Unternehmen handhaben das Schwachstellenmanagement auf unterschiedliche Weise, von der Schulung und Implementierung von Best-Practice-Verfahren bis hin zum Herausfiltern aller bis auf die gefährlichsten Bedrohungen. Hier ein Blick auf einige der heutigen innovativeren Lösungen. [...]
Die Wissenschaft und Technologie hinter dem Schwachstellenmanagement hat sich in kurzer Zeit stark verändert. Bei ihrem ursprünglichen Einsatz verhielten sich Schwachstellen-Management-Unternehmen fast wie Antiviren-Anbieter, indem sie versuchten, ihre Scanner dazu zu bringen, so viele potenzielle Bedrohungen wie möglich aufzudecken. Sie prahlten sogar damit, dass sie in der Lage waren, mehr Schwachstellen aufzudecken, die sich in Testbeds verbargen, als ihre Konkurrenten. Das Problem mit dieser Logik ist, dass im Gegensatz zu Viren und anderen Arten von Malware Schwachstellen nur potenziell ein Problem darstellen. Damit eine Schwachstelle wirklich gefährlich ist, muss sie für einen Angreifer zugänglich und relativ leicht ausnutzbar sein. Eine Schwachstelle, die sich auf einer internen Ressource befindet, stellt also keine große potenzielle Bedrohung dar, ebenso wenig wie eine Schwachstelle, die zusätzliche Komponenten wie den sicheren Zugang zu anderen Netzwerkdiensten erfordert. Es ist wichtig zu wissen, was wirklich gefährlich ist, damit Sie planen können, was Sie jetzt beheben und was Sie auf später verschieben oder sogar ignorieren können.
Es ist auch hilfreich, Schwachstellen nach ihren potenziellen Auswirkungen zu kategorisieren, falls sie ausgenutzt werden sollten. Dazu gehört auch der potenzielle Schweregrad der Ausnutzung, wie z.B. das Auslöschen einer ganzen Datenbank im Vergleich zum Aussperren eines einzelnen Benutzers und der Wert der betroffenen Ressourcen. Die Verschandelung Ihrer öffentlich zugänglichen Website ist peinlich, aber der Diebstahl vertraulicher Daten kann von entscheidender Bedeutung sein.
Die besten Programme zum Management von Schwachstellen sollten den Scans Kontext hinzufügen. Einige bieten sogar automatische Korrekturen, Schulungen oder präventive Unterstützung durch künstliche Intelligenz (KI). Es ist auch wichtig, die Einhaltungsstandards, gesetzlichen Vorschriften und besten Praktiken zu verstehen, die für die Organisation gelten, die den Scan startet. Da sich in jedem großen Unternehmensnetzwerk potenziell Tausende von Schwachstellen verbergen können, ist dies die einzige Möglichkeit, Korrekturen zuverlässig zu priorisieren.
Die folgenden fünf Produkte gehen bei mindestens einem Aspekt des Schwachstellenmanagements an die Grenzen des Möglichen.
Kenna Security Vulnerability Management
Die Kenna Security Vulnerability Management-Plattform war eine der ersten, die vor einigen Jahren Echtzeit-Bedrohungsdaten in das Schwachstellenmanagement integrierte. Seitdem wurde die Plattform um weitere Bedrohungs-Feeds erweitert, darunter auch einen, den das Unternehmen speziell auf der Grundlage der Netzwerke seiner Kunden verwaltet. Sie hat auch die Unterstützung von weiteren Schwachstellen-Scannern hinzugefügt und arbeitet heute mit so gut wie jedem auf dem Markt zusammen.
Kenna führt keine eigenen Scans durch. Stattdessen stellt es Konnektorprogramme zur Verfügung, die es ihm ermöglichen, Daten von fast jedem Schwachstellen-Scanner aufzunehmen, einschließlich derer von Tripwire, Qualys, McAfee und CheckMarx. Die Plattform selbst wird als Service bereitgestellt, wobei sich die Kunden in ein Cloud-Portal einloggen, um ihre Informationen zu überprüfen und Kenna die Erlaubnis zu erteilen, sich über das zu schützende Netzwerk zu informieren.
Die Idee hinter Kenna ist, dass es die vielen Schwachstellenwarnungen sammelt, die von Scannern eingesandt werden, und diese dann in Echtzeit mit den Bedrohungsdaten vergleicht. Es kann eine entdeckte Schwachstelle mit einer aktiven Bedrohungskampagne verknüpfen, die sie ausnutzt, und eine schnelle Lösung priorisieren. Alle Schwachstellen, die in der Welt ausgenutzt werden, werden automatisch mit höherer Priorität behandelt, so dass die Verteidiger die gefährlichsten Probleme lösen können, bevor die Angreifer sie entdecken und ausnutzen.
