Risk-Based Vulnerability Management: Mythos oder Realität?

bei

 / 31. March. 2021

Ein Ansatz für VMDR

Man kann nicht schützen, was man nicht sieht – das sollte der Ansatz von Unternehmen sein. Dies gilt besonders in Bezug auf die Bedeutung einer stets aktualisierten, globalen IT-Inventarisierung.

Die schnelle Expansion der IT-Infrastruktur hat die Vielfalt der IT-Assets erhöht, welche inventarisiert und geschützt werden müssen, darunter Container, Cloud-Dienste und IoT-Geräte. Viele herkömmliche Enterprise-Discovery-Tools können mit diesen Entwicklungen nicht mehr mithalten, denn sie sind entweder nicht für diese Arten von modernen IT-Assets ausgelegt, oder ihr Anwendungsbereich ist zu eng.

Sich auf selten aktualisierte CMDBs (Configuration Management Databases) zu verlassen, ist keine Lösung, da deren Daten oft veraltet sind und der Versuch, Assets manuell zu gruppieren und zu klassifizieren, nicht skalierbar ist. Einen Überblick über die Assets zu bekommen, ist für viele IT-Verantwortlichen ein schwer zu lösendes Problem.

Mit der Zunahme der Anzahl und der Art der Assets steigt zwangsläufig die Zahl der Schwachstellen in der IT-Umgebung. Erschwerend kommt hinzu, dass böswillige Hacker jeden Tag schneller darin werden, kürzlich aufgedeckte Schwachstellen auszunutzen, was die Anforderungen an die Sicherheitsteams weiter in die Höhe treibt.

Der Versuch, die Schwachstellen mit herkömmlichen Scans in den Griff zu bekommen, greift zu kurz, da immer mehr Arten von Assets außerhalb des Anwendungsbereichs dieser Appliances liegen.

Ebenso kann die Priorisierung der Schwachstellen, welche dringend angegangen werden müssen, nicht allein auf deren CVSS-Score (Common Vulnerability Scoring System) basieren, da ein solcher Ansatz den Risikokontext nicht berücksichtigt. „Risikobasiertes Schwachstellenmanagement ist eine Realität, aber es ist ein Mythos, dass es auf der Basis von CVE-Attributen erreicht werden kann“, fasst Mehul Revankar, VP Product Management & Engineering for VMDR

bei Qualys zusammen. Der Kontext ist der Schlüssel, und die Priorisierung braucht Echtzeit-Bedrohungsdaten und Asset-Kontext.

Im Zweifelsfall kann eine Schwachstelle oft schneller ausgenutzt als gepatcht werden, daher sollte man sich nicht nur auf das Ausführen von Patches verlassen, sondern zudem andere Abhilfemaßnahmen nutzen. Sicherheitsteams müssen Optionen zur Risikominderung in Betracht ziehen, wie beispielsweise die Sperrung des Zugriffs auf eine Anlage oder deren Neukonfiguration, um das Risiko zu verringern, bis ein Patch aufgespielt werden kann.

Manchmal ist es die beste Lösung, eine Software nicht zu patchen, sondern sie komplett aus der Umgebung zu entfernen, indem man zum Beispiel einen zu nutzenden Standard-Browser benennt, anstatt den Mitarbeitern zu erlauben, drei oder vier verschiedene zu benutzen. Der Mitarbeiter sollte wenig Einfluss haben, die IT-Infrastruktur zu bestimmen, wenn das Unternehmen nicht alles im Sinne einer ausreichenden IT-Security abdecken kann.  Es ist zudem wichtig, beim Patchen strategisch vorzugehen. Unternehmen können weiterhin blind patchen, oder es stattdessen intelligent angehen. Ein kürzlich veröffentlichter Patch für Google Chrome – 86.0.4240.111 – ersetzte beispielsweise 189 verschiedene Chrome-Versionen allein aus dem Jahr 2020 und deckte 174 Schwachstellen ab. Dieses Beispiel zeigt, dass selbst in der Software von Unternehmen, welche Milliarden investieren, weiterhin Schwachstellen existieren. Nun ist es natürlich sinnvoll, von diesen Problemen zu wissen, doch welche Schwachstelle sollte zuerst gepatcht werden? Und auf welchem Weg sollte gepatcht werden? Es bietet sich in Zeiten zunehmender Remote-Mitarbeiter nicht an, das VPN zu nutzen. Viel besser wäre es doch, wenn den Endgeräten lediglich vermnittelt wird, welches Patch von welchem Anbieter sicher ist. Dann nutzt beispielsweise der Laptop seine eigene Verbindung zum Internet, um von der sicheren Homepage ein Patch zu downloaden und anzuwenden. Dieser Prozess kann dazu beitragen, das VPN zu entlassten.

Zudem könnten Scans mit leichtgewichtigen Agenten-Lösungen die Netzwerkbandbreite deutlich entlasten. Dies bietet sich besonders dann an, wenn das Netzwerk über eine sehr große Anzahl an verbundenen Geräten verfügt. Zudem werden durch eine Endpunkt-Lösung alle Geräte in die Scans eingebunden. Es ist vorstellbar, dass extern arbeitende Mitarbeiter die Scan-Fenster verpassen könnten und ihre Geräte daher nicht berücksichtigt werden. Die Agenten-Lösungen melden lediglich Änderungen an den von ihnen überwachten Assets.

Darüber hinaus verbessert sich die Sicherheit, da die Cloud Agents die Assets, in denen sie untergebracht sind, ständig überwachen und die Daten sofort an die Cloud-Plattform zurücksenden. Aus dem gleichen Grund verbessert sich die Abdeckung von Remote-Benutzern und deren Geräten deutlich. Eine solche Lösung schließt die Lücke von Appliance-basierten Scannen.

Dies führte zudem zu vollständigeren Metriken über Assets und Schwachstellen, was die Führungskräfte freuten dürfte, die nun Zugang zu frischeren und umfassenderen Daten erhalten.

Ein kurzer Blick in die Zukunft

In der nahen Zukunft wird es wichtig, dass im Bereich der Schwachstellen- und Asset-Priorisierung, die Schwachstellenbewertung basierend auf dem Risiko und der Auswirkung auf die Assets stattfindet. Zudem sollten die kritischsten und risikoreichsten Assets im Unternehmensumfeld automatisch erkannt und klassifiziert werden. Sollten die Verantwortlichen mehr Vertrauen in die Technologien einbringen, ist zudem ein automatisierter Patchvorgang vorstellbar, ganz ohne die Einwirkung des Menschen – vom Scan, über die Einordnung, bis hin zum Patching selbst. Die „Patch-Implementierungsfunktion“ sollte durch strenge rollenbasierte Zugriffskontrolle verschärf werden.

 

Über den Autor / die Autorin:


Malte Redlin absolvierte nach dem Studium der Elektro- & Informationstechnik (TUM) seinen B.A. in Business Administration ebenfalls in München. Nach insgesamt sechs Jahren im Profisport, begann er seine Stelle bei Kafka Kommunikation für Experten der IT Security Branche mit dem Schwerpunkt auf den DACH Markt.