage systemfejl. Læs videre for at lære, hvordan en sårbarhedsvurdering hjælper med at opdage systemfejl, evaluere risici og forbedre den overordnede cybersikkerhed.

Hvad er en sårbarhedsvurdering?

En sårbarhedsvurdering er en systematisk gennemgang af et it-system, der opdager, klassificerer og prioriterer sikkerhedsfejl. Denne type analyse har tre mål:

  • Evaluer systemet for udnyttelige fejl.
  • Tildel et risikoniveau til hver sårbarhed.
  • Anbefal handlinger for at forhindre hackere i at udnytte svaghederne.

Andre almindelige navne for en sårbarhedsvurdering er sårbarhedsanalyse og sårbarhedstest.

Denne tests primære mål er at opdage udnyttelige fejl og svage punkter, før hackere bryder systemet. Som sådan betragtes det som en kernekomponent i et jernbeklædt informationssikkerhedsrisikostyringssystem. De fleste fejl er fejl i kode, fejl i softwarearkitektur og fejl i sikkerhedsprocedurer. Eksempler på almindelige sårbarheder er:

  • System fejlkonfigurationer.
  • En databasesvaghed, der tillader SQL-injektioner.
  • Mangel på omhyggelig personaleadfærd.
  • Fejl ved manglende overholdelse af politik.
  • Ukrypterede data bevæger sig gennem netværk.
  • En fejl i software eller programmeringsgrænseflader.
  • Et ondsindet bagdørsprogram, der giver hackere mulighed for at administrere et APT-angreb eller konfigurere ransomware.
  • Automatisk udførelse af scripts uden virus- og malware-tjek.
  • En fejl i kontoprivilegier.
  • En udnyttelig godkendelsesmekanisme.
  • Ikke-patchede operativsystemer og applikationer.
  • Svage adgangskoder.
  • Zero-day bedrifter.

Både virksomheder og SMB'er kan drage fordel af en sårbarhedstest. Virksomheder udfører typisk vurderinger på årsbasis, eller når teamet foretager en væsentlig ændring, såsom:

  • Tilføjelse af nye tjenester.
  • Åbning af nye havne.
  • Installation af nyt udstyr.
  • Åbning af et kontor på et nyt sted.
  • Flytter til skyen.

En virksomhed, der ønsker at organisere en sårbarhedstest, har to muligheder: få det interne personale til at køre testen eller hyre en tredjepart til at evaluere systemet. Selvom det er det billigere valg at gå med det interne team, kommer de bedste resultater fra testere, der ikke er fortrolige med emnesystemet og dets protokoller.

Sørg for, at din virksomhed følger bedste praksis for cybersikkerhed for at minimere angrebsoverfladen og beskytte følsomme data.

Typer af sårbarhedsvurderinger

Virksomheder er afhængige af forskellige typer sårbarhedstests for at opdage systemfejl. Afhængigt af området for den infrastruktur, der gennemgås, er der tre typer test:

  • Eksterne scanninger: Inspektion af komponenter, der vender direkte mod internettet og er tilgængelige for eksterne brugere (porte, netværk, websites, apps osv.).
  • Interne scanninger: Undersøgelse af interne netværk og systemer, som kun er tilgængelige for medarbejdere.
  • Miljøscanninger: Disse test fokuserer på specifikke operationelle teknologier, såsom cloud-implementeringer, IoT eller mobile enheder.

Nedenfor er de fire mest almindelige typer af sårbarhedsvurderinger.

Netværksvurderinger

Netværksvurderingsscanninger identificerer mulige trusler mod netværkssikkerheden. Testere inspicerer hubs, switches, routere, klynger og servere for at sikre, at netværkstilgængelige ressourcer er sikre mod ondsindede aktører.

En netværkstest er den mest almindelige form for sårbarhedsscanning. Denne scanning sikrer sikkerheden af netværk, kommunikationskanaler og alt netværksudstyr.

En netværksvurdering opdager også sårbarheder i trådløse netværk. Disse scanninger fokuserer typisk på potentielle angrebspunkter, konfigurationsfejl og dårlige firewall-opsætninger.

Lær om de forskellige typer firewalls, et væsentligt aspekt af enhver netværkssikkerhedsstrategi.

Værtsvurdering

Denne analyse lokaliserer og klassificerer sårbarheder i arbejdsstationer, bærbare computere og andre værter. Værtsscanninger undersøger:

  • Værtskonfigurationer.
  • Brugermapper.
  • Filsystemer.
  • Hukommelsesindstillinger.

En værtsvurdering sikrer, at en fejlkonfiguration inden for et slutpunkt ikke tillader en angriber at passere perimeteren og bryde systemet.

Applikationsscanninger

Applikationsscanninger registrerer softwarefejl og forkerte konfigurationer af webapps og deres kildekode. Der er to almindelige former for ansøgningsscanninger:

  • Dynamic Application Security Testing (DAST): Denne testteknik udfører en applikation og registrerer defekter i realtid.
  • Static Application Security Testing (SAST): Denne analyse identificerer app-fejl uden at køre programmet.

