Schwachstellen in Software gibt es jede Menge. Es kommen auch immer wieder neue hinzu und veranlassen professionelle Hacker schnell neue Angriffe auszuführen, um über diese neuen Einfallstore ins Unternehmensnetzwerk zu gelangen. Schwachstellen zu schließen als Gebot ist daher eine Binsenweisheit für die Cyberabwehr. Doch welche Tools benötigen IT-Administratoren für ein priosiertes Schließen von Lücken und Schwächen?
Von Jörg von der Heydt, Regional Director DACH bei Bitdefender.
Um Informationen zu Schwachstellen richtig zu verstehen, muss man zunächst wissen, was gemeint ist. Denn Sicherheitsschwäche („weakness“) und Verwundbarkeit („vulnerability“) werden oft verwechselt, sind aber nicht das gleiche. Verwundbarkeiten sind laut National Information Assurance Training and Education Center Schwächen in automatisierten Prozessen zur Systemsicherheit, administrativen und internen Kontrollabläufen sowie IT-Systemen, die Angreifer durch einen aktiven Exploit ausnutzen können.
Diese Schwäche kann ein Angriff (Threat) also für den unerlaubten Zugriff auf Informationen oder das Unterbrechen unternehmenskritischer Abläufe ausnutzen. Diese Definition blendet aber aus, dass Sicherheitsschwächen nicht nur Hardware und Software betreffen können, sondern auch alle Abläufe und Kontrollen, die in einem Unternehmen gelten. Eine Verwundbarkeit ohne zugehörigen Exploit ist „nur“ eine Schwäche. Vorerst zumindest.
Wissensressourcen, um Risiken zu bewerten
Verwundbarkeiten gibt es in großer Zahl zum Beispiel im Bereich immer komplexerer Web-Applikationen. Aus dem Patchen kommt man schnell nicht mehr heraus. Wichtig ist daher, Verwundbarkeiten und die damit einhergehenden Risiken schnell zu erkennen, zu identifizieren, für die Schwachstellen-Triage zu bewerten und zu melden. Folgende Ressourcen können Fachkräfte hierbei unterstützen:
- Die Common Vulnerabilities and Exposures (CVE) kennzeichnen Verwundbarkeiten eindeutig und bewerten ihre Dringlichkeit.
- Das freie und offene Common Vulnerability Scoring System (CVSS) bezeichnet mit einem Wert von 0 bis 10 die Sicherheit eines Computersystems. Grundlegende Metriken bewerten den Angriffsvektor (Attack Vector, AV), die Komplexität des Angriffs, (Attack Complexity, AC) sowie die notwendigen Privilegien, (Privileges Required, PR) und Nutzerinteraktion (User Interaction, UI). Weitere Faktoren sind der durch die Attacke angegriffene Bereich (Scope, S) und deren Effekte auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) eines Systems.
Zeitlich verändern sich Risikoindikatoren wie Exploitfähigkeit (E), Remediation Level (RL) und Report Confidence (RC). Diese Indizes reflektieren die Reife der Exploit-Technik, verfügbare Fixes und die Glaubwürdigkeit des Berichts zur Verwundbarkeit. Environment-Metriken beziehen sich auf die Umgebung des Anwenders und benennen den Effekt eines Angriffs in diesem speziellen Kontext. Der endgültige CVSS-Wert liegt zwischen 0.0 (keine Verwundbarkeit) bis 10.0 (kritische Verwundbarkeit). - Das Open Web Application Security Project (OWASP) bietet eine praktische Vorgabe, um Schwachstellen zu dokumentieren und bekanntzumachen. Das Projekt basiert auf einem System zum Report über Verwundbarkeiten sowie auf einem vordefinierten Prozess, um Schwachstellen durch eine Triage zu bewerten, sie zu verorten und zu beheben. Die Dokumentation dieses Berichtes teilen die Ersteller intern und extern.
