Olika typer av sårbarhetsanalyser

Det finns ingen universallösning. Vilken typ av analys ni behöver beror på er miljö, era tillgångar och er hotbild.

Molnmiljöer kräver ett annat angreppssätt

I AWS, Azure eller GCP handlar sårbarhetsanalys lika mycket om konfiguration som om patchning. En S3-bucket med publikt läsbehörighet är inte en sårbarhet i traditionell mening – inget CVE-nummer finns – men effekten kan vara katastrofal.

Enligt Datadog State of Cloud har felkonfigurerade molnresurser konsekvent varit bland de vanligaste säkerhetsproblemen i molnmiljöer. Vår erfarenhet på Opsio bekräftar detta: de flesta allvarliga exponeringar vi hittar i kunders AWS- och Azure-miljöer handlar inte om ouppdaterad mjukvara utan om överdrivet generösa IAM-roller, publika API-endpoints utan autentisering, och säkerhetsgrupper som tillåter trafik från 0.0.0.0/0.

Molnsäkerhet

Så genomför ni en sårbarhetsanalys – steg för steg

1. Avgränsning och planering

Bestäm scope innan ni skannar. Frågor att besvara:

• Vilka system ingår? (externt exponerade, interna, molnbaserade, hybrida)
• Vilka är de verksamhetskritiska tillgångarna?
• Finns det system som inte tål aggressiv skanning (äldre SCADA-system, medicinteknik)?
• Vilka tidsramar gäller – kan vi skanna under kontorstid eller måste det ske nattetid?
• Vem äger åtgärdsprocessen efteråt?

Den sista punkten är avgörande. En sårbarhetsanalys utan definierad åtgärdsprocess är ett slöseri med tid.

2. Informationsinsamling

Kartlägg er miljö: IP-adressrymder, domäner, DNS-poster, molnkonton, applikationsinventering. I molnmiljöer kan ni använda AWS Config, Azure Resource Graph eller GCP Asset Inventory för att få en komplett bild.

Komplettera med hotinformation: vilka CVE:er exploateras aktivt just nu? CISA:s Known Exploited Vulnerabilities Catalog (KEV) är en utmärkt källa – om en sårbarhet finns där bör den behandlas med högsta prioritet oavsett CVSS-poäng.

3. Automatiserad skanning

Kör skanningar med etablerade verktyg. Några välbeprövade alternativ:

• Nessus/Tenable – marknadsledande för nätverks- och värdbaserad skanning
• Qualys – stark i molnmiljöer med integrerad CSPM
• OpenVAS – open source-alternativ med gedigen CVE-täckning
• AWS Inspector – nativt för AWS, bra för EC2- och Lambda-sårbarheter
• Microsoft Defender for Cloud – integrerat i Azure med regulatoriska compliance-dashboards

Kör både autentiserade och oautentiserade skanningar. Autentiserade skanningar (med inloggningsuppgifter) hittar betydligt fler sårbarheter – typiskt 3–5 gånger fler – eftersom de kan inspektera installerade paket och konfigurationer inifrån.

4. Manuell verifiering och kontextualisering

Här skiljs amatörer från professionella. En automatiserad skanning genererar hundratals eller tusentals fynd. Många är falska positiver. Andra är tekniskt korrekta men irrelevanta i ert sammanhang.

Manuell verifiering innebär att:

• Bekräfta att sårbarheten faktiskt existerar (inte en falsk positiv)
• Bedöma om kompenserande kontroller redan minskar risken (t.ex. en sårbarhet bakom VPN och WAF)
• Kontextualisera mot er miljö – en sårbar Apache-version som bara servar en intern statussida är inte samma sak som samma version i ert kundvända e-handelssystem

5. Riskklassificering och prioritering

CVSS-poäng är en startpunkt, inte en slutstation. Vi rekommenderar en modell som väger in tre faktorer:

Risk = Sårbarhetens allvarlighet × Systemets exponeringsgrad × Tillgångens affärsvärde

En CVSS 7.5-sårbarhet i ett internetexponerat system som hanterar kunddata (hög exponering, högt affärsvärde) bör åtgärdas före en CVSS 9.8 i ett isolerat testsystem utan känslig data.

I Opsios SOC använder vi denna typ av kontextuell prioritering dagligen. Vi ser att organisationer som slaviskt följer CVSS-rangordning ofta lägger resurser på fel ställen.

6. Åtgärdsplanering och genomförande

Skapa en åtgärdsplan med tydliga ägare, tidsramar och verifieringssteg:

• Kritiskt (åtgärda inom 24–72 timmar): Aktivt exploaterade sårbarheter i exponerade system
• Högt (åtgärda inom 1–2 veckor): Kända exploits tillgängliga, system med känslig data
• Medium (åtgärda inom 30 dagar): Sårbarheter utan känd exploit, system med kompenserande kontroller
• Lågt (åtgärda vid nästa underhållsfönster): Informativa fynd, bästa praxis-avvikelser

Integrera åtgärdsarbetet i er befintliga ändringshanteringsprocess. Säkerhetspatchar som rullas ut utan ändringshantering skapar nya risker.

Managerade molntjänster

7. Verifiering och rapportering

Skanna om efter åtgärd för att bekräfta att sårbarheterna faktiskt är borta. Vi har sett otaliga fall där en patch "applicerades" men tjänsten inte startades om, eller där en konfigurationsändring inte propagerade till alla instanser.

Rapporten bör innehålla:

• Exekutiv sammanfattning för ledning (affärspåverkan, trender, åtgärdsgrad)
• Teknisk detaljrapport för driftteam (specifika fynd, åtgärdsanvisningar)
• Trendanalys om det inte är första gången (förbättras vi eller försämras vi?)

