Generella råd kopplade till CERT-SE:s tjänster

CERT-SE tillhandahåller olika produkter till svenska verksamheter. För att underlätta och tydliggöra rådgivning kring innehållet i dessa produkter har en gemensam modell för gruppering av företeelser skapats. De grupperingar som finns och hur innehållet i CERT-SE:s produkter kopplas till respektive gruppering redovisas nedan. Till varje gruppering redovisas också generella råd avseende vad mottagaren bör göra. Dessa råd kan inte göra anspråk på att vara kompletta utan bör betraktas som de absolut minsta åtgärder som mottagaren av våra produkter bör vidta.

Misstänkt komprometterade enheter

Dessa benämns som ”suspected compromise” i kolumnen ”category” i våra produkter.

Dessa bör skyndsamt eskaleras till incidenthantering/motsvarande, lokaliseras och som minst neutraliseras så att de inte utgör fara för er miljö eller tredje part. Om de är uppkopplade på gästnätverk eller motsvarande bör ni implementera funktioner för att försvåra för skadlig trafik att nå internet från dessa nät.

Sårbara tjänster

Dessa benämns som ”vulnerable services” i kolumnen ”type” i våra produkter.

Detta är tjänster som är bekräftat sårbara och som skyndsamt behöver åtgärdas. Oftast finns det en säkerhetsuppdatering att installera eller specifika råd från tillverkaren att implementera. Följ nogsamt tillverkarens råd kring hur den identifierade sårbarheten åtgärdas. Kom särskilt ihåg att tjänsten varit sårbar och nåbar vilket gör att ni behöver genomföra aktiviteter för att kunna bekräfta eller utesluta om tjänsten blivit komprometterad innan sårbarheten åtgärdades.

Det har under de senaste åren varit ett återkommande problem att sårbara tjänster blir komprometterade och att angripare etablerar fotfästen innan sårbarheten blir åtgärdad, fotfästen som finns kvar även då sårbarheten i sig blivit åtgärdad.

Potentiellt sårbara tjänster

Detta är tjänster som misstänks vara sårbara och vars status skyndsamt behöver kontrolleras av mottagande organisation då det inte går att fastställa dess status via externa kontroller. Om tjänsten konstateras vara sårbar, följ anvisningarna för “Sårbara tjänster”. Om den inte bedöms sårbar, undersök varför tjänsten svarar på ett sätt som troligen avviker från norm.

Exponerade tjänster

Dessa benämns som ”exposed services” i kolumnen ”type” i våra produkter.

Detta är tjänster som troligen är exponerade i onödan, även om de inte för närvarande är bekräftat sårbara. Det finns olika bedömningsgrunder som leder till antagandet att de är exponerade i onödan. En anledning kan vara att en tjänst har ett självsignerat certifikat, en annan att det är en tjänst som sällan bör exponeras på internet, till exempel en SQL-server. Tjänster av denna typ behöver ni kontrollera om de verkligen ska exponeras mot internet, om de ska exponeras på det sätt som de görs eller om det finns anledning att åtgärda dem.

Osäkra konfigurationer

Dessa benämns som ”ddos potential”, ”end-of-life component” eller ”weak encryption” i kolumnen ”type” i våra produkter.

Företeelser som hamnar i denna kategori har normalt egenskapen att de erbjuder en angripare möjligheten att nyttja utrustningen för skadliga ändamål. Den som exponerar en osäker konfiguration kommer sannolikt att utgöra en del i, eller ingår redan i, angriparens infrastruktur och riskerar därmed att delta i angrepp mot andra även om den egna miljön inte påverkas direkt negativt av den osäkra konfigurationen. Osäkra konfigurationer behöver ni åtgärda så att ni inte utgör fara för tredje part och/eller i onödan läcker information som underlättar för en aktör att angripa er.

Tillgängliga tjänster och portar

Dessa benämns som ”open port” eller ”open service” i kolumnen ”type” i våra produkter.

Tjänster av denna typ behöver ni kontrollera om de verkligen ska exponeras mot internet, om de ska exponeras på det sätt som de görs eller om det finns anledning att åtgärda dem. Dessa kan vara tillgängliga avsiktligt eller oavsiktligt. Om nuvarande exponering av tjänsten/porten är i enlighet med era riktlinjer är det viktigt att ni säkerställer att de även fortsättningsvis exponeras på ett tillförlitligt sätt, utan kända brister i mjukvara och utan bekräftat osäkra konfigurationer.

Senast uppdaterad: 2026-01-22 13:50

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post