Målet med prinsippet: Virksomheten kartlegger enheter og programvare på nettverket og har oversikt over forvaltede (og ikke-forvaltede) enheter og gjeldende konfigurasjon for disse.
Hvorfor er dette viktig ?
Kartlegging av enheter og programvare er viktig for å få oversikt over hva som befinner seg i virksomheten. Kartleggingen av enheter bør avdekke både virksomhetsstyrte enheter, legitime enheter med begrensede rettigheter (for eksempel IoT-enheter) og ukjente enheter (kan være f.eks. ansattes privat utstyr eller ondsinnede enheter). Tilsvarende bør kartlegging av programvare dekke all programvare som benyttes i virksomheten, både installert av IT-avdelingen og uautorisert programvare. Det er viktig at virksomheten selv får oversikt over enheter, programvare og deres sårbarheter før angripere gjør det.
Tilhørende tiltak
Utdypende informasjon
Angripere er kontinuerlig på jakt etter nye og ubeskyttede systemer og sårbare versjoner av programvare. Angriperne ser også etter enheter (spesielt mobile enheter) som kobles til og fra virksomhetens nettverk og mangler sikkerhetsoppdateringer og tilstrekkelig sikkerhetskonfigurasjon. Selv enheter som ikke er synlige fra Internett kan utnyttes av angripere som allerede har fått intern tilgang og er på jakt etter sårbare mål. Etter hvert som ny teknologi dukker opp har ikke-forvaltede enheter blitt vanlig der virksomheten tillater at ansatte bruker egne mobile enheter. Mange virksomheter har liten eller ingen kontroll på sikkerhetstilstanden til disse enhetene, og små muligheter til sikkerhetsovervåkning. De kan bli, eller er allerede kompromittert og benyttes til å angripe interne ressurser.
Svakt forvaltede eller ikke-forvaltede enheter vil ha større sannsynlighet for å kjøre uønsket programvare eller skadevare. En trusselaktør ønsker som regel å tilegne seg størst mulig tilganger og rettigheter i et IKT-system for å få tilgang på informasjon og ressurser. En måte å gjøre dette på er ved å hacke seg inn på en sårbar enhet og benytte denne som et utgangspunkt for å samle informasjon fra det kompromitterte systemet og fra andre enheter og systemer som enheten kan kommunisere med. Kompromitterte enheter kan benyttes som et utgangspunkt for bevegelse rundt i hele nettverket samt tilknyttede nettverk. Én kompromittert maskin blir raskt til mange. Virksomheter som ikke har en komplett oversikt over hvilken programvare som kjører og skal kjøre i nettverket vet ikke om systemer kjører sårbar eller skadelig programvare.
I praksis kan det være utfordrende for virksomheter å ha full kontroll på hele IKT-infrastrukturen. I valget mellom sikkerhet og behov for leveranser vil virksomheter ofte måtte godta enheter med lavere sikkerhetsnivå enn ønsket. Det avgjørende er at virksomheter er bevisst de strategier som velges og vurderer de funksjonelle behovene opp mot risikobildet. I en del tilfeller vil ikke virksomheten ha kontroll på en gitt type utstyr, for eksempel ved eksterne leverandører eller ved å tillate bruk av ikke-forvaltede enheter. Virksomheten må være bevisst sikkerhetsutfordringene det medfører og vurdere kompenserende tiltak som for eksempel forsterket deteksjonsevne, segregering og lavere eksponering av verdifull informasjon og IKT-systemer.