Sårbarhedsscanninger

DKCERT finder sikkerhedshuller, som angribere kan udnytte.

Ekstern scanning

Angreb på it-systemer udnytter ofte, at systemerne anvender gamle versioner af software, der er ikke opdateret med de seneste sikkerhedsrettelser. Derfor kan man øge sikkerheden ved at opdage og opdatere forældede systemer.

DKCERT scanner institutioner på forskningsnettet med værktøjer, der svarer til dem, de it-kriminelle bruger til at opdage potentielle ofre. Efter en scanning modtager institutionen en rapport med lister over sårbarheder opdelt efter, hvor alvorlige de er samt anvisninger til udbedring af sårbarhederne.

Institutioner på forskningsnettet kan gratis bestille scanninger. Scanninger uden for forskningsnettet skal der betales for.

Automatisk scanning

DKCERT udsender information fra ShadowServer-projektet (https://www.shadowserver.org/), der dagligt scanner forskningsnettet (og det øvrige internet) ud fra kendte og hyppigt udnyttede sårbarheder. Information om resultatet af scanningerne udsendes til institutionernes abuse-adresser.

Der er tale om en mere grovmasket scanning, end den som DKCERT udfører på bestilling for institutionerne.

DKCERT er med i netværket andre CERT-organisation, der leverer data til Shadowserver. I DKCERTs tilfælde indsamler vi data om angrebsforsøg mod DKCERTs tjenester gennem en opstillet Honey-pot. Resultatet fra vores Honey-pot sendes til ShadowServer-projektet, som korrelerer og aggregerer data til brug for en målrettet scanning for sårbarheder af de institutioner, som har tilmeldt sig projektet.

Intern scanning

DKCERT tilbyder også muligheden for at sætte en intern scanner op, som DKCERT fjernstyrer. Dermed kan institutionen fx afdække, om isoleringen mellem netværkssegmenter fungerer som ventet. Den kan også opdage servere, der ikke er dokumenteret. En intern scanning kræver lidt mere information, før den kan gennemføres. Følgende informationer er påkrævet:

  1. Skal der foretages scanninger fra DHCP eller en fast IP-adresse?
  2. Ved fast IP-adresse er der behov for information om
    • IP-adresse
    • Default gateway på IP-adressens segment
    • DNS adresse(r)
  3. De ønskede netværkssegmenter 
  4. Den fysiske adresse, hvorpå scanningsenheden ønskes sat op (lille boks på 20 X 40 X 10 cm)

Scanninger vil i udgangspunktet blive foretaget uden 'credentials'. Det anbefales, at oprettes en eller flere 'service bruger(e)' med administrative rettigheder, hvilket vil give en mere dybdegående analyse af jeres sårbarheder. DKCERT kan håndtere brugere til Windows- og Linux-platformen, da DKCERT ikke skanner på applikationsniveau, med mindre andet er aftalt.

Bestilling af scanninger kan ske ved at sende en e-mail til cert@cert.dk.