Sikkerhetsskanning

Vi skanner kontinuerlig etter kjente sårbarheter og rapporter funn ved jevne intervaller avhengig av alvorlighetsgraden. Skanningen gjøres ved bruk av skanndata fra samarbeidspartnere, åpne kilder og egen skanning og resultatene settes sammen til en rapport.

Varslingsintervall

Vi rangerer, og rapporterer i følgende intervaller.

Varslingsfrekvens avhenger av den mest kritiske sårbarheten som er oppdaget.

På internett skanner vi basert på IP-adresser og domener som er meldt inn til oss.

På Helsenettet skanner vi alt, og rapporterer funn til eier av IPen.

For å ta i bruk tjenesten:

• Meld inn hvilke IPer du har på internett
• Meld inn helsenett-IPer
• Meld inn domener.
• Kontaktpunkt (e-postadresse) for varsling av sårbarheter.
• Vi anbefaler at dere hvitelister våre IP-adresser slik at skannet ikke stoppes i IPS.
• Vi ønsker ikke at dere åpner opp i brannmur for IPene våre da alle skannresultater tar utgangspunkt i at det som skannes er nårbart fra internett.

Tjenestebeskrivelse

Vi gjennomfører portskanning og utarbeider en oversikt over alle åpne porter for virksomheter tilknyttet NBP. Rapporten sendes ut kvatalsvis. Resultatet kan brukes til å få oversikt over eksponerte IP-adresser, hoster og porter som er åpne fra Internett, redusere tilgjengeligangrepsflate på Internett samt kontrollere endringer for tjenester eksponert mot Internett.

Vi utarbeider fra før av en egen sårbarhetsoversikt for deres virksomhet (omtalt over). Sårbarhetsoversikten gir en oversikt over kjente sårbarheter vi har avdekket i deres eksponerte tjenester. Portskanningen vil gi en oversikt over alle porter som svarer på vår portskanning.

Portskanning og sårbarhetsskanning er velkjente teknikker som brukes av angripere for å kartlegge tjenester de kan forsøke å bryte seg inn i.Angripere bruker både kjente og ukjente sårbarheter for å angripe våre systemer. Det siste kalles også "nulldagssårbarheter", altså en sårbarhet som ikke er kjent for leverandøren av programvaren og som det ikke finnes noen sikkerhetsoppdatering til.

For å redusere risiko for datainnbrudd er det ønskelig å redusere angrepsflaten så mye som mulig ved å ikke ha flere åpne porter og tjenester enn nødvendig på Internett. Dette er god sikkerhetspraksis.Ved å fjerne tjenester og porter som ikke trenger å være åpne vil man også unngå at framtidige sårbarheter som blir avdekket i disse applikasjonene kan utnyttes fra Internett.

Hvordan bruke portskanningsresultatene

Start med å gå igjennom den fullstendige oversikten som inneholder informasjon om alle porter som svarte på vår skanning. Bruk denne til å identifisere om det er porter som ikke trenger å være eksponert på Internett og sperr disse i brannmur. Oversikten kan også brukes til å rydde i eksisterende brannmurregler og verifisere at ting er som tiltenkt.

Oversikten over nye og avviklede porter siste periode kan deretter brukes til å verifisere og få kontroll på endringer som er gjort i brannmur siden forrige rapport.

Vår anbefaling:

1. Gå gjennom oversikten "Alle porter" i rapporten og kartlegg hvilke tjenester dette er og
   1. Lukk porter som ikketrenger å være åpne
   2. Flytt tjenester bak en VPN om mulig.
2. Gå deretter gjennom nye og avviklede porter i de neste portskannrapportene og pass på at endringene stemmer.

Ved å minimere deres angrepsflate på Internett til kun høyst nødvendig tjenester vil dere også redusere risikoen for å bli rammet av datainnbrudd.

Metoder og risiko

Åpne porter identifiseres gjennom automatisk skanning og feil kan forekomme. Vi ønsker tilbakemelding ved mistanke om feil i vår oversikt.

Varsling

Oversikt over alle åpne porter som blir identifisert rapporteres til e-postlisten sarbarhet-<navn> (Beskrevet under Informasjonsdeling og forebygging). Varslingen foregår automatisk og sendes ut månedlig.

Oversikten sendes ut som et xlsx med tre faner:

- Alle porter- oversikt alle åpne porteridentifisert.

- Nye porter- Oversikt over nye tjenester observert siden sist.

- Avviklet- Oversikt over porter som ikke lengre er åpne.

For å ta i bruk tjenesten:

• Meld inn hvilke IPer du har på internett
• Meld inn helsenett-IPer
• Meld inn domener.
• Kontaktpunkt (e-postadresse) for varsling av sårbarheter.
• Vi anbefaler at dere hvitelister våre IP-adresser.

Hvis dere har domener som ligger hos eksterne/skyleverandører som dere ønsker at vi skanner ber vi om at dere innhenter tillatelse om skanning fra deres leverandør og informerer om hvilke IP'er vi skanner fra.

IP-adresser det skannes fra

I statuspport for e-postsikkerhet ser vi etter TLS, STARTTLS, DNSSEC, SPF og DMARC.

skanningen går kontinuerlig.

Resultatet fra skann sendes ut kvartalsvis.

Dette er mekanismer som på forskjellig måte sikrer innkommende og utgående e-post. Vi anbefaler at man har alle disse på plass. De vil da meldes som grønne i statusrapporten.

Vi har en guide for innføring av SPF, DKIM og DMARC og et webinar hvor vi beskriver mekanismene.

For å ta i bruk tjenesten:

• Meld inn domenene dine
• Meld inn e-postresultatet ønskes sendt til (vi bruker samme e-postliste her som for vanlig sårbarhetsskanning, beskrevet under Informasjonsdeling og forebygging)