Ein praktischer Leitfaden zum Identifizieren und Priorisieren von Schwachstellen
Das Suchen und Identifizieren von Sicherheitsrisiken ist ein wesentlicher Bestandteil der Sicherheitsverpflichtungen jedes Unternehmens. Wenn Sie die Risiken in Ihrem Unternehmen identifizieren möchten, müssen Sie jedoch zunächst feststellen, welche Technologien und Services Ihr Unternehmen überhaupt nutzt. Anhand einer Inventarliste der Assets oder Services Ihres Unternehmens kann Ihr Sicherheitsteam feststellen, wo gesucht oder was einem Penetrationstest unterzogen werden muss.
Dazu sollten Sie sich zunächst einige grundlegende Fragen stellen:
- Verwendet mein Unternehmen eine Umgebung in der öffentlichen Cloud (z. B. AWS, GCP)?
- Welche Anbieter oder Open-Source-Produkte und -Software nutzen wir?
- Welche Betriebssysteme sind bei uns im Einsatz?
Sobald diese Fragen (und viele andere) beantwortet sind, können Sie die richtigen Tools für Ihre Arbeit auswählen.
Schwachstellensuche
Schwachstellen-Scanner sind Tools, mit denen Sie automatische Suchen ausführen können, um Schwachstellen in Komponenten wie Anwendungen, Infrastruktur und Netzwerken zu finden. Jedes Asset wird auf mögliche Schwachstellen untersucht, beispielsweise die Verwendung einer Komponente, der ein CVE zugeordnet ist, eine Datei, die unbeabsichtigt im Internet veröffentlicht wird, oder die Verwendung von Standard-Anmeldedaten. Bei einigen Scannern können Benutzer Regeln konfigurieren, um den Umfang und die Art der ausgeführten Suche festzulegen.
Es gibt zwei Hauptmethoden für das Ausführen von Suchen: Authentifizierte und nicht authentifizierte Suchen.
Bei authentifizierten Suchen wird eine umfassende Prüfung der gesamten Umgebung ausgeführt. Bei diesem Ansatz erhalten die Tools für die Schwachstellensuche privilegierten Zugriff über einen Service-Account oder einen auf dem Asset installierten Agenten, um die Umgebung auf Schwachstellen zu überprüfen. Durch eine sorgfältige Überprüfung der Assets können authentifizierte Schwachstellensuchen unzulängliche Konfigurationen und Schwachstellen aufdecken.
Für nicht authentifizierte Schwachstellensuchen sind keine Anmeldeinformationen erforderlich, um auf das zu durchsuchende Asset zuzugreifen. Im Vergleich zu authentifizierten Schwachstellensuchen sind die Ergebnisse von nicht authentifizierten Suchen sehr viel weniger detailliert, da der Scanner keinen umfassenden Überblick über die Umgebung hat. Diese Schwachstellensuchen werden üblicherweise von Penetrationstestern, Experten und Angreifern verwendet, um die externen Risiken im Zusammenhang mit einem Asset zu verstehen.
Durch authentifizierte und nicht authentifizierte Schwachstellensuchen erhalten Organisationen wertvolle Erkenntnisse zu den Schwachstellen ihrer Umgebungen und können so fundierte Entscheidungen zur Verbesserung der Sicherheitsmaßnahmen treffen.
Während die Ergebnisse einer Schwachstellensuche nützliche Informationen und eine allgemeine Übersicht über die Sicherheit des Systems bieten, beinhaltet ein Penetrationstest eine gründliche Analyse der Sicherheitsrisiken einer Umgebung.
Penetrationstester
Ein anderer wirkungsvoller Ansatz zur Identifizierung von Schwachstellen in der Umgebung sind Penetrationstests (Pen-Test). Bei diesem Verfahren simuliert ein Sicherheitsexperte einen Angriff auf das System, um Schwachstellen und potenzielle Exploits zu entdecken. Für ein realistisches Cyber-Angriffsszenario kann der Penetrationstester sogar die Taktiken, Techniken und Verfahren simulieren, die von tatsächlichen Angreifern verwendet werden.
Unternehmen beauftragen häufig externe Auftragnehmer mit Penetrationstests, da die wertvollsten Ergebnisse erzielt werden, wenn diese Tests von einer Person ausgeführt werden, die mit der Umgebung nicht vertraut ist.
Diese Tests werden als externe Penetrationstests bezeichnet. Immer mehr Unternehmen beschäftigen heute jedoch eigene Teams für offensive Sicherheit, die interne Penetrationstests ausführen. Sowohl interne als auch externe Penetrationstests sind äußerst nützlich, um Anwendungsfälle mit Angreifern innerhalb und außerhalb des Netzwerks zu simulieren.
Ein Penetrationstest besteht aus sieben Hauptschritten:
- Vorbereitung
- Erkunden oder Sammeln von Informationen aus öffentlich zugänglichen Quellen (OSINT)
- Schwachstellensuche oder Erkennung
- Schwachstellenbewertung (Erhalten von Zugang)
- Ausnutzung (Aufrechterhaltung des Zugangs)
- Auswertung, Berichterstellung und Risikoanalyse
- Behebung
Nach Abschluss des Tests wird ein Bericht erstellt, der alle gefundenen Schwachstellen zusammen mit einer Bewertung des Risikos und Details zur Behebung enthält. Dies hilft Organisationen, die Probleme anzugehen und die Sicherheit der Umgebung zu erhöhen.
Priorisieren der Ergebnisse
Sobald Sie durch automatisierte Suchen und Penetrationstests die Schwachstellen in Ihrer Umgebung identifiziert haben, besteht der nächste Schritt darin, diese Schwachstellen zu beheben, um die Risiken für Ihr Unternehmen zu verringern. Jetzt fragen Sie sich sicher, wie Sie bei einer Liste mit Tausenden von Schwachstellen Prioritäten setzen sollen. Die gute Nachricht ist, das müssen Sie nicht! Sie können sich zwar an dem Schweregrad orientieren, der von den Tools angegeben wird, es ist jedoch effektiver, die Prioritäten danach zu setzen, welche Auswirkungen die Schwachstelle auf Ihr Unternehmen hat. Dazu müssen Sie herausfinden, welche Services, Umgebungen und Produkte für Ihr Unternehmen am wichtigsten sind: Sind Produkte oder Services betroffen, auf die Kunden direkt zugreifen? Enthalten die Produkte Kundendaten? Führen Ausfallzeiten zu hohen Umsatzeinbußen?
Indem Sie die Auswirkungen auf das Unternehmen mit dem Schweregrad der Schwachstelle kombinieren, können Sie eine nach Prioritäten geordnete Liste der zu behebenden Schwachstellen erstellen, die mit den wichtigsten Schwachstellen beginnt. Dadurch bleiben auf Ihrer Liste mit Tausenden von Schwachstellen nur noch einige Hundert übrig – oder sogar noch weniger.