Mitä yhteistä haavoittuvuusskannereilla ja johtavalla kansainvälisellä tietoturvastandardilla on keskenään? Itse asiassa aika paljonkin. Tässä kirjoituksessa tarkastellaan, kuinka Holm Security VMP -alusta vastaa ISO 27001:n vaatimuksiin organisaation tietojärjestelmien haavoittuvuuksien havaitsemisesta, riskinarvioinnista ja korjaavien toimenpiteiden suorittamisesta.
Mikä Holm Security VMP?
Holm Security Vulnerability Management Platform, eli tuttavallisemmin VMP, tarjoaa monipuolisen ja luotettavan kokonaisratkaisun ISO 27001-standardin vaatimusten täyttämiseksi. VMP:lla tarkastettaviksi kohteiksi sopivat kaikki verkkoon kytketyt tietokoneet, verkon aktiivilaitteet ja muut tietojärjestelmät sekä myös web-sovellukset. Monipuolisten skannausominaisuuksien lisäksi alusta sisältää työkaluja käyttäjien suojaamiseen ja tietoisuuden lisäämiseen sosiaaliselta hakkeroinnilta sekä jatkuvan tietoturvatyön organisointiin.
Mitä ISO27001:ssa sanotaan haavoittuvuuksista?
Kun kyse on tietojärjestelmien haavoittuvuuksien hallinnasta, ISO 27001 edellyttää organisaatiolta kolmea pääasiaa:
Skanna
Skannaa
Arvioi
Arvioi
Korjaa
Korjaa
Kuinka Holm Security VMP vastaa standardin vaatimuksiin?
VMP:lla voi tehdä sekä ajastettuja että tarpeen mukaan käynnistettäviä skannauksia. Löydät 0-päivähaavoittuvuudetkin hyvissä ajoin ja sinulle jää myös aikaa korjata aukot, ennen kuin ongelmia syntyy. Kriittisiin järjestelmiin voit kohdistaa vaikka useita skannauksia päivässä tai ottaa jatkuvan tarkkailutoiminnon käyttöön ja vastaanottaa hälytyksen heti, kun epäilyttäviä tapahtumia havaitaan.
Jokaiselle organisaatiolle kaikki haavoittuvuudet eivät aiheuta samanlaista riskiä. Skannattavat kohteet on VMP:ssa mahdollista luokitella niiden liiketoiminnallisen kriittisyyden perusteella, jolloin VMP voi automaattisesti määritellä löydettyjen haavoittuvuuksien aiheuttaman riskin suuruuden.
Kun haavoittuvuudet on havaittu ja riskitaso selvitetty, VMP:n avulla voit seurata korjaustöiden etenemistä ja valvoa resurssien oikeanlaista kohdentamista. Alustaan on mahdollista luoda myös JIRA-integraatio.
Tarvitset myös vaatimustenmukaisuus- ja trendiraportteja erilaisille kohderyhmille kuten yrityksen johdolle, hallitukselle ja auditoijille, osoittaaksesi että standardia noudatetaan. Holm Security VMP luo tällaisia raportteja sinulle automaattisesti.
Omaisuuden luettelointi
ISO 27001 mukaan paikkansa pitävä ja kattava luettelo tietojärjestelmistä on välttämätön edellytys, jotta haavoittuvuuksien hallinta olisi tehokasta. Tietoihin ja tietojenkäsittelyyn liittyvä omaisuus on yksilöitävä ja laadittava luettelo, jota myös pidetään ajan tasalla.
VMP tarjoaa yksityiskohtaisen näkymän kohteisiin, joka päivitetään automaattisesti jokaisen skannauksen yhteydessä. Voit määrittää kohteille omistajat ja asettaa niiden liiketoimintakriittisyyden, näet jatkuvasti päivitetyn luettelon avoimista porteista ja trendikaavion jokaiselle kohteelle, josta ilmenee haavoittuvuuksien historiallinen kehitys. Saatat myös löytää järjestelmiä, joiden ei enää kuuluisi olla siellä, portteja joiden pitäisi olla kiinni tai väärässä paikassa olevia palveluita.
Tietolähteet
Ennen kuin lähdetään etsimään, pitää tietää mitä etsitään. ISO 27001 edellyttää, että lähteet joita käytetään teknisten haavoittuvuuksien tunnistamiseen, on tunnistettava vähintään sillä perusteella, mitä omaisuusluetteloon on kirjattu. Nämä lähteet tulisi päivittää omaisuusluettelossa tapahtuvien muutosten tai muiden hyödyllisten resurssien löytymisen yhteydessä.
VMP on varustettu uusimmilla haavoittuvuustiedoilla, jotka on koottu useista eri lähteistä ja jatkuvasti päivitettävillä testeillä. Voit olla varma siitä, että kriittiset haavoittuvuudet verkossasi ja web-sovelluksissasi eivät jää huomaamatta.
Katselmointi ja jatkuva parantaminen
Kuten kaikkia ISO 27001 -standardin prosesseja ja käytäntöjä, myös teknistä haavoittuvuuden hallintaprosessia on seurattava ja arvioitava säännöllisesti tehokkuuden ja toimivuuden varmistamiseksi. VMP avulla saat käyttöösi räätälöidyt dashboardit, valmiita ISO 27001/PCI/GDPR/NIS/OWASP/PDPA/HIPAA/SOX -raportteja sekä CIS: n mukaisia benchmarkeja tämän työn tueksi.
