Vulnerability Management: Sieben Tools für die Suche nach Software-Schwachstellen

Verwundbarkeiten gibt es in großer Zahl zum Beispiel im Bereich immer komplexerer Web-Applikationen. Aus dem Patchen kommt man schnell nicht mehr heraus. Wichtig ist daher, Verwundbarkeiten und die damit einhergehenden Risiken schnell zu erkennen, zu identifizieren, für die Schwachstellen-Triage zu bewerten und zu melden. [...]

Angesichts der zunehmend komplexen Angriffsfläche und kontinuierlich wachsenden Softwarelücken benötigen IT-Verantwortliche eine robuste Strategie zum Verwalten von Verwundbarkeiten. Diese sollte nicht nur die richtigen Tools beinhalten, sondern auch zuverlässige Wissensressourcen als Grundlage für fundierte Entscheidungen. (c) stock.adobe.com/Ilja

Neue Schwachstellen schnellstmöglich zu schließen, ist eine zentrale Aufgabe für IT-Sicherheitsverantwortliche. Professionelle Hacker sind schnell über Lücken informiert und führen oft innerhalb von 24 Stunden Angriffe aus, um über diese neuen Einfallstore ins Unternehmensnetzwerk zu gelangen. Dabei stehen Unternehmen aller Größen und Branchen im Visier, denn Cyberkriminelle suchen überall nach einer günstigen Gelegenheit, Schaden anzurichten oder eine erpresserische Attacke zu starten. Wer Sicherheitslücken schnell genug schließen will, benötigt allerdings geeignete Werkzeuge, um effizient Schwachstellen zu bewerten, zu beheben und zu berichten.

Um Informationen zu Schwachstellen richtig zu verstehen, muss man zunächst wissen, was gemeint ist. Denn Sicherheitsschwäche („weakness“) und Verwundbarkeit („vulnerability“) werden oft verwechselt, sind aber nicht das gleiche. Verwundbarkeiten sind laut National Information Assurance Training and Education Center Schwächen in automatisierten Prozessen zur Systemsicherheit, administrativen und internen Kontrollabläufen sowie IT-Systemen, die Angreifer durch einen aktiven Exploit ausnutzen können. Diese Schwäche kann ein Angriff (Threat) also für den unerlaubten Zugriff auf Informationen oder das Unterbrechen unternehmenskritischer Abläufe ausnutzen. Diese Definition blendet aber aus, dass Sicherheitsschwächen nicht nur Hardware und Software betreffen können, sondern auch alle Abläufe und Kontrollen, die in einem Unternehmen gelten. Eine Verwundbarkeit ohne zugehörigen Exploit ist „nur“ eine Schwäche. Vorerst zumindest.

Wissensressourcen, um Risiken zu bewerten

Verwundbarkeiten gibt es in großer Zahl zum Beispiel im Bereich immer komplexerer Web-Applikationen. Aus dem Patchen kommt man schnell nicht mehr heraus. Wichtig ist daher, Verwundbarkeiten und die damit einhergehenden Risiken schnell zu erkennen, zu identifizieren, für die Schwachstellen-Triage zu bewerten und zu melden. Folgende Ressourcen können Fachkräfte hierbei unterstützen:

  • Die Common Vulnerabilities and Exposures (CVE) kennzeichnen Verwundbarkeiten eindeutig und bewerten ihre Dringlichkeit.
  • Das freie und offene Common Vulnerability Scoring System (CVSS) bezeichnet mit einem Wert von 0 bis 10 die Sicherheit eines Computersystems. Grundlegende Metriken bewerten den Angriffsvektor (Attack Vector, AV), die Komplexität des Angriffs, (Attack Complexity, AC) sowie die notwendigen Privilegien, (Privileges Required, PR) und Nutzerinteraktion (User Interaction, UI). Weitere Faktoren sind der durch die Attacke angegriffene Bereich (Scope, S) und deren Effekte auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) eines Systems. Zeitlich verändern sich Risikoindikatoren wie Exploitfähigkeit (E), Remediation Level (RL) und Report Confidence (RC). Diese Indizes reflektieren die Reife der Exploit-Technik, verfügbare Fixes und die Glaubwürdigkeit des Berichts zur Verwundbarkeit. Environment-Metriken beziehen sich auf die Umgebung des Anwenders und benennen den Effekt eines Angriffs in diesem speziellen Kontext. Der endgültige CVSS-Wert liegt zwischen 0.0 (keine Verwundbarkeit) bis 10.0 (kritische Verwundbarkeit).
  • Das Open Web Application Security Project (OWASP) bietet eine praktische Vorgabe, um Schwachstellen zu dokumentieren und bekanntzumachen. Das Projekt basiert auf einem System zum Report über Verwundbarkeiten sowie auf einem vordefinierten Prozess, um Schwachstellen durch eine Triage zu bewerten, sie zu verorten und zu beheben. Die Dokumentation dieses Berichtes teilen die Ersteller intern und extern.