Die Plattform leistet gute Arbeit, wenn es darum geht, zu erklären, warum es in einem geschützten Netzwerk Schwachstellen gibt, und gibt Tipps, wie man sie beheben kann. Sie kann aufgedeckte Schwachstellen nach Priorität ordnen, je nachdem, welche Anlagen sie betreffen könnten und wie schwerwiegend das Problem ist. Das ist eine gute Eigenschaft, die man haben kann, aber die Priorisierung von Schwachstellen auf der Grundlage aktiver Bedrohungskampagnen ist das Ass im Ärmel, das die Plattform von Kenna zu einem der besten Instrumente macht, um kritische Probleme hervorzuheben, die unbedingt zuerst behoben werden müssen.
Flexera Vulnerability Manager
Während sich viele Schwachstellenmanager auf Anwendungen und Code konzentrieren, die ein Unternehmen selbst entwickelt, beschäftigt sich die Flexera-Plattform eher mit Softwareprogrammen von Drittanbietern, die fast jedes Unternehmen zur Abwicklung seiner Geschäfte verwendet. In den meisten Fällen erfolgt die Behebung einer Schwachstelle in gekaufter oder lizenzierter Software durch die Anwendung eines Patches. Für ein Unternehmen kann das eine große Sache werden, besonders wenn es Tausende von Systemen oder kritischen Diensten offline schalten muss, um den Patch anzuwenden. Es ist sogar möglich, dass die Behebung eines Problems aufgrund der engen Integration von Software heutzutage eine ganze Reihe anderer Probleme verursachen kann.
Die Flexera Software Vulnerability Management Software hilft bei diesem Problem, indem sie einen sicheren Patch-Verwaltungsprozess für ein ganzes Unternehmen schafft. Sie kann Schwachstellen in Software von Drittanbietern finden und Administratoren über die Schwere der potenziellen Bedrohung beraten. Es kann wenig nützen, wenn man Tausenden von Benutzern einen massiven Patch zur Verfügung stellt, um eine kleinere Schwachstelle zu beheben oder eine Funktion zu patchen, die von der geschützten Organisation nicht installiert oder verwendet wird. Flexera kann dabei helfen, diese Entscheidungen zu treffen, indem es den Kontext bereitstellt und den Patch dann einsetzt, wenn es notwendig wird.
Flexera kann auch verwendet werden, um ein automatisiertes Patch-Management-System zu verankern, indem Schwachstellen bei Bedarf auf eine Weise behoben werden, die den Betrieb nicht beeinträchtigt. Und schließlich kann es maßgeschneiderte Berichte über Schwachstellen- und Patch-Management erstellen und auch darüber, wie ein Unternehmen relevante Rahmenbedingungen, Gesetze und bewährte Praktiken einhält.
Tenable.io
Tenable ist in der Branche bekannt für die Erstellung von Sicherheits-Dashboards für jede Umgebung. Sie bringen die gleiche Diagnosetechnologie in ihr Schwachstellenmanagementprogramm Tenable.io ein. Diese Plattform wird in der Cloud verwaltet, so dass sie innerhalb einer geschützten Organisation nur einen geringen Platzbedarf hat. Sie verwendet eine Kombination aus aktiven Scan-Agenten, passiver Überwachung und Cloud-Konnektoren, um nach Schwachstellen zu suchen. Tenable.io wendet dann maschinelles Lernen, Datenwissenschaft und KI an, um vorherzusagen, welche Korrekturen zuerst vorgenommen werden müssen, bevor ein Angreifer sie ausnutzen kann.
Eine der größten Stärken von Tenable.io ist die Tatsache, dass es sowohl das Dashboard als auch seine kundenspezifischen Berichte nutzt, um Schwachstellen in einer für jedermann verständlichen Weise aufzuzeigen. Ganz gleich, ob jemand ein Entwickler, Teil des Betriebsteams oder ein Mitglied der IT-Sicherheit ist, er kann die von Tenable.io erzeugten Warnungen leicht nachvollziehen. In gewisser Weise bietet Tenable.io Schwachstellenmanagement für alle, die keine spezielle Ausbildung oder Fachkenntnisse benötigen.
ZeroNorth
Die Einbeziehung von ZeroNorth in eine Auflistung von Programmen zum Schwachstellenmanagement mag etwas merkwürdig erscheinen, da die Plattform selbst eigentlich nichts scannt. Stattdessen wurde sie so konzipiert, dass sie andere Schwachstellen-Scanner konsolidiert und dazu beiträgt, deren Defizite auszugleichen. Angesichts der unmöglichen Anzahl von Schwachstellen, mit denen die meisten großen Unternehmen konfrontiert sind, ist es ein Tool, das seine Nützlichkeit schnell unter Beweis stellen wird.
ZeroNorth wird als Dienst bereitgestellt, wobei sich die Benutzer in eine sichere Web-Plattform einloggen, um ihre Umgebung zu überwachen. Der Anschluss verschiedener Scanner in unserem Testnetz an die ZeroNorth-Plattform war einfach, und wir waren in kürzester Zeit einsatzbereit. Natürlich brauchen Sie Schwachstellen-Scanner in Ihrer Umgebung, um Daten mit ZeroNorth zu erhalten, aber es kann Daten aus jedem Teil des Netzwerks verarbeiten, von der Entwicklungsumgebung bis zur Produktion. Wenn Sie keine Scanner haben, bietet die Plattform eine einfache Möglichkeit, Open-Source- oder kommerzielle Scanner zu Ihrer Umgebung hinzuzufügen, die dann automatisch mit der Plattform verbunden werden.
