Problemer med prioritering af tiden? Brug et beslutningstræ

CISA lancerer et beslutningstræ som model til hjælp til virksomheders prioritering af sårbarheder.

Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) offentliggjorde i sidste uge en guide, der kan hjælpe organisationer med at prioritere håndtering af sårbarheder ved hjælp af en beslutningstræmodel. Det skriver Security Week.

Guiden kaldes Stakeholder-Specific Vulnerability Categorization (SSVC) og forsøger at imødegå det problem, som mange inden for cyber-, it- og informationssikkerhedsverdenen har: De skal forholde sig til så utroligt mange ting, og det kan forhindre, at de kommer til at forholde sig til det, der er relevant. Dette er ikke mindst udtalt hos systemadministratorer, der blandt meget andet har opgaven med håndtering af sårbarheder. Sårbarheder, der opdages flere og flere af, i kraft af at flere researchere har set et forretningsgrundlag i at finde sårbarheder og udvikle exploits til dem. 

Skabt til professionelle

Security Week skriver, at SSVC-systemet blev skabt i 2019 af CISA og Carnegie Mellon University's Software Engineering Institute (SEI). Et år senere udviklede CISA sit eget tilpassede SSVC-beslutningstræ for sikkerhedsfejl, der er relevante for myndigheder og organisationer inden for kritisk infrastruktur.

Nu er CISA kommet skridtet videre og opfordrer med sin udmelding nu organisationer i alle størrelser til at bruge den nye version af SSVC til sårbarhedshåndtering. Metoden har til hensigt at hjælpe organisationer med at kategorisere hver sårbarhed i en af ​​fire kategorier:

  • ’Track’ - Sårbarheden kræver ikke handling på nuværende tidspunkt. Organisationen vil fortsætte med at følge sårbarheden og revurdere den, hvis nye oplysninger bliver tilgængelige. CISA anbefaler at afhjælpe 'Track'-sårbarheder inden for standard update timelines.
  • ’Track*’ - Sårbarheden indeholder specifikke karakteristika, som kan kræve tættere overvågning. CISA anbefaler at afhjælpe 'Track*'-sårbarheder inden for standard update timelines.
  • ’Attend’ - Sårbarheden kræver mere opmærksomhed fra organisationens, fx. tilsynsniveau. CISA anbefaler at afhjælpe 'Attend'-sårbarheder hurtigere end standard update timelines
  • ’Act’ - Sårbarheden kræver opmærksomhed fra organisationens ledelseslag. Typisk vil organisationen skulle træffe beslutning om evt. handlinger. CISA anbefaler at håndtere sårbarheder så hurtigt som muligt.

Med 'standard update timelines' skal sandsynligvis forstås organisationen egen patch management-politik, altså politik for håndtering af sårbarheder.

Formålet med SSVC-træet er at hjælpe brugere med at træffe deres beslutning baseret på en sårbarheds udnyttelsesstatus, dens tekniske indvirkning, om den kan automatiseres, indvirkning på essentielle funktioner ift. virksomhedens opgaver og tjenester og den potentielle indvirkning på mennesker, hvis et system skulle blive kompromitteret.

SSVC beslutningstræ

CISA anbefaler at bruge SSVC sammen med KEV-kataloget (kendte udnyttede sårbarhedwer), maskinlæsbare sikkerhedsadvisories (Common Security Advisory Framework - CSAF) og Vulnerability Exploitability eXchange (VEX – der er en metode, der giver leverandører og brugere mulighed for at fokusere på sårbarheder, der udgør den mest umiddelbare risiko).

Beslutningsmetoden er ifølge en direktør hos NetRise, som Security Week har talt med, kommet på dagsordenen i erkendelse af, at man ikke bare blindt kan bruge CVSS-score til at prioritere sårbarheder, men at der også findes andre faktorer, som er indarbejdet i værktøjet.

Værktøjet og en lang støttevejledninger findes i de nedenstående links:

Links:

https://www.securityweek.com/cisa-releases-decision-tree-model-help-companies-prioritize-vulnerability-patching

https://www.cisa.gov/ssvc

https://www.cisa.gov/sites/default/files/publications/cisa-ssvc-guide 508c.pdf

https://www.cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscape