Vulnerability Management: Tempo entscheidet

Angesichts der zunehmend komplexen Angriffsfläche und kontinuierlich wachsenden Softwarelücken benötigen IT-Verantwortliche eine robuste Strategie zum Verwalten von Verwundbarkeiten. Diese sollte nicht nur die richtigen Tools beinhalten, sondern auch zuverlässige Wissensressourcen als Grundlage für fundierte Entscheidungen.

Sicherheitsschwäche – weakness – und Verwundbarkeit – vulnerability – werden gern verwechselt, sind aber nicht das gleiche. Verwundbarkeiten sind laut National Information Assurance Training and Education Center Schwächen in automatisierten Prozessen zur Systemsicherheit, administrativen und internen Kontrollabläufen sowie IT-Systemen, die Angreifer durch einen aktiven Exploit ausnutzen können. Diese Schwäche kann ein Angriff für den unerlaubten Zugriff auf Informationen oder das Unterbrechen unternehmenskritischer Abläufe ausnutzen. Diese Definition blendet aber aus, dass Sicherheitsschwächen nicht nur Hardware und Software betreffen können, sondern auch alle Abläufe und Kontrollen, die in einem Unternehmen gelten. Eine Verwundbarkeit ohne zugehörigen Exploit ist „nur“ eine Schwäche. Vorerst zumindest.

Wissensressourcen, um Risiken zu bewerten

Verwundbarkeiten gibt es in großer Zahl zum Beispiel im Bereich immer komplexerer Web-Applikationen. Aus dem Patchen kommt man schnell nicht mehr heraus. Wichtig ist daher, Verwundbarkeiten und die damit einhergehenden Risiken schnell zu erkennen, zu identifizieren, für die Schwachstellen-Triage zu bewerten und zu melden. Folgende Ressourcen können Fachkräfte hierbei unterstützen:

Common Vulnerabilities and Exposures (CVE) 
kennzeichnen Verwundbarkeiten eindeutig und bewerten ihre Dringlichkeit.

Common Vulnerability Scoring System (CVSS) 
bezeichnet mit einem Wert von 0 bis 10 die Sicherheit eines Computersystems. Grundlegende Metriken bewerten den Angriffsvektor (Attack Vector, AV), die Komplexität des Angriffs, (Attack Complexity, AC) sowie die notwendigen Privilegien, (Privileges Required, PR) und Nutzerinteraktion (User Interaction, UI). Weitere Faktoren sind der durch die Attacke angegriffene Bereich (Scope, S) und deren Effekte auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) eines Systems. Z

eitlich verändern sich Risikoindikatoren wie Exploitfähigkeit (E), Remediation Level (RL) und Report Confidence (RC). Diese Indizes reflektieren die Reife der Exploit-Technik, verfügbare Fixes und die Glaubwürdigkeit des Berichts zur Verwundbarkeit. Environment-Metriken beziehen sich auf die Umgebung des Anwenders und benennen den Effekt eines Angriffs in diesem speziellen Kontext. Der endgültige CVSS-Wert liegt zwischen 0.0 (keine Verwundbarkeit) bis 10.0 (kritische Verwundbarkeit).

Open Web Application Security Project (OWASP) 
bietet eine praktische Vorgabe, um Schwachstellen zu dokumentieren und bekanntzumachen. Das Projekt basiert auf einem System zum Report über Verwundbarkeiten sowie auf einem vordefinierten Prozess, um Schwachstellen durch eine Triage zu bewerten, sie zu verorten und zu beheben. Die Dokumentation dieses Berichtes teilen die Ersteller intern und extern.