Die ZeroNorth-Plattform leistet viel Arbeit bei der Konsolidierung und Analyse von Daten, die von Scannern kommen. Ein schönes Merkmal ist, dass sie zeigen kann, wie Verwundbarkeiten miteinander zusammenhängen und sogar voneinander abhängig sind. Ein Rohscan könnte zum Beispiel 20 neue Schwachstellen aufdecken, aber in den meisten Fällen wird er Ihnen nicht sagen, dass 19 davon aufgrund des ersten Fehlers existieren. ZeroNorth wird es tun. Wenn Sie dann nur eine Schwachstelle beheben, können Sie 20 weitere aus Ihrem Netzwerk entfernen. In unserem Testnetz hat jede von ZeroNorth empfohlene Schwachstelle im Durchschnitt 14 weitere Schwachstellen beseitigt.
Es leistet auch hervorragende Arbeit bei der Nachverfolgung, wer anfällige Ressourcen geschaffen hat und wer sie verwaltet. Natürlich kann es alle seine Ergebnisse an Administratoren und seine zentrale Konsole melden, aber es kann auch Warnmeldungen und empfohlene Korrekturen an Anwendungseigentümer senden. Auf diese Weise können die Personen, die am meisten für eine anfällige Anwendung verantwortlich und wahrscheinlich am meisten mit der Behebung von Problemen beschäftigt sind, sofort mit der Arbeit an einem Fix beginnen.
Auch die Überwachung der Schwachstellen-Scanner selbst ist eine gute Sache. So können Sie beispielsweise feststellen, ob ein Scanner eine kritische Schwachstelle übersieht, die von anderen entdeckt wird. Auf diese Weise können Sie erkennen, ob sich Ihre Investition in spezielle Schwachstellen-Scanner bezahlt macht. Als solches wäre ZeroNorth eine äußerst wertvolle Ergänzung für jedes Unternehmen, das versucht, die Flut von Scanner-Ausbreitungswarnungen zu bändigen oder seine Scan-Genauigkeit entweder durch neue Richtlinien oder Tools zu verbessern.
Infection Monkey
Das Infection-Monkey-Programm von Guardicore könnte als eine weitere seltsame Wahl für eine Schwachstellen-Razzia angesehen werden, aber der Detaillierungsgrad, den es in Bezug auf Sicherheitsmängel und Schwachstellen bietet, macht es für fast jedes Unternehmen wertvoll. Es ist außerdem kostenlos, mit modifizierbarem Quellcode, so dass Sie nichts zu verlieren haben, wenn Sie es ausprobieren.
Infection Monkey ist ein großartiges Tool, weil es nicht nur Schwachstellen identifiziert, sondern auch genau aufzeigt, wie ein Angreifer sie potenziell ausnutzen könnte. Sie können das Programm einsetzen, um in Umgebungen mit Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack und Google Cloud Platform nach Sicherheitslücken zu suchen. Da auch der Python-basierte Quellcode mitgeliefert wird, können Benutzer das Programm so konfigurieren, dass es auch in jeder proprietären oder einzigartigen Umgebung funktioniert.
Das Programm verwendet echte Angriffe und Techniken, die von Guardicore ständig aktualisiert und ausgebaut werden. Tatsächlich handelt es sich technisch gesehen nicht um eine Simulation, denn es greift tatsächlich auf ein Netzwerk zu. Es hat einfach keine bösartige Nutzlast. Wenn Ihre vorhandenen Sicherheitstools Infection Monkey stoppen können, um so besser, denn das bedeutet, dass jede Schwachstelle, die sich hinter dieser Verteidigung versteckt, als niedrige Priorität betrachtet werden könnte.
Der wahre Wert kommt erst dann zum Tragen, wenn Infection Monkey erfolgreich in das Netzwerk eindringt, was je nach Komplexität des angegriffenen Netzwerks zwischen wenigen Minuten und vielen Stunden dauern kann. Sobald es eine Schwachstelle gefunden und ausgenutzt hat, zeichnet das Programm jeden Schritt auf, den es auf dem Weg dorthin unternommen hat, einschließlich der Schwachstellen, die es ausgenutzt hat und welche Abwehrmaßnahmen umgangen oder ausgetrickst wurden.
Wenn Sie eine Liste mit Tausenden von Schwachstellen vor sich haben, verwenden Sie Infection Monkey, um herauszufinden, welche Schwachstellen von Angreifern ausgenutzt werden können. Patchen Sie diese dann zuerst und setzen Sie den Affen dann noch einmal zur Kontrolle Ihrer Arbeit ein.
*John Breeden II ist ein preisgekrönter Journalist und Rezensent mit über 20 Jahren Erfahrung im Bereich Technologie. Er ist der CEO des Tech Writers Bureau, einer Gruppe, die für Unternehmen aller Größenordnungen Inhalte für technologische Vordenker schafft.
Be the first to comment