Risiko vor Popularität: 4 Faktoren zur Bestimmung von Sicherheitslücken
Stephen Roostan, VP EMEA bei Kenna Sicherheit untersucht, welche Art von Sicherheitslücke das größte Risiko darstellt.
Aus völlig falschen Gründen sorgen Sicherheitsverletzungen für Schlagzeilen, insbesondere wenn eine hochkarätige Organisation angegriffen wird. Allein im Jahr 2020 haben wir gesehen, wie einige der bekanntesten globalen Marken der Welt Opfer externer Bedrohungen geworden sind, darunter solche wie Zoom, Twitter und Nintendo. Jeder Vorfall wiederum hat eine Menge Aufsehen erregt, was verständlicherweise dazu geführt hat, dass viele Unternehmen sich Sorgen um ihre eigene Fähigkeit gemacht haben, Risiken effektiv zu managen.
Natürlich kann ein verstärkter Fokus auf die eigene Sicherheit eines Unternehmens und die externen Bedrohungen, denen es zum Opfer fallen könnte, äußerst vorteilhaft sein, insbesondere in der aktuellen Umgebung, in der viele Mitarbeiter remote arbeiten und die Angriffsfläche erheblich zugenommen hat. Ein gewisses Maß an interner Reflexion ist wichtig, aber diese Schlagzeilen laufen Gefahr, den Fokus von gefährlicheren Schwachstellen abzulenken, die nicht das gleiche Maß an Medienaufmerksamkeit erregen.
Forschung von Kenna Security und dem Cyentia Institute zeigt, dass nur 5 Prozent der Schwachstellen in die Kategorie „hohes Risiko“ fallen, was darauf hindeutet, dass sie in irgendeiner Weise bewaffnet werden könnten. Es wird immer solche Angriffe geben, die sowohl große Aufmerksamkeit erregen als auch gleichermaßen Maßnahmen erfordern – wie die Heartbleed Wanze die Millionen von Websites aufgrund einer Schwachstelle im kryptografischen Open-Source-Protokoll gefährdeten. Es gibt jedoch auch solche, die genauso katastrophal sein können und scheinbar unbemerkt bleiben.
Den Blick erweitern
Sicherheitsteams geraten in eine prekäre Lage, wenn sie die Bemühungen zum Schwachstellenmanagement um Schlagzeilen aus den Sicherheitsnachrichten kreisen. Da die Nachrichten und der Hype um Sicherheitslücken eskalieren, wird es für Sicherheitsteams immer schwieriger, über die Bedrohungslandschaft auf dem Laufenden zu bleiben und zu bestimmen, wie sie ihre Bemühungen am besten priorisieren können.
Die Bereitstellung wertvoller Zeit und Energie zur Erzielung der größten Dividenden bei der Reduzierung von Unternehmensrisiken hängt davon ab, dass Sicherheitsteams in der Lage sind, ihre Bemühungen auf der Grundlage der wirklich wichtigen Faktoren zu priorisieren. Anstatt wertvolle Ressourcen in die Behebung schlagzeilenträchtiger Schwachstellen zu stecken, die möglicherweise nur eine geringe oder keine Bedrohung für das Unternehmen darstellen, hängt die Identifizierung der richtigen Schwachstellen zur Behebung zunehmend von einer objektiven und konsistenten Methode zur Priorisierung von Schwachstellen ab.
Werfen wir einen Blick auf die vier wichtigsten Faktoren, die Sicherheitsteams berücksichtigen sollten, wenn sie bewerten, welche Schwachstellen das größte Risiko für eine bestimmte Umgebung darstellen.
Seien Sie vorsichtig bei der Ausführung von Remote-Code
Die Remote-Code-Ausführung ermöglicht es einem Angreifer, von überall auf der Welt auf ein Computergerät zuzugreifen, um schädliche Änderungen vorzunehmen, daher ist es nicht verwunderlich, dass die Remote-Code-Ausführung auf der Wunschliste von Hackern überall ganz oben steht. Nachdem Hacker einen Weg gefunden haben, ihren Code auf einem Remote-System auszuführen, können sie alle Arten von Chaos anrichten, einschließlich der Einrichtung von Bot-Netzwerken, dem Diebstahl von Daten oder der Infiltration von Netzwerken.
Achten Sie auf Metasploit- und Blackhat-Exploits
Leider sind die gleichen Metasploit-Sicherheitsteams, die Penetrationstests für die Verteidigung ihrer Organisation durchführen und Schwachstellen identifizieren, zum De-facto-Standard für die Exploit-Entwicklung geworden. Wenn Hacker Metasploit verwenden, erstellen sie nicht nur Tests, sondern echte Angriffe. Wann immer also Module in Metasploit auftauchen, ist es eine Selbstverständlichkeit, dass Angreifer diese nutzen oder bald nutzen werden, um Schwachstellen auszunutzen.
