Målet med prinsippet: Virksomheten oppdager og fjerner kjente sårbarheter og kjent skadelig kode i virksomhetens IKT-systemer.

Hvorfor er dette viktig?

Skadelig kode er en farlig del av cybertrusler og kan utformes for å påvirke systemer, enheter og data. Selv de beste produkter har feil og sårbarheter som kan utnyttes av angripere. Ondsinnet programvare kan bevege seg hurtig, endre seg etter behov og komme seg inn gjennom blant annet sluttbrukerutstyr, e-postvedlegg, nettsider, skytjenester og flyttbare medier. Programvaren aktiveres ofte ved å lure brukere til å foreta en handling (åpne, kjøre, installere osv.). Moderne skadevare kan utvikles for å unngå enkelte sikkerhetstiltak, eller for å angripe eller deaktivere tiltakene. En virksomhet bør ha oversikt over kjente sårbarheter og kjente trusler (som skadevare) og beskytte seg mot dette.

Anbefalte tiltak: Oppdag og fjern kjente sårbarheter og trusler
Anbefalte tiltak: Oppdag og fjern kjente sårbarheter og trusler
IDBeskrivelse
3.1.1 Gjennomfør jevnlig sårbarhetskartlegging i informasjonssystemet ved hjelp av automatiserte verktøy. Kartleggingen bør dekke klienter, servere og nettverk. a) Prioriter funn og verifiser at oppdagede sårbarheter blir håndtert. b) Sørg for at verktøy benyttet til sårbarhetskartlegging jevnlig blir oppdatert med informasjon om alle relevante sikkerhetssårbarheter.
3.1.2 Abonner på tjenester relatert til sårbarhetsetterretning for å være oppdatert på nye og kommende sårbarheter. Bruk denne informasjonen som input til verktøyene for sårbarhetskartlegging.
3.1.3Benytt automatisert og sentralisert verktøy for å håndtere kjente trusler (som skadevare). a) Bruk antivirus/antiskadevare, fortrinnsvis en sentralisert styrt løsning, for å oppdage og blokkere kjent skadevare som blant annet utnytter sårbarheter i e-postklienter og dokumentlesere. b) Benytt også IDS/IPS-funksjonalitet på klienter og servere. c) Hendelser fra disse verktøyene bør logges, se prinsipp 3.2 - Etabler sikkerhetsovervåkning.
Utdypende informasjon

Forsvar mot skadevare må kunne operere i dynamiske miljøer, støtte storskala automatisering, få hurtige oppdateringer, og være integrert med prosesser for hendelseshåndtering. Forsvaret må også distribueres til et antall mulige angrepspunkter for å detektere skadevare, hindre bevegelse eller kontrollere kjøring av skadelig kode.

Viktige trussel- og sårbarhetsvarsler publiseres på NSMs nettsider, se lenke 1. Tilsvarende varsler distribueres også fra kommersielle aktører og leverandører av programvare.

Lenker

NSM NCSC varsler

UK GOV - Antivirus and other security software

CIS CSC 3 – Continuous Vulnerability Management