Haavoittuvuustestaus on tietoturvan työkalupakin välttämättömyys

Haavoittuvuustestausta voisi verrata monipuoliseen ja kätevään perustyökaluun, joka on työkalupakista hyvä löytyä. Elämme maailmassa, jossa vain muutos on pysyvää. Haavoittuvuuksia on ja tulee olemaan aina niin verkon laitteissa kuin erilaisissa palveluissakin. Käytettävien järjestelmien ja ohjelmistojen määrät ovat kasvaneet, ja sitä kautta IT-ympäristöt ovat mutkistuneet. Haavoittuvuustestaus tarjoaakin oleellisen ja tärkeän lisän tilannekuvan hahmottamiseen.

Haavoittuvuustestauksessa eli niin sanotussa skannauksessa keskitytään etsimään haavoittuvuuksia automaattisesti ja jatkuvasti. Etsinnän tuloksina löydetään kohdeverkosta laitteiden ja palveluiden vanhat ohjelmistoversiot, näppihäiriöt eli väärät määrittelyt ja vaikkapa heikot tai oletuksena asetetut salasanat.

Haavoittuvuusskannauksen avulla voidaan myös verkkoa niin sanotusti inventoida. Inventoinnissa käydään läpi kaikki laitteet riippumatta niiden maantieteellisestä sijainnista tai siitä, ovatko ne omassa hallinnassa vai ulkoistettu. Hyvin toteutetun säännöllisen skannauksen avulla voidaan seurata myös muutoksia omassa toimintaympäristössä. Monet skannerialustat ja ohjelmistot tunnistavat yli 80.000 haavoittuvuutta ja haavoittuvuustietokantoja myös päivitetään säännöllisesti ja jatkuvasti.

Skannauksen tuloksena saadaan hyvä tilannekuva haavoittuvuuksista. Löydökset tulee myös priorisoida ja tehdä suunnitelma, miten havaitut haavoittuvuudet korjataan.

Haavoittuvuuksien skannauksen seuraava sukupolvi

Uusi edistyneempi tapa on kylvää skannaus teknisesti keveiden ja vähän resursseja vaativien agenttien avulla etenkin mobiililaitteisiin ja tietokoneisiin. Tällöin haavoittuvuuksia voidaan skannata helpommin ja turvallisesti ilman monimutkaisia autentikointiprosesseja ja internetyhteysmäärittelyjä. Agentit on helppo kylvää ja tarvittaessa päivittää yrityksen laitteisiin vaikkapa Microsoftin GPO:ta hyväksi käyttäen.

Internetpalveluiden osalta kannattaa skannata tarkemmin myös websovellus ja REST API -rajapinnat säännöllisesti. Websovellusta voidaan skannata ja löytää sieltä huonon koodin takia reikiä, näppihäiriötä eli vääriä konfigurointeja, heikkoja salasanoja ja huonosti suojattuja henkilötietoja.

Jalostaisin tätä mainiota tietoturvan perustyökalua myös laajemmaksi haavoittuvuuksien hallinnaksi ja sosiaalisen hakkeroinnin sietokyvyn testaamiseksi ja kasvattamiseksi. Sähköpostikalastelu on yksi tämän päivän haaste, jonka avulla yrityksestä yritetään löytää heikkoja kohtia ja tunkeutua sisään haittaohjelmien avulla. Käyttäjät onkin hyvä pitää tietoisena sähköpostin kalasteluriskeistä ja kouluttaa heitä säännöllisesti.

Lisäksi olisi hyvä testata ohjelmistojen haavoittuvuus sovelluksen lähdekoodista ja raportoida löydökset, kuten haavoittuvuuksien sijainti koodissa. Lisäksi tulisi eritellä, miten niitä voidaan hyödyntää hyökkääjän näkökulmasta sekä miten koodia tulisi korjata, jotta kyseinen haavoittuvuus voitaisiin poistaa.

Haavoittuvuusskannaus kätevästi jatkuvana palveluna

Haavoittuvuuksien skannaus on järkevintä toteuttaa palveluna, jossa on mukana kaikki tarvittavat agentit/lisenssit, laitealustat ja ohjelmistot sekä niiden tuki ja ylläpito. Siinä on oltava skaalautuva kapasiteetti vaikkapa 50–5000 kohteeseen. Haavoittuvuustunnistetietojen tulisi myös päivittyä säännöllisesti.

Skannausta olisi hyvä tehdä monella eri teknologialla siten, että se tukee moderneja haavoittuvuustyyppejä. Palveluun tulisi olla helppo lisätä skannattavia kohteita tai poistaa niitä. Tilannekuvaa tarvitaan, joten säännöllisen haavoittuvuusraportin seurannan tulisi kuukausittain kertoa, missä ollaan nyt ja mitä pitää korjata. Haavoittuvuusraportissa esitetään lista löydetyistä haavoittuvuuksista. Lisäksi siinä on oleellista käydä läpi niiden kriittisyysluokittelu, priorisointi sekä korjaamisen metodit ja korjaamisen vastuut aikatauluineen. Tilannekuvassa esitetään myös seuraavan kuukauden tavoitteet, skannaustavat ja tarvittavat muutokset. Ylintä yrityksenjohtoa varten mukana on hyvä olla myös ylemmän tason haavoittuvuussuunnitelma liitettynä yrityksen riskienhallintaan. Suunnitelmassa käydään läpi, missä ollaan nyt ja mitä tehdään tulevaisuudessa riskien pienentämiseksi.

PS. Tutustu tarkemmin Loihde Trustin palveluvalikoimasta löytyvään Haavoittuvuuksien tunnistuspalveluun.