Sikkerhetsskanning | Vulnerability scanning

Vi gjør jevnlig sikkerhetskanning av Helsenettet og medlemmer i NBP.

For english, see further down.

Sikkerhetsskanning inkluderer:

Sårbarhetsskanning (Internett og Helsenett i hver sin rapport)
Portskanning
Statusrapport e-postsikkerhet

Resultat fra hver av disse sendes på e-post til NBP-medlemmers e-postlister. (Se Informasjonsdeling og forebygging under helsecert.no.) Rapporteringsfrekvensen varierer og er beskrevet under hver rapporttype under.

For å gjøre et fullstendig skann må vi vite hvilke IP-adresser og domener dere har. Dette kan meldes til oss på e-post: post@helsecert.no.

Oversikt over IP-adresser som brukes til skanning
Skanner	IPv4	IPv6
Helsenettskanner	172.31.124.66	2a05:ec0:1015::2
Internettskanner	83.118.176.114	2a05:ec0:1014::2
Internettskanner	83.118.176.122	2a05:ec0:1014:2::2
Utdanningssektor-skanner	83.118.176.118	2a05:ec0:1014:1::2

For å ta i bruk tjenesten:

Meld inn hvilke IPer du har på Internett
Meld inn Helsenett-IPer
Meld inn domener
NB! Hvis dere har egne domener som ligger hos eksterne/skyleverandører som dere ønsker at vi skanner ber vi om at dere innhenter tillatelse om skanning fra deres leverandør og informerer om hvilke IPer vi skanner fra.
Kontaktpunkt (e-postadresse) for varsling av sårbarheter
Vi ønsker ikke at dere åpner opp i brannmur for IPene våre for systemer som ikke er Internetteksponert, da alle skannresultater tar utgangspunkt i at det som skannes er nåbart fra internett
For systemer som er eksponert til eksterne, men hvitelistet til en eller flere IP-adresser, så ønsker vi at det også åpnes opp for IPene våre slik at dere kan få rapporter hvis vi finner sårbarheter i denne infrastrukturen
Vi anbefaler at dere hvitelister våre IP-adresser i IDS/IPS slik at skannet ikke stoppes av automatiserte sikkerhetsmekanismer. Dette kan også ha andre navn, eksempelvis Zone Protection for Palo Alto, hvor vi anbefaler at dere legger inn innstillinger som vist i bildet under.

Unntak av Helse- og kommuneCERTs skannere i Zone Protection for Palo Alto-brannmurer

Sårbarhetsskanning

Vi skanner kontinuerlig etter kjente sårbarheter og rapporter funn ved jevne intervaller avhengig av alvorlighetsgraden. Skanningen gjøres ved bruk av skanndata fra samarbeidspartnere, åpne kilder og egen skanning og resultatene settes sammen til en rapport.

Varslingsintervall

Vi rangerer, og rapporterer i følgende intervaller.

Oversikt over kritikalitet og rapporteringsfrekvens
Kritikalitet	Rapporteringsfrekvens
Kritisk	1 uke
Høy	1 uke
Medium	2 uker
Lav	4 uker

Varslingsfrekvens avhenger av den mest kritiske sårbarheten som er oppdaget.

På Internett skanner vi basert på IP-adresser og domener som er meldt inn til oss.

På Helsenettet skanner vi alt, og rapporterer funn til eier av IP-en.

Portskanning

Tjenestebeskrivelse

Vi gjennomfører portskanning og utarbeider en oversikt over alle åpne porter for virksomheter tilknyttet NBP. Rapporten sendes ut kvartalsvis. Resultatet kan brukes til å få oversikt over eksponerte IP-adresser, hoster og porter som er åpne fra Internett, redusere tilgjengelig angrepsflate på Internett samt kontrollere endringer for tjenester eksponert mot Internett.

Vi utarbeider fra før av en egen sårbarhetsoversikt for deres virksomhet (omtalt over). Sårbarhetsoversikten gir en oversikt over kjente sårbarheter vi har avdekket i deres eksponerte tjenester. Portskanningen vil gi en oversikt over alle porter som svarer på vår portskanning.

Portskanning og sårbarhetsskanning er velkjente teknikker som brukes av angripere for å kartlegge tjenester de kan forsøke å bryte seg inn i. Angripere bruker både kjente og ukjente sårbarheter for å angripe våre systemer. Det siste kalles også "nulldagssårbarheter", altså en sårbarhet som ikke er kjent for leverandøren av programvaren og som det ikke finnes noen sikkerhetsoppdatering til.

For å redusere risiko for datainnbrudd er det ønskelig å redusere angrepsflaten så mye som mulig ved å ikke ha flere åpne porter og tjenester enn nødvendig på Internett. Dette er god sikkerhetspraksis. Ved å fjerne tjenester og porter som ikke trenger å være åpne vil man også unngå at framtidige sårbarheter som blir avdekket i disse applikasjonene kan utnyttes fra Internett.

Hvordan bruke portskanningsresultatene

Start med å gå igjennom den fullstendige oversikten som inneholder informasjon om alle porter som svarte på vår skanning. Bruk denne til å identifisere om det er porter som ikke trenger å være eksponert på Internett og sperr disse i brannmur. Oversikten kan også brukes til å rydde i eksisterende brannmurregler og verifisere at ting er som tiltenkt.

Oversikten over nye og avviklede porter siste periode kan deretter brukes til å verifisere og få kontroll på endringer som er gjort i brannmur siden forrige rapport.

Vår anbefaling:

Gå gjennom oversikten "Alle porter" i rapporten og kartlegg hvilke tjenester dette er og
1. Lukk porter som ikke trenger å være åpne
2. Flytt tjenester bak en VPN om mulig.
Gå deretter gjennom nye og avviklede porter i de neste portskannrapportene og pass på at endringene stemmer.

Ved å minimere deres angrepsflate på Internett til kun høyst nødvendig tjenester vil dere også redusere risikoen for å bli rammet av datainnbrudd.

Metoder og risiko

Åpne porter identifiseres gjennom automatisk skanning og feil kan forekomme. Vi ønsker tilbakemelding ved mistanke om feil i vår oversikt.

Varsling

Oversikt over alle åpne porter som blir identifisert rapporteres til e-postlisten <navn>-saarbarhet (beskrevet under Informasjonsdeling og forebygging). Varslingen foregår automatisk og sendes ut månedlig.

Oversikten sendes ut som et xlsx-dokument med tre faner:

Alle porter - oversikt alle åpne porteridentifisert.
Nye porter - oversikt over nye tjenester observert siden sist.
Avviklet - oversikt over porter som ikke lengre er åpne.

Statusrapport e-postsikkerhet

Vulnerability scanning

HelseCERT (Norwegian HealthCERT) is a the national CERT for everything related to healthcare in Norway. One of our preventive measures to increase security in the norwegian health sector is vulnerability scanning.

Where do we scan from

Information about where our scanners operate from
IPv4 address	IPv6 address
83.118.176.122	2a05:ec0:1014:2::2
83.118.176.118	2a05:ec0:1014:1::2
83.118.176.114	2a05:ec0:1014::2
172.31.124.66*	2a05:ec0:1015::2*

* scanner located on the norwegian health network.

Why have I been scanned?

We scan IPs and domains reported as belonging to our constituents.

If you think you have been scanned by mistake please contact us at: .

Fant du det du lette etter?

Ja Nei