Sieben Tools und Ansätze zum Eindämmen der CVE

IT-Sicherheitsverantwortliche benötigen die richtigen Tools und Technologien, um die CVE schnell entsprechend der jeweiligen Dringlichkeit einzudämmen und Lücken zu schließen. Zahlreiche Werkzeuge stehen bereit, die ihre Vor- und Nachteile haben:

  • Configuration-Management-Datenbanken (CMDB) sind der zentrale Ablageort für Informationen über die Assets einer Organisation: Zu Software, Hardware, Systemen, Produkten und sogar zu Mitarbeitern – sowie zum Verhältnis all dieser Assets untereinander. CMDBs eignen sich dafür, Konfigurationen zu verwalten und zu dokumentieren. Sie bieten aber keine Sichtbarkeit über Vorgänge im Netzwerk und in möglichen Konnektivitäten mit Assets, die auf der Angriffsfläche vermeintlich nicht betroffen sind.
  • Tools zum Sichern von Cloud-Assets wie Cloud Access Security Broker (CASBs), Cloud-Security-Posture-Management (CSPM)-Werkzeuge, Cloud Workload Protection Plattformen (CWPPs) und Cloud-Native-Application-Protection-Plattformen (CNAPP) spielen eine wichtige Rolle, deren Bedeutung mit jedem in die Cloud verlagerten Workload steigt. Sie beobachten aber nur einen bestimmten Bereich und lassen On-Premise-Systeme und die zugrundeliegende Infrastruktur außer Betracht.
  • Patch Management ist unverzichtbar, um Software, Betriebssysteme sowie Applikationen auf aktuellem, sicherem Stand zu halten, die Sicherheitslage zu verbessern und Verwundbarkeiten zu reduzieren. Ein Patch Management als Zusatz zu einer Sicherheitsplattform automatisiert das Ausspielen von Patches und gibt einen Status über eingespielte Patches. Admins können auch manuell patchen. Wichtig ist, dass ein Patch Management möglichst viele Betriebssystem-Umgebungen verwaltet.
  • Vulnerability-Scanner sind von zentraler Bedeutung, um Sicherheitsschwächen präventiv zu finden und schnell zu evaluieren. Marktübliche Scanner überwachen unter anderem Netzwerke, Hardware, Betriebssysteme, Anwendungen und Datenbanken. Shodan, von manchen zur Suchmaschine des Internet of Things gekürt, scannt das gesamte Internet und teilt Informationen zu „offenen“ Geräten wie Server, Router, IP-Kameras oder Smart-TVs. Sie deckt offene Ports und Systeme auf. Natürlich nutzen auch Hacker diese, um schnell großangelegte automatisierte Attacken auszuspielen.
  • Risk Assessment Tools von Plattformlösungen zur IT-Sicherheit beruhen auf den Informationen von Extended-Detection-and-Response (XDR)-Technologien zum Überwachen der Aktivitäten in der IT. Mit ihnen können die IT-Administratoren unter anderem Risiken identifizieren, die sich aus falsch konfigurierten Betriebssystemen, verwundbaren Applikationen oder menschlichem Verhalten ergeben.
  • Eine Software Bill of Materials (SBOM) bietet exakte Informationen über die einzelnen Software-Komponenten einer Applikation und damit ein wichtiges Tool für das Vulnerability Management. Auf Grundlage dieses Inventars können Anwender verstehen, welche Elemente einer Software verwundbar, zu verbessern oder zu aktualisieren sind. So hat die IT eine weitere Grundlage, um Sicherheitsrisiken zu bewerten und auf fundierter Grundlage zu entscheiden. Im Ernstfall können die IT-Verantwortlichen mit der SBOM die betroffenen Systeme schnell identifizieren und den Angriff eindämmen. Eine SBOM verhindert damit auch das Risiko und die Effekte einer Supply-Chain-Attacke.
  • Der Expertenblick durch Managed Detection and Response (MDR) Services ist wichtig für eine mögliche Vorhersage von CVEs. Sicherheitsexperten können Quellinformationen aus einer großen Menge von Daten herausfiltern und CVE-Trends erkennen und überwachen. So können die Experten den Exploits zuvorkommen, ein Threat Hunting starten und potenzielle Gefahren identifizieren.

Angesichts der zunehmend komplexen Angriffsfläche und kontinuierlich wachsenden Softwarelücken benötigen IT-Verantwortliche eine robuste Strategie zum Verwalten von Verwundbarkeiten. Diese sollte nicht nur die richtigen Tools beinhalten, sondern auch zuverlässige Wissensressourcen als Grundlage für fundierte Entscheidungen.

* Jörg von der Heydt ist Regional Director DACH bei Bitdefender. (c) Bitdefender

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*