Haavoittuvuuksien hallinta – helppo tapa vähentää riskejä

Liikenne- ja viestintäviraston kyberturvallisuuskeskus julkaisi sinällään ansiokkaan kirjoituksen siitä, kuinka paljon aikaa kuluu haavoittuvuuksien löytämisestä niihin kohdistuviin hyökkäyksiin. Kirjoituksessa oli käsitelty aitoja tapauksia ja huomattiin, että vaikka aikaa päivityksiin on usein kuukausia, tuhansia järjestelmiä on silti päivittämättä kun laajamittaiset hyökkäykset alkavat.

Kirjoituksessa nostettiin esille kaksi toimintavaihtoehtoa: päivitystahdin kiristäminen pysymään kaikkien uusien päivitysten mukana tai riskien hyväksyminen. Tämän kirjoituksen tarkoitus on nostaa esille kolmas, helppo vaihtoehto: haavoittuvuuksien hallinta.

Yksinkertaisimmillaan haavoittuvuuksien hallinta tarkoittaa esimerkiksi haavoittuvuusskannerilla toteutettavaa prosessia, jossa toistuvasti etsitään haavoittuvuuksia, arvioidaan niiden riskit ja tämän riskiarvion perusteella haavoittuvuuksia poistetaan järjestelmiä päivittämällä tai muilla keinoin. Se auttaa parhaimmillaan selvittämään mm. seuraavia asioita:

  • Mitä laitteita ja järjestelmiä ympäristössämme on? Onko osa sellaisia joista emme tienneet?
  • Miten haavoittuvia ne ovat?
  • Minkä riskin eri haavoittuvuudet aiheuttavat? Miten niitä voidaan käyttää hyökkäyksessä?
  • Mitkä haavoittuvuudet vaativat päivityksiä ja mikä on näiden päivitysten prioriteettijärjestys?
  • Onko ympäristössä esimerkiksi avoimia portteja, käytetäänkö turvattomia verkkoprotokollia?
  • Onko verkkosivuilla haavoittuvuuksia? Voivatko ne uhata kävijöitä?

Yritysten ja muiden organisaatioiden tietoturvassa lähdetään usein liikkeelle perusasioista. Antiviruksen, palomuurien, verkkojen segmentoinnin ja muiden vastaavien asioiden kuntoon laittamisen jälkeen haavoittuvuuksien hallinta on helppo ja edullinen tapa vähentää systemaattisesti ja mitattavasti organisaation tietojärjestelmien riskiprofiilia. Yllä olevan listan mukainen riskien läpikäynti ja priorisoitu korjaaminen toistuvasti vähentää tietoturvan sokeita pisteitä. Näin voidaan välttää valinta todella tiheän kaikkien järjestelmien päivittämisen tai hitaasta päivittämisestä johtuvan riskien hyväksymisen välillä. Haavoittuvuuksien hallinta myös vähentää osaltaan painetta seurata ilmoituksia uusista haavoittuvuuksista – hyvä ohjelmisto osaa löytää ne lähes heti.

Toteutus

Haavoittuvuuksien hallinta toimii parhaiten säännöllisesti toistuvalla järjestelmien skannauksella. Kyberturvallisuuskeskuksen esimerkeissä esimerkiksi kuukausittainen tarkistussykli olisi riittänyt kaikkiin paitsi nollapäivähaavoittuvuuksiin. Kriittisempiä kohteita voidaan skannata vaikkapa viikottain, tai erikseen haluttuina hetkinä. Uuden nollapäivähaavoittuvuuden ilmestyessä verkon skannaus saattaa olla nopein tapa löytää haavoittuvat järjestelmät. Tulosten analysointi myös antaa vastauksen siihen, mitkä järjestelmät tulee päivittää ensin.

Haavoittuvuuksien hallinnan prosessissa on seuraavat vaiheet:

  1. Laitteiden ja järjestelmien löytäminen ja skannaus
  2. Tulosten analysointi, väärien hälytysten suodatus ja haavoittuvuuksien riskiarvio
  3. Riskiarvion mukaan priorisoitu haavoittuvuuksien korjaaminen
  4. Tulosten validointi
  5. Prosessin toistaminen

Edistynyt haavoittuvuuksien hallinta automatisoi erittäin paljon manuaalista työtä joka jäisi muuten IT- ja tietoturvaosaston harteille, ja antaa heille mahdollisuuden keskittyä olennaiseen eli haavoittuvien järjestelmien päivittämiseen. Haavoittuvuuksien hallinta myös täydentää muita ratkaisuja ja tietoturvan sokeita pisteitä. Mikäli perusasiat ovat jo kunnossa, on haavoittuvuuksien hallinta hyvä seuraava askel tietoturvan jatkuvaan, systemaattiseen parantamiseen ja riskiprofiilin pienentämiseen.

Kategoria Blogi