Cyber-Kriminelle sind stets auf der Suche nach Schwachstellen (englisch „Vulnerabilities“) in Geräten, Software und Infrastruktur, um diese als Einfallstor für verheerende Angriffe auf die kritische Unternehmens-IT zu nutzen. Diese gefährlichen Sicherheitslücken werden von Experten in frei verfügbaren Datenbanken gesammelt, bewertet und weltweit publiziert, damit die IT-Teams vor Ort entsprechende Gegenmaßnahmen planen und implementieren können. Allerdings stellt die stetig steigende Zahl potenzieller Sicherheitslücken die Verantwortlichen vor große organisatorische Probleme. Was also tun?
Nicht weniger als 20.174 Schwachstellen in Software-Produkten listete das Bundesamt für Sicherheit und Informationstechnik (BSI) in seinem Report zur Lage der IT-Sicherheit in Deutschland 2022 auf. Davon wurden 13 % als kritisch definiert, also mit dem Potenzial zu schweren Schäden für die IT-Infrastruktur von Unternehmen, Organisationen und Privatpersonen. Das entsprach einem Zuwachs um rund 10 % zum Vorjahr, Tendenz steigend.
Dieser Trend lässt sich auch im Dashboard der US-amerikanischen National Vulnerability Database erkennen: In den ersten fünf Monaten des Jahres 2023 gab die Regierungsorganisation 11.481 neue CVEs heraus. Bei diesen Common Vulnerabilities and Exposures (zu Deutsch etwa „Häufige Schwachstellen und Risiken“) handelt es sich um weltweit standardisierte Meldungen, die im Format CVE+Jahreszahl+Vorgangsnummer (beispielsweise „CVE-2023-12345“) ausgegeben werden.
Damit ist die Gesamtzahl der CVEs auf über 216.000 angewachsen. Laut dem Bewertungssystem „Common Vulnerabilities Scoring System“ (CVSS) wird das Risiko bei mehr als 53.000 CVEs als „Hoch“ angegeben, während über 19.600 sogar als „Kritisch“ eingestuft wurden.
Wie allgegenwärtig und tückisch typische Schwachstellen sind, lässt sich am Beispiel der Ende 2021 entdeckten Sicherheitslücke im Java-Logging-Framework „Log4j“ (CVE-2021-44228) veranschaulichen: Sie existierte bereits seit 2013 und wurde schon in den ersten Tagen von Cyber-Kriminellen zum Einschleusen und Ausführen von Schadcode genutzt. Das Framework ist in einer Vielzahl von kommerziellen und proprietären Software-Lösungen zu finden, sodass es für die IT-Verantwortlichen sehr schwierig war, betroffene Systemstrukturen zu erkennen und rechtzeitig entsprechende Sicherheitsmaßnahmen zu ergreifen.
Die Suche nach der Nadel im Heuhaufen
Um die IT-Infrastruktur im eigenen Betrieb nach potenziellen Schwachstellen abzuklopfen, gibt es eine Vielzahl von Tools und Lösungen, die die Systeme basierend auf den vorher genannten Datenbanken scannen und eine Auflistung aller entdeckten Sicherheitslücken in einem Report ausgeben. Allerdings gelangen bei der nachfolgenden Auswertung dieser Reports typische IT-Abteilungen vor allen in kleineren Unternehmen sowohl personell als auch zeitlich schnell an ihre Grenzen.
Mit folgender Herangehensweise wird die sprichwörtliche Suche nach der Nadel im Heuhaufen zu einem optimierten und teilautomatisierten Prozess mit hoher Effizienz:
- Priorisierung: Die schiere Menge an Schwachstellen, mit denen sich Sicherheitsexperten tagtäglich auseinandersetzen müssen, stellt eine große Herausforderung in Bezug auf Ressourcen und Zeitbedarf für Patches dar. Deshalb sollten CVEs mit hohem Risiko anhand von Wahrscheinlichkeit und Ausnutzbarkeit eingegrenzt werden.
- Risikobewertung: Eine Schwachstelle ist nur dann gefährlich, wenn sich zeigt, dass sie von Cyber-Kriminellen instrumentalisiert wird. Deshalb sollten häufig ausgenutzte Vulnerabilities unter Einbeziehung globaler Erkenntnisse priorisiert werden, anstatt Zeit und Ressourcen für das Beheben von nicht genutzten Schwachstellen zu verschwenden.
