Nogle sårbarheder er tilgivelige, men dårlig håndtering af patch er det ikke
Indholdsfortegnelse:
I begyndelsen af året, Storbritanniens National Cyber Security Center (NCSC) opfordrede softwareindustrien at få sin handling sammen. For mange "grundlæggende sårbarheder" glider igennem til kode, hvilket gør den digitale verden til et farligere sted, hævdes det. Planen er at tvinge softwareleverandører til at forbedre deres processer og værktøjer for at udrydde disse såkaldte "utilgivelige" sårbarheder én gang for alle.
Selvom det er ambitiøst, vil det tage noget tid, før styrelsens plan bærer frugt – hvis den overhovedet gør det. I mellemtiden skal organisationer blive bedre til at lappe. Det er her, ISO 27001 kan hjælpe ved at forbedre aktivgennemsigtigheden og sikre, at softwareopdateringer prioriteres efter risiko.
Problemet med CVE'er
Software spiste verden mange år siden. Og der er mere af det i dag end nogensinde før – at køre kritisk infrastruktur, der gør os i stand til at arbejde og kommunikere problemfrit og tilbyder uendelige måder at underholde os selv på. Med fremkomsten af AI-agenter vil software integrere sig stadig længere i de kritiske processer, som virksomheder, deres medarbejdere og deres kunder er afhængige af for at få verden til at gå rundt.
Men fordi den (hovedsagelig) er designet af mennesker, er denne software tilbøjelig til at fejle. Og de sårbarheder, der stammer fra disse kodningsfejl, er en nøglemekanisme for trusselsaktører til at bryde netværk og nå deres mål. Udfordringen for netværksforsvarere er, at der i de sidste otte år er blevet offentliggjort et rekordstort antal sårbarheder (CVE'er). Tallet for 2024 var i 40,000. Det er mange sikkerhedsopdateringer, der skal anvendes.
Så længe softwarens volumen og kompleksitet fortsætter med at vokse, og forskere og trusselsaktører tilskyndes til at finde sårbarheder, vil antallet af årlige CVE'er fortsætte med at stige opad. Det betyder flere sårbarheder for trusselsaktører at udnytte.
Ifølge et skøn, hele 768 CVE'er blev offentligt rapporteret som værende udnyttet i naturen sidste år. Og mens 24 % af disse var nul-dage, var de fleste ikke. Faktisk, mens AI-værktøjer hjælper nogle trusselsaktører udnytte sårbarheder hurtigere end nogensinde før, bevis tyder også på at legacy bugs fortsat er et stort problem. Den afslører, at 40 % af de sårbarheder, der blev udnyttet i 2024, var fra 2020 eller tidligere, og 10 % var fra 2016 eller tidligere.
Hvad ønsker NCSC at gøre?
I denne sammenhæng giver NCSC's plan mening. Dens Årlig gennemgang 2024 beklager det faktum, at softwareleverandører simpelthen ikke er tilskyndet til at producere mere sikre produkter, idet de argumenterer for, at prioriteringen for ofte er på nye funktioner og time-to-market.
"Produkter og tjenester produceres af kommercielle virksomheder, der opererer på modne markeder, som - forståeligt nok - prioriterer vækst og profit frem for sikkerheden og robustheden af deres løsninger. Det er uundgåeligt små og mellemstore virksomheder (SMV'er), velgørende organisationer, uddannelsesinstitutioner og den bredere offentlige sektor, der er mest påvirket, fordi det for de fleste organisationer ikke er omkostningshensyn, der er den primære drivkraft."
"Simpelt sagt, hvis størstedelen af kunderne prioriterer pris og funktioner frem for 'sikkerhed', så vil leverandører koncentrere sig om at reducere time to market på bekostning af at designe produkter, der forbedrer sikkerheden og modstandsdygtigheden i vores digitale verden."
I stedet håber NCSC at bygge en verden, hvor software er "sikker, privat, robust og tilgængelig for alle". Det vil kræve, at det bliver nemmere for leverandører og udviklere at implementere "topniveaubegrænsninger" gennem forbedrede udviklingsrammer og vedtagelse af sikre programmeringskoncepter. Den første fase er at hjælpe forskere med at vurdere, om nye sårbarheder er "tilgivelige" eller "utilgivelige" - og dermed skabe momentum for forandring. Det er dog ikke alle, der er overbeviste.
"NCSC's plan har potentiale, men dens succes afhænger af adskillige faktorer, såsom industriadoption og accept og implementering af softwareleverandører," advarer Javvad Malik, førende fortaler for sikkerhedsbevidsthed hos KnowBe4. "Det er også afhængigt af forbrugerbevidsthed og efterspørgsel efter mere sikre produkter samt reguleringsstøtte."
Det er også rigtigt, at selvom NCSC's plan virkede, ville der stadig være masser af "tilgivelige" sårbarheder for at holde CISO'er vågne om natten. Så hvad kan der gøres for at afbøde virkningen af CVE'er?
En standardbaseret tilgang
Malik foreslår, at den bedste praksis sikkerhedsstandard ISO 27001 er en nyttig tilgang.
"Organisationer, der er tilpasset ISO27001, vil have mere robust dokumentation og kan tilpasse sårbarhedsstyring med overordnede sikkerhedsmål," siger han til ISMS.online.
Huntress senior manager for sikkerhedsoperationer, Dray Agha, hævder, at standarden giver en "klar ramme" for både sårbarhed og patch management.
"Det hjælper virksomheder med at være på forkant med trusler ved at håndhæve regelmæssige sikkerhedstjek, prioritere højrisikosårbarheder og sikre rettidige opdateringer," siger han til ISMS.online. "I stedet for at reagere på angreb kan virksomheder, der bruger ISO 27001, tage en proaktiv tilgang, reducere deres eksponering, før hackere overhovedet slår til, ved at nægte cyberkriminelle fodfæste i organisationens netværk ved at patche og hærde miljøet."
Agha hævder dog, at patching alene ikke er tilstrækkeligt.
"Virksomheder kan gå længere for at forsvare sig mod cybertrusler ved at implementere netværkssegmentering og webapplikationsfirewalls (WAF'er). Disse foranstaltninger fungerer som ekstra lag af beskyttelse, der afskærmer systemer mod angreb, selvom patches er forsinket," fortsætter han. "At vedtage nul tillid sikkerhedsmodeller, administrerede detektions- og responssystemer og sandboxing kan også begrænse skaden, hvis et angreb bryder igennem."
KnowBe4s Malik er enig og tilføjer, at virtuel patching, slutpunktsdetektion og respons er gode muligheder for at opbygge forsvar.
"Organisationer kan også udføre penetrationstest på software og enheder før implementering i produktionsmiljøer og derefter periodisk bagefter. Trusselsintelligens kan bruges til at give indsigt i nye trusler og sårbarheder," siger han.
"Der findes mange forskellige metoder og tilgange. Der har aldrig været mangel på muligheder, så organisationer bør se på, hvad der fungerer bedst for deres særlige risikoprofil og infrastruktur."