De to metoder tester applikationer forskelligt og er mere effektive i forskellige faser af softwareudviklingens livscyklus (SDLC). For eksempel opdager SAST fejl såsom cross-site scripting (XSS) tidligere i SDLC, mens DAST er mere nyttigt, når en applikation går i produktion.

Database scanninger

Databasescanninger identificerer potentielle udnyttelser i en database. Disse tests opdager fejlkonfigurationer, useriøse databaser og usikre udviklings- og testmiljøer. Databasescanninger er afgørende for at forhindre SQL-injektioner.

Hvordan udfører man en sårbarhedsvurdering?

En typisk sårbarhedstest består af fem trin, hvor teamet inspicerer systemet, vurderer risici og foreslår forbedringer.

Trin 1: Indledende forberedelse

Dette trin er planlægningsfasen. Holdet bestemmer omfanget og målet for den kommende test. Når planen er klar, undersøger testerne hardwaren og softwaren i testmiljøet. Teamet udfører følgende opgaver:

  • Identificer alle emneaktiver og kritiske enheder.
  • Definer værdien, adgangskontrollerne og mulighederne for alle fagsystemer.
  • Fastlæg, hvor følsomme data befinder sig, og hvordan data flytter mellem systemer.
  • Optag alle tjenester, processer og åbne porte på emnet enheder.
  • Kortlæg alle endepunkter.
  • Undersøg operativsystemer (OS).
  • Lær risikobegrænsende praksis og politikker for hvert miljø at kende.

Oplysningerne fra dette trin hjælper teamet med både at komme med angrebsscenarier og skabe en sund afhjælpningsstrategi. Testteamet laver ofte et centralt dokument for at strukturere processen under dette trin.

Trin 2: Sårbarhedsvurderingstest

Holdet begynder at køre scanninger på emnets enheder og miljøer. Analytikere bruger både automatiserede og manuelle værktøjer til at teste systemernes sikkerhedstilstand. Hold er også afhængige af følgende aktiver for nøjagtig fejlidentifikation:

  • Sårbarhedsdatabaser.
  • Meddelelser om leverandørers sårbarhed.
  • Asset management systemer.
  • Trusselsintelligens.
  • Netsikkerhedsrevisioner.
>

Testere skal identificere årsagen til hver sårbarhed, de opdager. Fastlæggelse af fejlens rodårsag giver testere mulighed for at forstå sårbarhedens omfang og den bedste metode til at løse problemet.

Afhængigt af målsystemets størrelse og typen af scanning kan en enkelt test tage alt mellem et minut og et par timer.

Trin 3: Prioriter systemfejl

Teamet prioriterer defekter i henhold til trusselsniveauet. De fleste testere bestemmer risikoen ved at tildele en alvorlighedsscore. Nogle faktorer, der påvirker scoren, er:

  • Konsekvenserne af et potentielt angreb.
  • Hvor let er det at udnytte svagheden.
  • Problemets alder.
  • Om fejlen er et almindeligt problem eller en sjældenhed.
  • Rummet til sidebevægelse.
  • Forretningsfunktionerne og følsomme data er i fare.
  • Patch tilgængelighed.
  • Om fejlen er et spørgsmål om offentlig viden.

Teamet skal også sørge for at filtrere falske positiver fra under dette trin. En falsk positiv opstår, når et scanningsværktøj fejlagtigt markerer en sikkerhedsfejl, hvilket fører til unødvendigt udbedringsarbejde.

Trin 4: Opret en sårbarhedsvurderingsrapport

Testere udarbejder en analyserapport, der skitserer de afdækkede fejl og instruerer i, hvordan man løser problemerne. Selvom mindre problemer ikke kræver en dybdegående forklaring, bør en tester give følgende oplysninger for hver mellem- til høj risiko svaghed:

  • Navnet på sårbarheden.
  • Datoen for opdagelsen.
  • Metoden, hvormed holdet opdagede truslen.
  • En detaljeret beskrivelse af fejlen.
  • Detaljer vedrørende de berørte systemer.
  • Den potentielle skade, en angriber kan forårsage ved at udnytte defekten.
  • Vejledning i, hvordan sårbarheden rettes.

Kvantificering af truslen giver en klar fornemmelse af, hvor meget det haster bag hver fejl. Hvis det er muligt, skal teamet også levere et proof of concept (PoC) for hver væsentlig sårbarhed.

Trin 5: Implementer ændringer i henhold til rapporten

Virksomheden bruger oplysningerne fra rapporten til at lukke sikkerhedshullerne i it-systemer. Implementeringen af ændringer er typisk en fælles indsats mellem sikkerhedspersonale, udviklings- og driftsteams.

