Vulnerability Management funktionen er den organisatoriske enhed, som er ansvarlig for vulnerability management. Det kan være et dedikeret team, en opgave der er integreret i security operations center (SOC), outsourced til en leverandør eller noget helt andet.
NorthX rammeværket definerer de detaljerede aktiviteter der skal varetages for at levere effektiv og kost-effektiv vulnerability management, og er inddelt i fem områder som alle har forskellige fokus og bidrager med forskellige elementer.
Nedenfor kan du læse mere om de fem områder.
Helt grundlæggende, så kan man ikke beskytte det, man ikke kender til.
Derfor er det fundamentalt for enhver disciplin i cybersikkerhed, at kende scope. I forhold til vulnerability management, betyder det at asset management (enhedshåndtering) er det første af de fem kerne-områder.
Formålet er at finde og spore samtlige enheder på netværket.
Det gøres ved at bygge et separat inventory til cybersikkerhed, som holdes omhyggeligt ved lige ved hjælp af et sæt processer, som validerer og integrerer data fra forskellige datakilder.
Konkret betyder det, at hvis ServiceNow CMDB er den officielle kilde til enhedsdata, så bruger vi den – men supplerer med data fra f.eks. Active Directory, SolarWinds, MDM, vCenter osv., til at vurdere hvor godt ServiceNow afspejler virkeligheden. Desuden opererer vi med processer der aktivt søger efter enheder vi ikke kender på forhånd.
Dette nye inventory vedligeholder detaljeret information om samtlige enheder på netværket, sporet gennem deres livscyklus og beriget med relevant kontekst.
Denne kontekst bruges til at klassificere enhederne efter deres risiko. De typer enheder der er mest sandsynlige mål i et cyberangreb skal kunne identificeres entydigt, og det gøres ved hjælp af konteksten.
Et andet vigtigt element er at vedligeholde data om hvem der er ansvarlig for en enhed – eller mere præcist, hvem der bærer risikoen. Det er nemlig den der bærer risikoen, som ultimativt skal vurdere om en given sårbarhed skal afhjælpes.
Også kendt som vulnerability scanning eller identifikation – det er her de specifikke sårbarheder identificeres og spores. Princippet er, at den ideelle scanning skal være både bred (dække samtlige enheder på netværket) og dyb (dække hele software stacken).
Valget af scanningsværktøjet er selvsagt vigtigt, og de fleste enterprise værktøjer performer nogenlunde jævnbyrdigt på identifikationen på f.eks. en Windows maskine. Men der er stor forskel på hvordan de enkelte værktøjer understøtter de andre elementer i processen – som f.eks. integration med asset management, parametre til prioritering osv.
Der er også stor forskel på hvor mange teknologier de forskellige scannere understøtter – som f.eks. diverse operativsystemer, containersystemer, OT-systemer osv.
Udover værktøjet, så er aktiviteterne i dette procesområde fokuseret på at sikre en ideel scanning – dvs. at alle enheder bliver scannet indenfor de opsatte parametre, at undtagelser kan håndteres og så videre.
Dette område omhandler evnen til at identificere høj-risiko sårbarheder, og minder om evnen til hurtigt at finde nålen i høstakken. Det er heldigvis en evne der kan udvikles.
Hvis den daglige patching fungerer som den skal, så vil de fleste organisationer have en dokumenteret mean time to mitigation (MTTM) der matcher risikoappetitten, og for ~99% af alle sårbarheder på 90% af enhederne, er der ikke nogen egentlig grund til at tildele en prioritet.
Vores data viser at en gennemsnitlig, moden organisation, patcher sårbarheder indenfor 58 dage på 99,5% af alle enheder.
Eller med andre ord – formålet med at prioritere er at finde de ca. 0,4% af identificerede sårbarheder, som ikke kan vente i 58 dage på at blive afhjulpet. Kunsten er systematisk og forudsigeligt at identificere disse, og et konsistent asset inventory med rig kontekst og gode sekundære sårbarhedsdata gør dette meget nemmere.
Aktiviteterne i dette felt har til formål at bygge og vedligeholde denne evne.
Vulnerability Management funktionen er sjældent ansvarlig for at afhjælpe sårbarheder, men de er ansvarlige for at relevante systemejere er klar over at de er sårbare, og spore sårbarhederne til de er afhjulpet.
At spore sårbarheder i Excel hører fortiden til, og er ikke noget som nogen vil savne. I stedet bør vulnerability management funktionen være integreret med det eksisterende ITSM-værktøj, sædvanligvis ServiceNow, så de eksisterende processer kan genbruges til også at afhjælpe sårbarheder.
Aktiviteterne i dette felt omhandler den mest effektive måde at formidle sårbarheder til de rette, spore at sårbarhederne bliver enten accepteret eller afhjulpet, samt at vurdere den samlede mængde åbne sårbarheder.
En effektiv vulnerability management funktion genererer store mængder data, som er relevante for mange andre cybersikkerhedsfunktioner – eller for teams uden for sikkerhed. Formålet med dette område er at strukturere disse data, og gøre dem anvendelse for alle der kan have gavn af dem –men selvfølgelig kun for dem der har adgang.
Der er flere målgrupper for disse data:
Rammeværket indeholder præ-definerede pakker til hver målgruppe, og kan integreres med eksisterende rapporteringsfunktioner som f.eks. Tableau.