ISO 27002:2022, Kontroll 8.8 – Hantering av tekniska sårbarheter

Äganderätt till kontroll 8.8

Kontroll 8.8 handlar om teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Några av riktlinjerna involverar implementering av ett mycket detaljerat tillvägagångssätt för mjukvaruhantering, tillgångshantering och nätverkssäkerhetsrevision.

Som sådan bör ägandet av Control 8.8 ligga hos den person som har det övergripande ansvaret för att underhålla organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande i organisationen.

Vägledning – Identifiera sårbarheter

Innan man implementerar och sårbarhetskontroller är det viktigt att få en fullständig och uppdaterad lista över fysiska och digitala tillgångar (se kontroller 5.9 och 5.14) som ägs och drivs av organisationen.

Programvarutillgångsinformation bör innehålla:

• Leverantörsnamn
• Applikationsnamn
• För närvarande är versionsnummer i drift
• Där programvaran distribueras över gården

När organisationer försöker lokalisera tekniska sårbarheter bör:

1. Beskriv tydligt vem (inom organisationen) som ansvarar för sårbarhetshantering ur ett tekniskt perspektiv, i enlighet med dess olika funktioner, inklusive (men inte begränsat till):
• Kapitalförvaltning
• Riskbedömning
• Övervakning
• Uppdaterar
2. Vem är ansvarig för mjukvaran inom organisationen
3. Upprätthålla en inventering av applikationer och resurser som kommer att användas för att identifiera tekniska sårbarheter.
   

4. Be leverantörer och leverantörer att avslöja sårbarheter vid leverans av nya system och hårdvara (se kontroll 5.20), och specificera som sådana i alla relevanta kontrakt och serviceavtal.
5. Använd verktyg för sårbarhetsskanning, inklusive korrigeringsmöjligheter.
6. Genomför regelbundna, dokumenterade penetrationstester – antingen internt eller via en certifierad tredje part.
7. Var uppmärksam på användningen av tredje parts kodbibliotek och/eller källkod för underliggande programmatiska sårbarheter (se Kontroll 8.28).

Vägledning – Offentliga aktiviteter

Utöver interna system bör organisationer utveckla policyer och procedurer som upptäcker sårbarheter i alla dess produkter och tjänster, och ta emot sårbarhetsbedömningar avseende tillhandahållandet av nämnda produkter och tjänster.

ISO råder organisationer att göra en offentlig ansträngning för att spåra eventuella sårbarheter och uppmuntra tredje part att engagera sig i sårbarhetshanteringsinsatser genom att använda bounty-program (där utnyttjanden letas efter och rapporteras till organisationen för en belöning).

Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskningsaktiviteter så att den samlade kunskapen hos allmänheten kan användas för att skydda produkter och tjänster vid källan.

Där korrigerande åtgärder har vidtagits som påverkar användare eller kunder, bör organisationer överväga att lämna ut relevant information till de berörda individerna eller organisationerna och samarbeta med specialiserade säkerhetsorganisationer för att sprida information om sårbarheter och attackvektorer.

Dessutom bör organisationer överväga att erbjuda en automatisk uppdateringsprocedur som kunder kan välja att in- eller bort från, baserat på deras affärsbehov.

Vägledning – Utvärdering av sårbarheter

Adekvat rapportering är nyckeln till att säkerställa snabba och effektiva åtgärder när sårbarheter upptäcks.

När man utvärderar sårbarheter bör organisationer:

1. Analysera noggrant alla rapporter och bestäm vilka åtgärder som behöver vidtas, inklusive (men inte begränsat till) ändring, uppdatering eller borttagning av berörda system och/eller hårdvara.
2. Kom överens om en resolution som tar hänsyn till andra ISO-kontroller (särskilt de som är relaterade till ISO 27002:2022) och erkänner risknivån.

Vägledning – Att motverka sårbarheter i programvara

Sårbarheter i programvara bekämpas bäst med ett proaktivt förhållningssätt till mjukvaruuppdateringar och patchhantering.

