Sårbarhedsstyring (CIS Control 7)

CIS Control 7 kræver en kontinuerlig og struktureret proces til at opdage, vurdere og afhjælpe sårbarheder i organisationens systemer og software. Langt de fleste vellykkede cyberangreb udnytter kendte sårbarheder, som der allerede findes patches til.

Tilbage til ordbog

Hvad er en sårbarhed?

En sårbarhed (vulnerability) er en svaghed i et system, en software eller en proces, som en angriber potentielt kan udnytte. Sårbarheder opdages løbende og tildeles CVE-numre (Common Vulnerabilities and Exposures), der giver en fælles reference og en CVSS-score, der angiver alvorlighed.

Sårbarhedsscanning

Sårbarhedsscanning er den automatiserede proces, hvor systemer undersøges for kendte sårbarheder ved at sammenligne installeret software med databaser over kendte sårbarheder. CIS anbefaler automatiserede scanninger, der køres regelmæssigt – mindst kvartalsvist for IG1, månedligt for IG2.

Effektiv sårbarhedsscanning afhænger af en komplet og korrekt softwareoversigt (CIS Control 2), da du ikke kan patche det, du ikke ved eksisterer.

Patch management

Patch management er den strukturerede proces for at teste og installere sikkerhedsrettelser (patches) fra softwareleverandører. En god patch management-proces indebærer:

Overvågning af leverandørbulletiner: Løbende sporing af sikkerhedsmeddelelser fra alle softwareleverandører i organisationens oversigt.
Test inden udrulning: Validering af patches i et testmiljø, inden de udrulles til produktionssystemer.
Dokumentation: Registrering af hvilke patches der er installeret, hvornår og på hvilke systemer.
Tidsbundne frister: Definition af tidsfrister for patching baseret på sårbarhedens alvorlighed.

Tid er kritisk: Efter offentliggørelse af en kritisk sårbarhed begynder angribere typisk at udnytte den inden for dage. CIS anbefaler, at kritiske patches (CVSS 9+) installeres inden for 14 dage.

CVSS og prioritering

CVSS (Common Vulnerability Scoring System) giver en numerisk score fra 0-10, der angiver en sårbarheds alvorlighed. Scoren baserer sig på faktorer som angrebsvektor, angrebskompleksitet og potentiel konsekvens. Scores over 7.0 betragtes som alvorlige eller kritiske og bør prioriteres højt.

Ofte stillede spørgsmål om sårbarhedsstyring (cis control 7)

Hvad er CIS Control 7?

CIS Control 7 dækker kontinuerlig sårbarhedsstyring. Det kræver, at organisationer etablerer en struktureret proces til at opdage, vurdere og afhjælpe sårbarheder i deres systemer og software.

Hvad er sårbarhedsscanning?

Sårbarhedsscanning er den automatiserede proces, hvor systemer undersøges for kendte sårbarheder ved at sammenligne installeret software med databaser over kendte svagheder. CIS anbefaler regelmæssige automatiserede scanninger mindst kvartalsvist for IG1.

Hvad er CVSS?

CVSS (Common Vulnerability Scoring System) giver en numerisk score fra 0-10, der angiver en sårbarheds alvorlighed. Scores over 7.0 betragtes som alvorlige eller kritiske. Det hjælper organisationer med at prioritere, hvilke sårbarheder der skal afhjælpes først.

Hvor hurtigt bør kritiske sårbarheder patches?

CIS anbefaler, at kritiske sårbarheder (CVSS 9+) patches inden for 14 dage efter offentliggørelse. Efter offentliggørelse begynder angribere typisk at udnytte kritiske sårbarheder inden for dage.

Hvordan hænger sårbarhedsstyring sammen med andre CIS Controls?

Sårbarhedsstyring (Control 7) afhænger af nøjagtige aktiv- og softwareoversigter (Control 1 og 2) og supplerer sikker konfiguration (Control 4). Tilsammen sikrer disse kontroller, at systemer er kendte, korrekt konfigurerede og holdt opdaterede.