Aus diesem Grund sollte jede Schwachstelle, die mit einem Metasploit-Modul identifiziert wird, ganz oben auf der Liste der zu behebenden Schwachstellen eines Unternehmens stehen. Regelmäßiges Patchen, das Ausführen von Anwendungen oder Prozessen mit den geringsten Rechten und die Beschränkung des Netzwerkzugriffs auf nur vertrauenswürdige Hosts können eine entscheidende Rolle dabei spielen, die Fähigkeit eines Hackers einzuschränken, Metasploit zu nutzen.
Sicherheitsteams sind auch gut beraten, Blackhat-Exploit-Kits in Betracht zu ziehen. Obwohl sie eine viel geringere Verbreitungsrate als Metasploit haben, ist ihre Absicht viel klarer. Mit anderen Worten, die Verwendung eines Exploits aus einem Blackhat-Kit erfolgt fast immer in böswilliger Absicht und sollte aus diesem Grund entsprechend in den Entscheidungsprozess zur Behebung einbezogen werden.
Behalten Sie die Zugriffsmöglichkeiten auf Netzwerke im Auge
Die Zugänglichkeit des Netzwerks spielt eine wichtige Rolle bei der Bestimmung des Schweregrads einer Sicherheitsbedrohung und der Wahrscheinlichkeit der Ausnutzung einer Schwachstelle. Heutige Angreifer nutzen die Automatisierung, um Angriffe in großem Umfang auszuführen, und halten Ausschau nach Schwachstellen im Netzwerkzugriff, die die Grundlage für Botnets sowie Command-and-Control-Kommunikation bilden können.
Cross-Site-Scripting, fehlende Zugriffskontrollen auf Funktionsebene oder Muster übermäßiger Nutzung sind ebenfalls gängige Beispiele für Schwachstellen im Netzwerkzugriff, die bei der Verwaltung priorisiert werden sollten.
Denken Sie immer an die Exploit-Datenbank
Die Exploit-Datenbank ist eine umfassende Sammlung von Exploits und Proof-of-Concept-Angriffen. Leider ist die Exploit-Datenbank genau wie Metasploit eine unschätzbare Ressource für Sicherheitsteams und Angreifer gleichermaßen. Angreifer verwenden es, um einen Exploit zu finden, der dabei hilft, eine bekannte Schwachstelle in einem Zielsystem zu kompromittieren.
Bis eine Schwachstelle in der Exploit-Datenbank auftaucht, ist es weniger wahrscheinlich, dass sie sich zu einer bedeutenden, breit angelegten Bedrohung für Unternehmen entwickelt. Sobald jedoch eine Schwachstelle auftritt, müssen Unternehmen schnell handeln, um sie zu beheben.
Prioritäten glätten
Die heutigen Sicherheitsteams von Unternehmen haben Zehntausende von Schwachstellen zu beheben. Die Realität ist, dass die meisten Schwachstellen wahrscheinlich innerhalb von 40 bis 60 Tagen ausgenutzt werden, aber es kann bis zu 120 Tage dauern, bis Sicherheitsteams Abhilfe schaffen. Sicherheitsteams stehen also unter Druck, die Schwachstellen zu identifizieren, die das größte Risiko einer Ausnutzung für ihr Unternehmen darstellen, und sich zuerst an die Behebung dieser Schwachstellen zu machen.
Wie wir gesehen haben, ist es zwar eine großartige Möglichkeit, über die Entwicklung der Bedrohungslandschaft auf dem Laufenden zu bleiben, wenn Sie sich über Sicherheitsnachrichten auf dem Laufenden halten, eine Schwachstelle muss jedoch nicht neu oder hochaktuell sein, um eine ernsthafte Bedrohung für das Unternehmen darzustellen. Allzu oft können Schlagzeilen dazu dienen, Sicherheitsteams davon abzulenken, die Risiken, die es nicht in die Hall of Fame geschafft haben, schnell und effizient zu beheben. Unternehmen müssen sich daran erinnern, dass der wichtigste zu berücksichtigende Faktor darin besteht, wo sich eine Schwachstelle in ihrem Ökosystem befindet. Beispielsweise stellt eine Schwachstelle mit hohem Risiko in einer Umgebung mit geringem Risiko eine geringere Bedrohung dar als eine Schwachstelle mit mittlerem Risiko in einer Umgebung mit hohem Zugriff. Letztendlich sind Sichtbarkeit und Kontext alles. Schlagzeilen in den Medien und Rankings in der Datenbank des Common Vulnerabilities Scoring System (CVSS) können wenig Bedeutung haben. Entscheidend ist das Risiko, das die Schwachstelle für die einzelne Organisation darstellt.
Letztendlich erfordert ein effektives Schwachstellenmanagement einen risikobasierten Ansatz zur Priorisierung von Behebungsmaßnahmen, damit die richtigen Schwachstellen zur richtigen Zeit angegangen werden. Das bedeutet, die Bemühungen zu rationalisieren und zu beschleunigen, indem die kritischsten Aspekte einer Schwachstelle bewertet werden, um herauszufinden, wie viel Gefahr eine Schwachstelle wirklich darstellt. Auf diese Weise können die begrenzte Zeit und die begrenzten Ressourcen des Sicherheitsteams am besten auf die Behebung der Schwachstellen konzentriert werden, die tatsächlich das größte Risiko für das Unternehmen darstellen.