Innan några ändringar implementeras bör organisationer se till att befintliga programvaruversioner behålls, att alla ändringar testas fullständigt och tillämpas på en angiven kopia av programvaran.

När man direkt tar itu med sårbarheter efter att de har identifierats bör organisationer:

1. Försök att lösa alla sårbarheter på ett snabbt och effektivt sätt.
2. Om möjligt, följ de organisatoriska rutinerna för förändringshantering (se kontroll 8.32) och incidentrespons (se kontroll 5.26).
3. Tillämpa endast uppdateringar och patchar som kommer från pålitliga och/eller certifierade källor, särskilt i vasen med programvara och utrustning från tredje part.
• När det gäller mjukvara från leverantörer bör organisationer göra en bedömning baserat på tillgänglig information om huruvida det är nödvändigt att tillämpa automatiska uppdateringar (eller delar därav) på förvärvad mjukvara och hårdvara.
4. Testa eventuella uppdateringar som krävs före installationen för att undvika oförutsedda incidenter i en operativ miljö.
5. Försök att ta itu med högrisk och affärskritiska system som en prioritet.
6. Se till att alla korrigerande åtgärder är effektiva och autentiska.

I händelse av att en uppdatering inte är tillgänglig, eller några problem som hindrar en uppdatering från att installeras (som kostnadsproblem), bör organisationer överväga andra åtgärder, som:

1. Be leverantören om råd om en lösning eller lösning för att ”klibba gips” medan åtgärderna för att åtgärda påskyndas.
2. Inaktivera eller stoppa nätverkstjänster som påverkas av sårbarheten.
3. Implementera nätverkssäkerhetskontroller vid kritiska gatewaypunkter, inklusive trafikregler och filter.
4. Öka den övergripande övervakningsnivån i linje med den förknippade risken.
5. Se till att alla berörda parter är medvetna om sårbarheten, inklusive leverantörer och kunder.
6. Fördröja uppdateringen för att bättre utvärdera de associerade riskerna, särskilt där driftskostnader kan vara ett problem.

Stödkontroller

• 5.14
• 5.20
• 5.9
• 8.20
• 8.22
• 8.28

Kompletterande vägledning om kontroll 8.8

• Organisationer bör föra en revisionslogg över alla relevanta sårbarhetshanteringsaktiviteter för att underlätta åtgärdande och förbättra rutinerna i händelse av en säkerhetsincident.
• Hela processen för sårbarhetshantering bör regelbundet granskas och utvärderas för att förbättra prestanda och identifiera fler sårbarheter vid källan.
• Om organisationen använde programvara som är värd hos en molntjänstleverantör, bör organisationen se till att tjänsteleverantörens inställning till sårbarhetshantering överensstämmer med dess egen, och bör utgöra en viktig del av alla bindande tjänsteavtal mellan de två parterna, inklusive eventuella rapporteringsförfaranden (se Kontroll 5.32).

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.8 ersätter två kontroller från ISO 27002:2013:

• 12.6.1 – Hantering av tekniska sårbarheter
• 18.2.3 – Översyn av teknisk efterlevnad

27002:2022-8.8 representerar ett fundamentalt annorlunda tillvägagångssätt för sårbarhetshantering än vad som finns i 27002:2013.

27002:2013-12.6.1 handlar till stor del om genomförandet av korrigerande åtgärder när en sårbarhet har identifierats, medan 18.2.3 är begränsad till tekniska verktyg (främst penetrationstestning).

27002:2022-8.8 innehåller helt nya avsnitt om ämnen som en organisations offentliga verksamhet, hur sårbarheter identifieras i första hand och vilken roll molnleverantörer spelar för att säkerställa att sårbarheter hålls till ett minimum.

Sammantaget lägger ISO en större tonvikt på den roll som sårbarhetshantering spelar inom andra områden av 27002:2022 (särskilt förändringshantering), och förespråkar ett holistiskt tillvägagångssätt som drar in många andra kontroller och informationssäkerhetsprocedurer.

Hur ISMS.online hjälper

Vår plattform är intuitiv och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer av ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.