Sårbarhedsscanning

Sårbarhedsscanning er automatiseret identifikation af kendte sikkerhedssårbarheder i systemer, netværk og applikationer. Det giver organisationer et løbende overblik over deres sikkerhedshuller og er grundlaget for prioriteret udbedring.

Tilbage til ordbog

Hvad er sårbarhedsscanning?

Sårbarhedsscanning (vulnerability scanning) er en automatiseret proces, der undersøger systemer for kendte sikkerhedssårbarheder. Scannere matcher systemers konfiguration, softwareversioner og åbne porte mod databaser over kendte sårbarheder (CVE) og genererer en rapport over fund.

Scanning adskiller sig fra penetrationstest. Scanning finder kendte sårbarheder automatisk, mens pentest involverer en menneskelig tester, der forsøger at udnytte sårbarhederne og finde logiske fejl. Scanning giver bredde, pentest giver dybde. De supplerer hinanden.

Sårbarhedsscanning er tæt forbundet med patchstyring (scanning finder manglende patches), konfigurationsstyring (scanning finder fejlkonfigurationer) og applikationssikkerhed (scanning finder web-sårbarheder).

Scannertyper

Der findes flere typer sårbarhedsscannere:

Netværksscannere: Scanner IP-adresser, porte og tjenester for kendte sårbarheder. Bruges til servere, netværksudstyr og andre netværkseksponerede systemer.
Webapplikationsscannere: Tester webapplikationer for sårbarheder som SQL injection, XSS og CSRF. Relaterer direkte til applikationssikkerhed og sikker udvikling.
Agentbaserede scannere: Installeres på endpoints og scanner lokalt for manglende patches, fejlkonfigurationer og usikker software.
Container- og cloud-scannere: Scanner container images, cloud-konfigurationer og IaC-templates for sårbarheder og fejlkonfigurationer.
Compliance-scannere: Verificerer systemer mod sikkerhedsbaselines som CIS Benchmarks. Bruges sammen med konfigurationsstyring.

Autentificerede scanninger (med login-credentials) giver markant bedre resultater end uautentificerede, da scanneren kan se, hvad der er installeret på systemet.

Scanningsprocessen

En effektiv scanningsproces inkluderer:

Planlægning: Definér scope (hvilke systemer scannes), frekvens og scanningsvindue. Internetvendte systemer bør scannes hyppigere end interne. Koordinér med konfigurationsstyring for et opdateret inventar.

Scanning: Kør scanningen og indsaml resultater. Brug autentificerede scanninger for bedre resultater. Planlæg uden for spidsbelastningsperioder for at minimere påvirkning.

Analyse: Gennemgå resultater og fjern falske positiver. Prioritér baseret på CVSS-score, systemkritikalitet og om der findes kendte exploits. Trusselsintelligens kan hjælpe med at vurdere, hvilke sårbarheder der aktivt udnyttes.

Udbedring: Kritiske fund adresseres via patchstyring eller konfigurationsændringer. Dokumentér alle fund og deres håndtering.

Verifikation: Kør en ny scanning for at verificere, at sårbarhederne faktisk er lukket. Rapportér resultater til ledelse og compliance-funktioner.

Integrér scanning med SIEM-systemer for at korrelere scanningsresultater med andre sikkerhedsdata og prioritere baseret på trusselbilledet.

Regulativer og standarder

CIS 18 dedikerer kontrol 7 til kontinuerlig sårbarhedsstyring, med krav om regelmæssig scanning og prioriteret udbedring.

ISO 27001 og Annex A inkluderer kontrol A.8.8 om styring af tekniske sårbarheder. Et ISMS bør definere processer for sårbarhedsscanning som en del af de tekniske og organisatoriske foranstaltninger.

NIS2 kræver proaktiv sårbarhedshåndtering. DORA stiller konkrete krav til regelmæssig sårbarhedsscanning af finansielle institutioners IKT-systemer. Under GDPR er scanning en metode til at sikre, at persondata beskyttes mod udnyttelse af kendte sårbarheder.

Ofte stillede spørgsmål om sårbarhedsscanning

Hvad er forskellen på sårbarhedsscanning og penetrationstest?

Sårbarhedsscanning er automatiseret og identificerer kendte sårbarheder. Penetrationstest er manuel og forsøger at udnytte sårbarheder for at vurdere den reelle risiko. Scanning finder bredden af problemer; pentest finder dybden.

Hvor ofte bør man scanne?

Internetvendte systemer bør scannes mindst ugentligt. Interne systemer mindst månedligt. Kritiske systemer og systemer med hyppige ændringer bør scannes endnu oftere. Mange organisationer integrerer scanning i CI/CD-pipelinen for kontinuerlig scanning.

Hvad gør man med scanningsresultaterne?

Prioritér fund baseret på CVSS-score og systemets kritikalitet. Kritiske sårbarheder bør adresseres inden for dage, høj-risiko inden for en uge. Dokumentér alle fund og deres håndtering. Brug resultaterne til at forbedre patchstyring og konfigurationsstyring.

Kan sårbarhedsscanning forstyrre systemer?

Ja, aggressive scanninger kan påvirke systemperformance eller i sjældne tilfælde forårsage nedbrud. Planlæg scanninger uden for spidsbelastningsperioder, og brug autentificerede scanninger, der er mere skånsomme og giver bedre resultater.