- Gegenmaßnahmen: Oft klafft eine zeitliche Lücke zwischen dem Identifizieren von Schwachstellen und der Möglichkeit, sie zu beheben. Durch eine optimierte Risikoanalyse und das schnelle Schließen prominenter Lücken wird das Zeitfenster verkleinert, das Hacker für Angriffe ausnutzen können.
- Exposure Management: Erforderliche Gegenmaßnahmen sollten nach den Zugriffsrechten und der Anzahl der möglichen Zugriffe priorisiert werden (Internet/Cloud, lokales Netzwerk oder direkter On-Premise-Zugriff).
- Managed Services: Das tägliche Scannen von Schwachstellen, die Überprüfung der Cloud und die Priorisierung von CVEs lassen sich an zertifizierte Experten auslagern. Sie können dem IT-Team bei Routineaufgaben und mit kompetenten Abhilfemaßnahmen zur Seite stehen.
Übersichtliches und risikobasiertes Vulnerability Management mit Outscan NX
Die Sicherheitsexperten von Outpost24 bieten mit Outscan NX ein spezielles „Risk based Vulnerability Management“ (RBVM) an. Es führt die oben genannten Vorgehensweisen zur Identifikation und Bewertung von Schwachstellen zusammen und gestaltet das Risiko-Management damit wesentlich effizienter und schlanker.
Mögliche Schwachstellen in Ihrer IT-Infrastruktur werden gesammelt, analysiert und im Rahmen der „Threat Intelligence“ (externe Bedrohungsinformationen) mit zusätzlichen Informationen aus dem Dark-Web, Honeypots von Outpost24, möglichen Kommunikationskanälen potenzieller Angreifer und den individuellen Schwerpunkten im Unternehmen abgeglichen. Auf diese Weise ergibt sich ein weiterer Score (Farsight), der die jeweilige Schwachstelle im Zusammenhang zur aktuellen Sicherheitslage bewertet. So sparen Ihre Cyber-Security-Experten wertvolle Zeit bei der Analyse und Risikoabschätzung der einzelnen Vulnerabilities.
Eine Vielzahl an Integrationen, Filter- und Reporting-Einstellungen stellen sicher, dass Sie nicht mehr PDF-Reports mit 100+ Seiten oder Excel-Tabellen mit über tausend Zeilen an Vulnerabilities weiterleiten – sondern nur noch eben jene geschäfts- und zeitkritischen Schwachstellen, die aktuell das größte Risiko darstellen.
Mit der risikobasierten Bewertungsmethodik erhalten Unternehmen einen ganzheitlichen Blick auf ihre IT-Sicherheit. Daraus können sich unter anderem folgende konkrete Vorteile ergeben:
- Effektive Nutzung von vorhandenen Ressourcen: Mithilfe von zeitnahen und relevanten Einblicken in die potenziellen Schwachstellen können sich Mitarbeiter effizient auf relevante Bedrohungen fokussieren und diese entsprechend nach Vorgaben priorisieren. So sparen Organisationen Kosten und optimieren den Workflow und das Zeitmanagement im Team.
- Berücksichtigung der individuellen Situation sowie aktueller Trends: Sowohl die Innensicht (Welche Daten und Systeme sind für die jeweilige Organisation besonders wichtig?) als auch die Außensicht (etwa die aktuellen Vorgehensweisen von Angreifern) können sich jederzeit ändern. Die Variablen zur Bewertung interner Schwerpunkte lassen sich jederzeit entsprechend anpassen. Durch die Analyse der Dark-Web-Aktivitäten via Threat Intelligence erhalten Unternehmen jederzeit eine Bewertung der externen Bedrohungslage.
- Übersichtliches Reporting und Clustering: Mit Outscan NX erhalten Firmen einen schnellen Überblick über die gesamte IT-Sicherheit mit allen potenziellen Schwachstellen. Das ermöglicht die effiziente Koordination und Optimierung von Gegenmaßnahmen.
- Nahtlose Integration in bestehende Systeme oder Suiten: Offene APIs ermöglichen eine reibungslose, automatisierte Integration in vorhandene Cyber-Security-Systeme und Reporting-Workflows.
Möchten Sie die Risiken, denen Ihre Organisation ausgesetzt ist, verstehen? Möchten Sie die Bemühungen Ihres Teams zur Behebung von Schwachstellen effektiver und effizienter gestalten? Oder möchten Sie Ihre Risikoanalyse mit Bedrohungsinformationen aus dem Dark Web ergänzen? Weitere Informationen zu Outscan NX, Datenblätter und eine Demo finden Sie auf der Website von Outpost24.
kommentar field