Risikorangeringen gør det muligt for virksomheden at prioritere afhjælpningsprocessen og håndtere akutte trusler først. Det er også almindeligt at ignorere lavrisikofejl, da nogle trusler har så lille indvirkning, at det ikke er prisen værd eller den nødvendige nedetid værd at rette dem.

De mest almindelige afhjælpende handlinger er:

  • Indførelse af nye procedurer og foranstaltninger.
  • Installation af nye sikkerhedsværktøjer.
  • Softwareopdateringer.
  • Brugerdefinerede patches.
  • Tilføjelse af nul-tillidssikkerhed.
  • Drifts- og konfigurationsændringer.
  • Netværkssegmentering.
  • Firewall-opdateringer.
  • Forbedringer af cyberdræbningskæden.

Afhængigt af arrangementet kan det hyrede team, der kørte sårbarhedstesten, deltage i dette trin.

Hvis teamet foretager væsentlige ændringer i systemet, er en efterfølgende test meget tilrådeligt. Hvis teamet kun tilføjer mindre opdateringer, kan den næste regelmæssige testrunde evaluere det forbedrede systems helbred.

Værktøjer til vurdering af sårbarhed

En sårbarhedsvurdering involverer brug af både automatiserede og manuelle testteknikker. Almindelige typer værktøjer omfatter:

  • Webapplikationsscannere, der simulerer forskellige angrebsmønstre for at teste cyberforsvaret.
  • Protokolscannere, der søger efter usikre processer, porte og tjenester.
  • Netværksscannere, der opdager fejl såsom vildfarne IP-adresser, mistænkelig pakkegenerering og forfalskede pakker.

Læs vores artikel om værktøjer til sårbarhedsvurdering for at få en dybdegående forklaring af, hvad de professionelle bruger til at inspicere et system.

Hvorfor er sårbarhedsvurdering vigtig?

Sårbarhedsscanninger giver en virksomhed mulighed for at sikre en konsistent og omfattende strategi til at identificere og løse cybertrusler. Grundige og regelmæssige sikkerhedstjek giver betydelige fordele for en virksomhed, herunder:

  • Tidlig opdagelse af IT-svagheder.
  • Beskyttelse af følsomme data og aktiver.
  • Sikret overholdelse af regler såsom HIPPA, PCI og GDPR.
  • Forebyggelse af uautoriseret adgang.
  • Nøjagtig forretningsplanlægning, der tillader omhyggelige sikkerhedsinvesteringer.

Vurderinger reducerer sandsynligheden for vellykkede databrud og er afgørende for at beskytte mod alle større typer af cyberangreb.

Sårbarhedsvurderinger vs. penetrationstest

Både sårbarhedsanalyse og penetrationstest opdager svagheder i et it-system og forbedrer det overordnede sikkerhedsniveau. En penetrationstest inkluderer typisk også en sårbarhedsscanning som standard.

Der er dog forskel på de to testprocesser. Mens en sårbarhedsscanning forsøger at opdage og afhjælpe systemfejl, involverer en pentest faktiske forsøg på at udnytte svagheder. Pen-testere (eller etiske hackere) forsøger aktivt at bryde ind i et system ved at simulere et rigtigt cyberangreb i kontrollerede omgivelser. Målet er at bevise, at:

  • Et system har et udnytteligt svagt punkt.
  • En angriber kan bruge sårbarheden til at beskadige systemet.

Sårbarhedsscanninger kan også omfatte små pentests. Analytikere bruger penetrationstestværktøjer til at opdage specifikke fejl, der er usynlige for standard netværks- eller systemscanninger.

Både sårbarhedsvurdering og penetrationstest spiller en nøglerolle i den fjerde fase af en informationssikkerhedsrisikostyringstilgang kaldet Continuous Threat Exposure Management. Find ud af, hvad Continuous Threat Exposure Management (CTEM) er, og hvordan det virker.

Sårbarhedsvurdering vs risikovurdering?

En sårbarhedsvurdering opdager, kvantificerer og prioriterer svagheder i et it-miljø. I modsætning hertil vurderer en risikovurdering sandsynligheden for, at visse fejl og trusselsaktører vil føre til eksponering eller tab af data.

En sårbarhedsscanning har et større omfang end en risikovurdering. En komplet analyse vurderer ikke kun sandsynligheden for et brud, men behandler også potentielle konsekvenser og strategier for at undgå fremtidige hændelser.

Opret en sund responsplan for cybersikkerhedshændelser for at sikre, at din virksomhed er klar til brudforsøg.

Sørg for høj System Relasticitet

Sårbarhedstest er en væsentlig del af enhver bundsolid it-sikkerhedsstrategi. Planlæg regelmæssige scanninger af alle kritiske systemer for at minimere risikoen for dyre brud og sikre uafbrudt forretningsvækst.

Overvej også at migrere følsomme arbejdsbelastninger til den mest sikre Cloud-platform for at få ro i sindet. Data Security Cloud er en multi-tenant, sikker hostet cloud-infrastrukturplatform bygget i samarbejde med Intel® og VMware®.