Eine ordnungsgemäße Patchverwaltung ist eine wichtige Komponente der Cybersicherheitshygiene. Wenn Unternehmen Softwarefehler nicht rechtzeitig beheben, riskieren sie, sich einer Vielzahl von Bedrohungen auszusetzen. Aber die Suche nach Fehlern, die vom Common Vulnerabilities and Exposures (CVE)-Programm identifiziert wurden, ist keine vollständige Lösung. Organisationen müssen viel mehr tun.
Die CVE-und CVSS-Programme sind in den meisten Organisationen wesentliche Komponenten der Informationssicherheits-Managementsysteme (ISMS), aber sie haben eindeutig Probleme. Das CVE-Programm bietet eine Referenz für öffentlich bekannte Schwachstellen und Gefährdungen. CVSS bietet eine Möglichkeit, die Hauptmerkmale einer Schwachstelle zu erfassen und eine numerische Bewertung zu erstellen, die ihren Schweregrad widerspiegelt. Unter den vielen Herausforderungen bei diesen Programmen ist CVSS kein echter Hinweis auf das Risiko, das ein CVE für eine Organisation darstellt. Denn es versucht, Rücksicht auf die Umwelt zu nehmen, hat damit aber nur begrenzten Erfolg.
Die Höhe des Risikos für eine Organisation hängt vollständig von ihren Geschäftsbedingungen ab, nicht von der CVSS-Punktzahl. Darüber hinaus ist das mathematische Modell, das CVEs untermauert, fehlerhaft, teilweise weil niedrige CVE-Werte in den Daten unterrepräsentiert sind. Ein niedriger CVE kann genau die Schwachstelle sein, die Ihr Unternehmen betrifft. (Weitere Details zu den Schwierigkeiten mit der Mathematik finden Sie hier auf der Theory of Predictable Software, die eine gründliche Analyse der Mathematik hinter CVE durchführt Punkte, um”zu verstehen, wie es funktioniert, was es gut macht und was nicht.”)
Darüber hinaus werden jeden Tag mehr als 50 CVEs veröffentlicht. Es ist unvernünftig zu erwarten, dass ein Sicherheitsteam alle durchgeht, und selbst wenn dies der Fall wäre, enthält nicht jede CVE alle Informationen, die das Team benötigt, um Patches effektiv zu installieren. Das Team kann die wichtigen CVEs priorisieren, aber es ist nicht immer klar, welche tatsächlich das größte Risiko für eine bestimmte Umgebung darstellen. Betrachten Sie zum Beispiel Plugins von Drittanbietern. Wenn eine Organisation eine Plattform wie WordPress verwendet, sollte ein effektives und rechtzeitiges Patch-Management die Kernanwendung schützen. Aber bei WordPress – wie bei vielen anderen Plattformen – verlassen sich die meisten Benutzer auf Plugins und Add-Ons, um die von ihnen erstellten Anwendungen zu verbessern. In vielen Fällen werden diese Plugins nicht von formalen Berichtsprozessen abgedeckt.
Durchführen eines proaktiven Ansatzes für umfassende Sicherheit
Organisationen müssen proaktiver vorgehen. Reaktives Patch-Management wird immer einen wichtigen Platz in einer umfassenden Sicherheitsstrategie einnehmen. Aber die Verweildauer zwischen dem Erkennen einer Schwachstelle und dem Zeitpunkt, an dem Angreifer den Fehler ausnutzen können, ist geschrumpft. Dies macht es viel zu schwierig, die Angriffsfläche zu verwalten, indem man versucht, mit Patches für Schwachstellen Schritt zu halten, sobald sie identifiziert werden. Tatsächlich können die meisten Organisationen mit dem Patch-Management nicht Schritt halten.
A aktuelle Umfragezeigt, dass 76 Prozent der Schwachstellen, die derzeit ausgenutzt werden, seit vor 2020 bekannt sind. Unternehmen sind es eindeutig überfordert und nicht in der Lage, Schwachstellen effektiv zu patchen, die sich tatsächlich auf ihr Geschäft auswirken. Unternehmen müssen das Patch-Management im Zusammenhang mit ganzheitlichen Cybersicherheitslösungen betrachten.
