Forfatter: |
Ifølge en ny benchmarkundersøgelse fra Cisco har 17 % af virksomheder i dag mindst 100.000 sikkerhedsadvarsler om dagen, og tendensen ser kun ud til at stige.
I 2022 blev der sat en ny rekord for nyopdagede sårbarheder – nemlig hele 25.226, hvilket slog det forrige års rekord på 20.137.
En kraftig stigning i applikationsudviklingen og det digitale footprint, har begge medvirket til det rekordhøje antal sårbarheder. Udover at dette viser, at virksomhederne er blevet mere udsatte, når det gælder cyberangreb, er det også tydeligt, at det enorme antal sårbarheder gør det sværere for virksomhederne at beskytte sig mod angreb. Denne udvikling har ligeledes medført udbrændthed blandt virksomhedernes sikkerhedsspecialister.
Lad os slå fast, at det at være ’sårbar’ ikke nødvendigvis betyder, at døren til virksomheden står piv åben. Faktisk er det kun 1 ud af 100 sårbarheder, der kan udnyttes i praksis. Men hvordan sætter sikkerhedsafdelingerne så ind mod de rette sårbarheder, og sikrer en prioriteret process i virksomheden der hvor det virkelig betyder noget? Svaret skal findes i en sårbarheds kontekst sammen med de kompenserende foranstaltninger, og de adgange, samt andre sårbarheder den pågældende sårbarhed kunne give adgang til.
I denne artikel beskriver jeg, hvordan sikkerhedsafdelingen kan identificere den reelle risiko, som virksomheden står over for – og hvordan man finder frem til de nøgle-sårbarheder der, hvis de blev udnyttet, kan give adgang til de mest kritiske dele af infrastrukturen.
Nedenfor kan du se de fire trin, der kortlægger din angrebsflade:
- Se det fra angriberens side
Den eneste metode til at gennemgå et hav af sårbarheder er at forsøge at udnytte dem. Det er lige præcis det, en angriber ville gøre, og kun på den måde vil man kunne forstå, hvor og hvordan et angreb på virksomhedens svageste punkt ville foregå. I it-afdelingen kan man bruge den viden til at handle fokuseret, målrettet og gennem forståelse af reelle risiko for virksomheden, løse de absolut kritiske først. Andre sårbarheder kan håndteres ved hjælp af fejlretning i den løbende patching process. Når vi tænker sikkerhedsstrategi bør dette ses fra angriberens vinkel, og bør virksomheder iværksætte et proaktivt sikkerhedsprogram, frem for for at reagere på sikkerhedshændelser, og forvente de indsatte kontroller kan beskytte dem. - Afdæk alle potentielle angreb
En angriber vil altid tage den letteste vej mod en virksomheds vigtige data. Det betyder, at angriberen vil bruge nemt tilgængelige teknikker og midler til at angribe og udnytte enhver sårbarhed, samt deres indbyrdes relationer til hinanden. Derfor bør virksomheder også anvendte valideringsmetoder svarende til angriberens metoder som rækker videre end statiske sårbarhedsscanninger eller angrebs-simulering for, at få hele risiko spektret med. Dette dækker bl.a. over automatiseret test af sikkerhedskontroller, angreb der tester sårbarheder og loginoplysninger, test af netværksudstyr, integritet og om der er mulighed for lateral bevægelse i netværket. - Altid automatisering
Moderne sikkerhedsvalidering er nødt til at være lige så dynamisk som den angrebsflade, den skal beskytte. Det er ikke længere nok at foretage periodiske og manuelle penetrationstests, da virksomhernes netværk konstant forandre sig. Sikkerhedsafdelingen bør altid have et overblik over sine aktiver og eksponeringer, og den eneste måde, man kan gøre det på, er ved at benytte automatiserede tests. Den voksende digitalisering med anvendelse af cloud-tjenester, hjemme-arbejdsplad kombineret med truslen for ransomware angreb og andre former for stigende trusler, er blot nogle enkelte eksempler på, hvor vigtigt det er for en sikkerhedsafdeling, at benytte kontinuerlig validering for at beskytte virksomheden. - Anvend MITRE ATT&CK og OWASP's top 10
Ved at anvende branchestandarderne kan man sikre, at ens validerings strategi altid dækker angribernes nyeste teknikker. Eftersom de fleste angreb lykkes ved at udnytte de mest almindelige taktikker, teknikker og procedurer (TTPs), vil man med fordel kunne benytte sig af disse standarder, for at validere sin angrebsflade. Derudover vil sikkerhedsafdelingen tydeligt kunne beskrive valideringen af sikkerhedsforanstaltningernes effektivitet samt virksomhedens parathed, over for potentielle trusler til sin ledelse.
Automatiseret sikkerhedsvalidering er fremtiden
Automatiseret validering er en avanceret, og alligevel utrolig simpel tilgang til at teste pålideligheden af alle sikkerhedslag i en virksomhed. Den kombinerer kontinuerlig test samt validering af alle sårbarheder og virksomhedens sikkerhedskontroller samt tydelig løsningsfokuseret dokumentation, hvilket giver den mest effektive lukning af sikkerhedshuller.
Metoden giver et reelt overblik over aktuelle sikkerhedshuller ved at emulere rigtige angreb, hvilket gør det muligt at sætte ind det rigtige sted i stedet for at forholde sig til tusindvis af sårbarheder.
Sikkerhedsafdelingen vil med sikkerhedsvalidering kende til det nøjagtige risiko niveau, og kan nemt arbejde sig hen imod et beredskab, der er klar til alle udfordringer.
Når man evaluerer løsninger til at imødekomme sikkerheds-validering, bør man tjekke, om følgende er opfyldt:
- Agentløs implementering for minimalt impact i netværket.
- Automatisering uden playbook begrænsninger giver en ensartet proces på tværs af infrastrukturen.
- Udfør sikkerheden i produktionsmiljøet med en “safe by design” teknologi for at efterligne angriberen, men uden at forstyrre driften.
- Validering af alle sikkerhedsforanstaltninger i forhold til alle de teknikker, angriberne anvender, i overensstemmelse med branchestandarderne.
- Tilsikre at der valideres mod sårbarheder i cloud-workloads, detektering af sidelæns bevægelse samt privilegeret rettigheder.
- Øjeblikkelig rapportering, der leverer en prioriteret liste over, hvilke sårbarheder der er de vigtigste at rette ud fra en dynamisk risiko analyse.
Spørgsmålet er nu, om du kender din organisations sande sikkerhedsrisiko på et givet tidspunkt? Ved du, hvor organisationens svageste led er, før en angriber udnytter dem til et angreb?
Hvis du er klar til at validere din virksomhed mod de seneste trusler, herunder ransomware og Log4Shell-sårbarheder, kan du bestille en gratis vurdering af, hvor parat du er til ransomware.
P.S. Deltager du i ComputerWorlds sikkerhedskonference i København den 22. august? Så besøg Penteras stand, hvor vores lokale team gerne vil fortælle mere om automatiseret sikkerhedsvalidering.