Cybersecurity

Sårbarhedsvurdering

​​​​​​​Identifikation, klassificering og verificering af sikkerhedsfejl i software

Det er en udfordring at identificere de reelle sårbarheder på websider, i kode eller i infrastruktur, der kan forårsage en sikkerhedshændelse. Udfordringen består i accelererende digitalisering og eksponentiel IT-innovation oven i de milliarder af kodelinjer, der er skrevet gennem de seneste 20 år. For at tackle denne udfordring kræver det specifikke værktøjer til sikkerhedsscanning, viden om brug af sikkerhedsscannerne samt ekspertise til at identificere og adressere falsk positive og falsk negative fund.

Sårbarhedsvurdering

Kernen i sårbarhedsvurderingen er at foretage hurtig vurdering af store mængder kode fra et sikkerhedsmæssigt synspunkt. Dette gøres ved hjælp af avancerede sikkerhedsscannere til udførelse af statisk sikkerhedstest af programmer (Static Application Security Testing – SAST).

SAST er en metode til sikkerhedstest, hvor man tjekker kildekode, bytekode eller binær kode i et program i forhold til sårbarheder. Det er en type test, der udføres med fuld adgang til koden, men uden eksekvering af programmet, og hvor der er fokus på at finde sikkerhedsmangler i selve koden.

SAST fungerer typisk som følger:

SAST-værktøjer scanner programmets kode for at identificere kodningsmønstre, der kan medføre potentielle sårbarheder.

Koden tjekkes systematisk op mod et sæt foruddefinerede regler eller betingelser, der omhandler sikre kodningspraksisser.

Når en potentiel sårbarhed detekteres, markerer værktøjet det område i koden, hvor problemet blev fundet.

 

Denne proces muliggør tidlig detektion af problemer, der så kan afhjælpes af udviklerne, inden programmet rulles ud.

SAST-værktøjer er ofte integreret i Continuous Integration/Continuous Deployment (CI/CD)-pipelines, hvilket muliggør kontinuerlige og automatiserede sikkerhedstjek. På den måde kan man opretholde høje standarder for kodekvaliteten og følge branchens sikkerhedspraksisser.

Vores tilgang

NNIT har stor erfaring med at udvikle og sikre IT- og OT-løsninger i komplekse og stramt regulerede sektorer. Vi mener, at det er nødvendigt med kontinuerlig forbedring for at forblive relevant i dagens IT-landskab, hvor både teknologierne og cybertruslerne udvikles hurtigt. Ved at kombinere vores forståelse af komplekse IT-/OT-aktiver med vores indsigt i det nuværende landskab for cybertrusler samt ved at udnytte topmoderne sikkerhedsscannere er vi i en unik position til hurtigt at vurdere sårbarhedsniveauet i hele din infrastruktur.

Identifikation af, hvilke forretningsprocesser, IT-/OT-aktiver og relateret infrastruktur der er afgørende for din indtægt. Outputtet er en oversigt, der viser din værdikæde, sikkerheden og sikkerhedsprotokollerne for scanningen samt en liste over aktiver, der skal scannes.

Automatiseret proces til systematisk kortlægning af strukturen for websider, kode og infrastruktur efterfulgt af en række tjeks til at identificere potentielle sikkerhedsrelaterede sårbarheder, der kan føre til sikkerhedsbrud. Outputtet er en maskingenereret liste over sikkerhedsrelaterede observationer i det scannede miljø.

Ekspertgennemgang og -undersøgelse af den maskingenererede liste for at identificere og fjerne ukorrekte resultater samt analyse for at identificere metoder til at eliminere væsentlige sårbarheder. Outputtet er en række bemærkninger til den maskingenererede liste med input fra NNIT's sikkerhedseksperter.

 

Et overordnet overblik over identificerede sårbarheder og forslag til tiltag, der kan afhjælpe disse. Outputtet er en rapport, hvor fundene opsummeres, og anbefalingerne fra vurderingen fremsættes sammen med en maskingenereret liste over sikkerhedsobservationer og ekspertkommentarer.


Væsentlige fordele

  • Et snapshot af de sikkerhedsrelaterede sårbarheder i de IT-/OT-aktiver, der er relateret til dine vigtige forretningsaktiver.
  • Fremsættelse af anbefalinger i forhold til at reducere/eliminere sårbarheder prioriteret ud fra et sikkerhedsmæssigt synspunkt og uden falsk positive fund.
  • En dokumenteret sikkerhedsbaseline, der viser effekten af risikominimerende tiltag som f.eks. brug af patches, segmentering og dekommissionering.

Vores eksperter står klar til at hjælpe dig

Kontakt os, så finder vi en løsning, der passer til dine behov

Kontakt Os
Nnnit Portrait Nhkap