Vanliga misstag – och hur ni undviker dem

Att skanna utan att åtgärda. En rapport som hamnar i en mapp på SharePoint gör ingen nytta. Definiera åtgärdsprocessen innan ni skannar.

Att bara skanna externt. Lateral movement – där en angripare rör sig från ett komprometterat system till nästa – bygger på interna sårbarheter. Intern skanning är lika viktig.

Att glömma molnkonfigurationer. Som nämnt handlar molnsäkerhet lika mycket om IAM och nätverksregler som om OS-patchar. Använd CSPM-verktyg parallellt med traditionell sårbarhetshantering.

Att behandla alla CVSS 9+ lika. Kontext avgör. En kritisk sårbarhet utan känd exploit i ett isolerat system är lägre prioritet än en medelsvar sårbarhet med publik exploit i ett exponerat system.

Att göra det en gång om året. Nya CVE:er publiceras dagligen. En årlig analys ger er en ögonblicksbild som är inaktuell inom veckor. Sträva efter kontinuerlig eller åtminstone kvartalsvis skanning.

Managerad DevOps

Sårbarhetsanalys som del av en bredare säkerhetsstrategi

En sårbarhetsanalys i isolation har begränsat värde. Verklig styrka uppnås när den integreras med:

• Incidenthantering: Sårbarhetsinformation matar er hotmodell och förbättrar detektionsförmågan
• Patchhantering: Automatiserade skanningsresultat driver patchprioriteringar
• CI/CD-pipeline: Skift-vänster genom att skanna container-images och IaC-templates innan de når produktion
• FinOps: Kasserade men fortfarande aktiva resurser (zombie-resurser) utgör både en kostnads- och säkerhetsrisk

I Opsios SOC/NOC ser vi dagligen hur dessa processer hänger ihop. Ett alarm från vår SIEM korreleras med kända sårbarheter i den drabbade tillgången, vilket dramatiskt snabbar upp triage-processen. Utan sårbarhetsinformation saktar varje incidentutredning ner.

Cloud FinOps

Att välja rätt partner för sårbarhetsanalys

Inte alla organisationer har kompetens eller kapacitet att driva en fullständig sårbarhetshanteringsprocess internt. Vid val av partner, överväg:

• Har de ett eget SOC? Sårbarhetsanalys utan koppling till hotinformation och incidenthantering tappar halva värdet.
• Förstår de er molnmiljö? AWS, Azure och GCP har fundamentalt olika säkerhetsmodeller. Generisk kunskap räcker inte.
• Kan de gå från rapport till åtgärd? En rapport med 500 fynd utan åtgärdsplan är inte hjälpsam. En partner som kan både identifiera och remedierar sparar er veckor.
• Har de lokalt NOC/SOC med kompetens i svensk regulatorik? NIS2, GDPR och IMY:s tillsynspraxis kräver kunskap om svenska förhållanden.

Opsio driver SOC/NOC dygnet runt från Karlstad och Bangalore, med specifik expertis i AWS (eu-north-1, Stockholm) och Azure (Sweden Central). Vi ser verkliga attackmönster dagligen, vilket gör att vår prioritering av sårbarheter bygger på faktisk hotbild – inte teoretiska poängsystem.

Molnmigrering

Vanliga frågor

Hur ofta bör vi genomföra en sårbarhetsanalys?

Minst kvartalsvis för externa system och efter varje större förändring (ny tjänst, infrastrukturuppdatering, migrering). Verksamhetskritiska system med internetexponering bör skannas kontinuerligt – veckovis eller dagligen. NIS2-direktivet ställer krav på regelbunden riskbedömning, och kvartalsvis är ett rimligt minimum för att visa tillbörlig aktsamhet.

Vad är skillnaden mellan sårbarhetsanalys och penetrationstest?

En sårbarhetsanalys identifierar och klassificerar kända svagheter brett över hela er miljö – det handlar om bredd. Ett penetrationstest går djupare och försöker aktivt utnyttja sårbarheterna för att bevisa faktisk exploaterbarhet. Bäst resultat får ni genom att köra sårbarhetsanalys regelbundet och penetrationstest 1–2 gånger per år mot utvalda kritiska system.

Kan vi göra sårbarhetsanalys själva eller behöver vi extern hjälp?

Grundläggande skanningar med verktyg som OpenVAS eller Nessus kan ett internt team hantera. Utmaningen ligger i prioritering, kontextuell bedömning och åtgärdsplanering. En extern partner som Opsio bidrar med perspektiv från hundratals miljöer och ett SOC som ser verkliga attackmönster – det gör prioriteringen betydligt skarpare.

Vilka system bör ingå i en sårbarhetsanalys?

Allt som är nätverksanslutet: servrar, klienter, nätverksutrustning, molnresurser, API:er, webbapplikationer och IoT-enheter. Glöm inte stödsystem som byggsystem, CI/CD-pipelines och administrationsgränssnitt – de är ofta sämre härdade och därmed attraktiva mål.

Hur hanterar vi den stora mängden sårbarheter som dyker upp i en skanning?

Filtrera bort falska positiver genom verifiering, prioritera sedan utifrån tre faktorer: sårbarhetens allvarlighet (CVSS), systemets exponeringsgrad och tillgångens affärsvärde. Börja alltid med internetexponerade system som har kända exploits tillgängliga – det är där angriparna börjar.

For hands-on delivery in India, see disaster recovery molnet services.

For hands-on delivery in India, see gcp managed services.