Tools und Ansätze zum Eindämmen der CVE

IT-Sicherheitsverantwortliche benötigen die richtigen Tools und Technologien, um die CVE schnell entsprechend der jeweiligen Dringlichkeit einzudämmen und Lücken zu schließen. Zahlreiche Werkzeuge stehen bereit, die ihre Vor- und Nachteile haben:

Configuration-Management-Datenbanken (CMDB) 
sind der zentrale Ablageort für Informationen über die Assets einer Organisation: Zu Software, Hardware, Systemen, Produkten und sogar zu Mitarbeitern – sowie zum Verhältnis all dieser Assets untereinander. CMDBs eignen sich dafür, Konfigurationen zu verwalten und zu dokumentieren. Sie bieten aber keine Sichtbarkeit über Vorgänge im Netzwerk und in möglichen Konnektivitäten mit Assets, die auf der Angriffsfläche vermeintlich nicht betroffen sind.

Tools zum Sichern von Cloud-Assets 
wie Cloud Access Security Broker (CASBs), Cloud-Security-Posture-Management (CSPM)-Werkzeuge, Cloud Workload Protection Plattformen (CWPPs) und Cloud-Native-Application-Protection-Plattformen (CNAPP) spielen eine wichtige Rolle, deren Bedeutung mit jedem in die Cloud verlagerten Workload steigt. Sie beobachten aber nur einen bestimmten Bereich und lassen On-Premise-Systeme und die zugrundeliegende Infrastruktur außer Betracht.

Patch Management 
ist unverzichtbar, um Software, Betriebssysteme sowie Applikationen auf aktuellem, sicherem Stand zu halten, die Sicherheitslage zu verbessern und Verwundbarkeiten zu reduzieren. Ein Patch Management als Zusatz zu einer Sicherheitsplattform automatisiert das Ausspielen von Patches und gibt einen Status über eingespielte Patches. Admins können auch manuell patchen. Wichtig ist, dass ein Patch Management möglichst viele Betriebssystem-Umgebungen verwaltet.

Vulnerability-Scanner 
sind von zentraler Bedeutung, um Sicherheitsschwächen präventiv zu finden und schnell zu evaluieren. Marktübliche Scanner überwachen unter anderem Netzwerke, Hardware, Betriebssysteme, Anwendungen und Datenbanken. Shodan, von manchen zur Suchmaschine des Internet of Things gekürt, scannt das gesamte Internet und teilt Informationen zu „offenen“ Geräten wie Server, Router, IP-Kameras oder Smart-TVs. Sie deckt offene Ports und Systeme auf. Natürlich nutzen auch Hacker diese, um schnell großangelegte automatisierte Attacken auszuspielen.

Risk Assessment Tools 
von Plattformlösungen zur IT-Sicherheit beruhen auf den Informationen von Extended-Detection-and-Response (XDR)-Technologien zum Überwachen der Aktivitäten in der IT. Mit ihnen können die IT-Administratoren unter anderem Risiken identifizieren, die sich aus falsch konfigurierten Betriebssystemen, verwundbaren Applikationen oder menschlichem Verhalten ergeben.

Software Bill of Materials (SBOM) 
bietet exakte Informationen über die einzelnen Software-Komponenten einer Applikation und damit ein wichtiges Tool für das Vulnerability Management. Auf Grundlage dieses Inventars können Anwender verstehen, welche Elemente einer Software verwundbar, zu verbessern oder zu aktualisieren sind. So hat die IT eine weitere Grundlage, um Sicherheitsrisiken zu bewerten und auf fundierter Grundlage zu entscheiden. Im Ernstfall können die IT-Verantwortlichen mit der SBOM die betroffenen Systeme schnell identifizieren und den Angriff eindämmen. Eine SBOM verhindert damit auch das Risiko und die Effekte einer Supply-Chain-Attacke.

Managed Detection and Response (MDR) Services 
ist wichtig für eine mögliche Vorhersage von CVEs. Sicherheitsexperten können Quellinformationen aus einer großen Menge von Daten herausfiltern und CVE-Trends erkennen und überwachen. So können die Experten den Exploits zuvorkommen, ein Threat Hunting starten und potenzielle Gefahren identifizieren.

Jörg von der Heydt

ist Regional Director DACH bei Bitdefender.