Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Problemet dukker op igen og igen: Direkte adspurgt er det kun de færreste virksomheder, der kan bekræfte, at de har styr på alle assets i deres netværk.
Nogle har måske en Configuration Management-database (CMDB) eller et manuelt regnark, der skal holdes opdateret af de respektive systemejere – men det sker sjældent. Som i: Nærmest aldrig.
Hvorfor er det så vigtigt at have et 100 procent opdateret inventory?
Svaret er enkelt: Fordi du ikke kan beskytte, hvad du ikke ved, du har.
Du kan ikke opdatere og patche alle assets uden fuldt overblik.
Tag et fænomen som ransomware: Her bruger hackerne næsten udelukkende kendte sårbarheder til at trænge ind i systemer og netværk.
Så hvis man opdaterer og patcher alle assets med rettidig omhu, falder risikoen for ransomware-angreb til tæt på nul.
Det kan man dog kun gøre ud fra et fuldt opdateret inventory – som hovedparten af de danske virksomheder ikke har.
Hvad så med IoT, OT & ICS-systemer?
Når man udfører sårbarhedsskanninger, bliver nye assets automatisk inkluderet, men kun i de netværkssegmenter, der skannes.
Det er ikke godt nok, for ofte findes der også mange assets, som aldrig får en IP-adresse eller befinder sig i adskilte netværk.
Det kan for eksempel være produktionsnetværk med OT, som ikke sårbarhedsskannes af frygt for nedbrud.
For at få disse assets med i et fuldt inventory og en fyldestgørende CMDB, skal der andre metoder til. For eksempel analyse af dataflow som opfanger alle enheder i netværket og lister alle sårbarheder for hvert asset.
Det er forholdsvist enkelt at håndtere. Med de rette procedurer og værktøjer er det inden for alle virksomheders rækkevidde at opretholde et fuldt og konstant opdateret inventory.
Derfor undrer det mig også, at mange virksomheder – trods manglende inventory – er mere interesserede i at bruge ressourcer på detection, respons og andre mere avancerede cybersecurity-løsninger.
Denne blinde vinkel er en af hovedårsagerne til, at de alligevel forbliver sårbare over for ransomware og anden cyberkriminalitet.
Få styr på de grundlæggende sikkerhedskontroller FØRST
Det giver rigtig god mening at afsætte de nødvendige ressourcer til at opbygge og vedligeholde et komplet inventory, som styrer al opdatering og patching.
Den holdning deler jeg med amerikanske non-profit Center for Internet Security (CIS), som er globalt anerkendt for deres "CIS Controls".
CIS Controls er i korte træk et prioriteret sæt af handlinger og ”Best Practice”-kontroller, der er udviklet af et globalt it-fællesskab. CIS Controls består af 18 kritiske sikkerhedskontroller, hvoraf de første syv er:
#1: Inventory & Control of Enterprise Assets
#2: Inventory & Control of Software Assets
#3: Data Protection
#4: Secure Configuration of Enterprise Assets & Software
#5: Account Management
#6: Access Control Management
#7: Continuous Vulnerability Management
Formålet med CIS Controls er at skabe god "sikkerhedshygiejne" og et stærkt fundament for alle andre sikkerhedstiltag.
Her er det værd at bide mærke i, at de to første grundregler direkte handler om inventory, og som nummer syv på listen kommer sårbarhedsscanning.
Mit råd er: Få et fuldt og konstant opdateret inventory på plads, så jeres opdatering og patching til enhver tid når ud i selv de fjerneste hjørner.
Beskriv og opdatér løbende de nødvendige procedurer, så de hele tiden afspejler alle forretningsprocesser og netværksændringer.
På den måde opnår I et stærkt grundlag for jeres øvrige cyberforsvar og smækker et væld af oversete døre i hovedet på de cyberkriminelle.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.