Was Unternehmen brauchen, um die heutigen gewaltigen Sicherheitsherausforderungen zu bewältigen, sind kontinuierliche Penetrationstests, die ein umfassendes External Attack Surface Management (EASM) bieten.
p>
Ein starkes, umfassendes EASM-Programm beantwortet vier grundlegende Fragen:
Welche mit dem Internet verbundenen Vermögenswerte hat die Organisation? Welche Schwachstellen oder Anomalien hat sie und wie wirken sie sich auf die Umgebung aus, die Sie schützen? Worauf sollte das Sicherheitsteam seine Aufmerksamkeit richten? Wie kann das Team vorhandene Schwachstellen oder Risiken beheben?
In den letzten Jahren haben Unternehmen schnell auf die Cloud umgestellt, wobei verschiedene Unternehmensgruppen eine Vielzahl von Cloud-Diensten eingeführt haben, die nicht immer zentral verwaltet werden. Dies hat zu Sicherheitsherausforderungen geführt, da IT-und Sicherheitsteams möglicherweise nicht einmal wissen, dass Cloud-Ressourcen möglicherweise Daten über das Internet preisgeben. Aus diesem Grund ist es für das EASM-Programm wichtig, alle Assets zu entdecken, bevor Angreifer die Möglichkeit haben, automatisierte Tools auszuführen, um die Angriffsfläche der Organisation zu entdecken und zu überwachen.
Die Asset-Erkennung kann durch ständiges Scannen nach neuen Subdomains erreicht werden um neue Dienste aufzudecken, sobald sie verfügbar sind. Sobald digitale Assets entdeckt wurden, scannen Sie sie, um Schwachstellen und Anomalien zu finden. Der Schlüssel liegt darin, Tools zu verwenden, die die gleichen Aufklärungsaufgaben ausführen, die ein Cyberkrimineller verwenden würde, um das Unternehmen anzugreifen.
Der nächste Schritt besteht darin, Schwachstellen und Anomalien von den meisten bis zu den am wenigsten kritischen zu priorisieren. Auf diese Weise können sich Sicherheitsteams sofort auf das konzentrieren, was das größte Risiko für sie darstellt. Als Teil der Priorisierung können Teams Assets basierend auf einer Reihe von vordefinierten Kriterien gruppieren. Der letzte Schritt besteht darin, alle Schwachstellen zu beheben, die behoben werden müssen. Da vielen Organisationen die Ressourcen oder das Fachwissen fehlen, um Korrekturen bereitzustellen, ist es wichtig, Prozesse und Tools zu verwenden, die umsetzbare Ratschläge zur Behebung einer Schwachstelle liefern. Stellen Sie beispielsweise sicher, dass Sie Teams mit Informationen wie der Anforderungs-URL, der zur Identifizierung der Schwachstelle verwendeten Nutzlast, Codeschnipseln und Screenshots versorgen, wenn sie verfügbar sind.
Die aktuellen Methoden zum Auffinden und Beheben von Schwachstellen, basierend auf CVE und CVSS, haben ihre Vorzüge. Letztendlich handelt es sich jedoch um fehlerhafte Lösungen, die nicht das Sicherheitsniveau bieten, das Unternehmen heute benötigen. Sie setzen Unternehmen potenziell höheren Risiken aus, als ihnen wahrscheinlich bewusst ist. Unternehmen müssen über Strategien und Lösungen verfügen, die das erforderliche Fachwissen und die erforderliche Automatisierung bieten, um Sicherheitsteams dabei zu unterstützen, Schwachstellen so effizient wie möglich zu beheben. Auf diese Weise können Unternehmen proaktiver mit Sicherheit umgehen.
Bildnachweis: Rawpixel /depositphotos.com
Rickard Carlsson ist CEO und Mitbegründer von Detectify .