Sieben Tools und Ansätze zum Eindämmen der CVE
IT-Sicherheitsverantwortliche benötigen die richtigen Tools und Technologien, um die CVE schnell entsprechend der jeweiligen Dringlichkeit einzudämmen und Lücken zu schließen. Zahlreiche Werkzeuge stehen bereit, die ihre Vor- und Nachteile haben:
- Configuration-Management-Datenbanken (CMDB) sind der zentrale Ablageort für Informationen über die Assets einer Organisation: Zu Software, Hardware, Systemen, Produkten und sogar zu Mitarbeitern – sowie zum Verhältnis all dieser Assets untereinander. CMDBs eignen sich dafür, Konfigurationen zu verwalten und zu dokumentieren. Sie bieten aber keine Sichtbarkeit über Vorgänge im Netzwerk und in möglichen Konnektivitäten mit Assets, die auf der Angriffsfläche vermeintlich nicht betroffen sind.
- Tools zum Sichern von Cloud-Assets wie Cloud Access Security Broker (CASBs), Cloud-Security-Posture-Management (CSPM)-Werkzeuge, Cloud Workload Protection Plattformen (CWPPs) und Cloud-Native-Application-Protection-Plattformen (CNAPP) spielen eine wichtige Rolle, deren Bedeutung mit jedem in die Cloud verlagerten Workload steigt. Sie beobachten aber nur einen bestimmten Bereich und lassen On-Premise-Systeme und die zugrundeliegende Infrastruktur außer Betracht.
- Patch Management ist unverzichtbar, um Software, Betriebssysteme sowie Applikationen auf aktuellem, sicherem Stand zu halten, die Sicherheitslage zu verbessern und Verwundbarkeiten zu reduzieren. Ein Patch Management als Zusatz zu einer Sicherheitsplattform automatisiert das Ausspielen von Patches und gibt einen Status über eingespielte Patches. Admins können auch manuell patchen. Wichtig ist, dass ein Patch Management möglichst viele Betriebssystem-Umgebungen verwaltet.
- Vulnerability-Scanner sind von zentraler Bedeutung, um Sicherheitsschwächen präventiv zu finden und schnell zu evaluieren. Marktübliche Scanner überwachen unter anderem Netzwerke, Hardware, Betriebssysteme, Anwendungen und Datenbanken. Shodan, von manchen zur Suchmaschine des Internet of Things gekürt, scannt das gesamte Internet und teilt Informationen zu „offenen“ Geräten wie Server, Router, IP-Kameras oder Smart-TVs. Sie deckt offene Ports und Systeme auf. Natürlich nutzen auch Hacker diese, um schnell großangelegte automatisierte Attacken auszuspielen.
- Risk Assessment Tools von Plattformlösungen zur IT-Sicherheit beruhen auf den Informationen von Extended-Detection-and-Response (XDR)-Technologien zum Überwachen der Aktivitäten in der IT. Mit ihnen können die IT-Administratoren unter anderem Risiken identifizieren, die sich aus falsch konfigurierten Betriebssystemen, verwundbaren Applikationen oder menschlichem Verhalten ergeben.
- Eine Software Bill of Materials (SBOM) bietet exakte Informationen über die einzelnen Software-Komponenten einer Applikation und damit ein wichtiges Tool für das Vulnerability Management. Auf Grundlage dieses Inventars können Anwender verstehen, welche Elemente einer Software verwundbar, zu verbessern oder zu aktualisieren sind. So hat die IT eine weitere Grundlage, um Sicherheitsrisiken zu bewerten und auf fundierter Grundlage zu entscheiden.
- Der Expertenblick durch Managed Detection and Response (MDR) Services ist wichtig für eine mögliche Vorhersage von CVEs. Sicherheitsexperten können Quellinformationen aus einer großen Menge von Daten herausfiltern und CVE-Trends erkennen und überwachen. So können die Experten den Exploits zuvorkommen, ein Threat Hunting starten und potenzielle Gefahren identifizieren.
Angesichts der zunehmend komplexen Angriffsfläche und kontinuierlich wachsenden Softwarelücken benötigen IT-Verantwortliche eine robuste Strategie zum Verwalten von Verwundbarkeiten. Diese sollte nicht nur die richtigen Tools beinhalten, sondern auch zuverlässige Wissensressourcen als Grundlage für fundierte Entscheidungen.