Sårbarhetsskanning

De mest mogna verktygen på området är sårbarhetsskannrar. De flaggar upp risker, som oanvända användarkonton, defaultlösenord, opatchade versioner, felaktiga inställningar, onödiga rättigheter och så vidare. Enligt Forrester använde 48 procent av storföretagen sådana verktyg förra året – en ökning med 66 procent sedan 2008.

Ett vanligt klagomål på den här sortens verktyg är dock att de spottar ur sig en ohanterlig massa resultat.

Josh Shaul leverantören Application Security föreslår därför att du tar en sak i taget. Börja med de enklaste parametrarna, som tomma lösenord, och ta sedan defaultlösenord och så vidare.
– Varje gång du skannar din miljö ska du fokusera på hanterbara delar, så att du får tillbaka 12 resultat och inte tiotusen, säger han.

Mike Hortobagyi skulle önska att verktygen kunde relatera sina resultat till en affärskontext – exempelvis till vilka databaser som är extra viktiga eller särskilt utsatta.
– Jag måste ju kunna koppla databaserna till avdelningar, applikationer och ägare i verksamheten så att jag vet vilka åtgärder jag vidta och vem jag ska prata med, säger han.

En annan utmaning är vad man ska göra när skannern rapporterar om sårbarheter som inte går att fixa i dagsläget – kanske finns ingen patch. I de flesta system kan du lägga till kommentarer och stänga av meddelanden om kända problem, så du inte behöver se allt du redan vet varje gång. Men Hortobagyi skulle vilja kunna följa utvecklingen över tid.
– Det räcker inte med ögonblicksbilder, vi behöver en riktig process för sårbarhetshantering och ett sätt att hålla koll på det, säger han.

En utveckling som lovar gott är att vissa leverantörer börjar erbjuda sätt att kompensera för sådant här: verktyget skyddar databasen utifrån medan sårbarheterna fixas till. Application Security erbjuder exempelvis ”virtuell patchning” för kända sårbarheter, berättar Hortobagyi.

Richard Isenberg på Fiserv an­vänder Impervas databasskanner för att hantera konton och rättigheter, patchar och serverkonfiguration.
– Vi behöver rutinmässig översyn för att veta hur vi ligger till jämfört med branschstandard och bästa praxis, säger han.

Han skannar också för att hålla reda på var känsliga data ligger – de kan nämligen flytta runt i tiden.
– Och vi måste se till att vår policy skyddar rätt data på rätt nivå.