Vincent Smyth, Senior Vice President EMEA bei Flexera Software
Um in das IT-Netzwerk von Unternehmen zu gelangen, lassen sich Hacker immer neue Tricks einfallen. Häufigstes Einfallstor von Angriffen sind Schwachstellen in der Software. Allein 2015 wurden 16.081 Software Vulnerabilities in 2.484 Produkten entdeckt. Bleiben diese unentdeckt, können sie erfolgreich für Hackerangriffe genutzt werden [1]. Unternehmen setzen daher verstärkt auf Software Vulnerability Management, um das Risiko von Bedrohungen richtig einzuschätzen und sich besser zu schützen. Denn für 84 Prozent aller bekannten Schwachstellen gibt es bereits am Tag der Bekanntgabe einen entsprechenden Patch [2].
Unternehmen können ihr Risiko also am effektivsten minimieren, wenn sie bekannte Schwachstellen proaktiv angehen und entsprechende Sicherheitsupdates regelmäßig durchführen. Die Voraussetzung dafür schafft ein erfolgreiches Software Vulnerability Management, das in drei Phasen unterteilt werden kann:
- Bewerten: Identifizierung und Untersuchung von Schwachstellen sowie die Analyse potentieller Gefahren für Unternehmen (Vulnerablity Intelligence)
- Begrenzen und Beseitigen: Testen, Paketieren und Ausrollen von Sicherheitsupdates d.h. Patch-Management
- Überprüfung: Kontrollieren der Wirksamkeit von Patches und weitere Techniken, um die potenzielle Angriffsfläche zu minimieren.
Vor allem die erste Phase ist von entscheidender Bedeutung: Unternehmen sollten damit beginnen, bereits bekannte Schwachstellen herauszufiltern und dann diejenigen fokussieren, die geschäftsentscheidende Prozesse direkt beeinflussen könnten.
Drei Phasen des Software Vulnerability Management: Bewertung, Begrenzung und Beseitigung sowie Überprüfung
Schwachstellen erkennen – Vorteil SAM
Für eine solche Bewertung bedarf es einer umfassenden Bestandsaufnahme der eigenen Assets. Nur so lässt sich herausfinden, welche Systeme durch welche Schwachstellen potenziell gefährdet sind. Anhand dieser Informationen können entsprechend Prioritäten bei weiterem Vorgehen festgesetzt werden. Dabei sind Software Asset Management (SAM)-Lösungen eine gute Möglichkeit, um sich einen genauen Überblick aller verwendeten IT-Assets im Unternehmen zu verschaffen. SAM hat sich in den letzten Jahren zu einem Bollwerk gegen unnötige Software-Ausgaben entwickelt, weshalb führende Unternehmen entsprechende Systeme entweder bereits implementiert haben oder gerade an der Einführung arbeiten. In erster Linie werden SAM-Lösungen zur Softwarelizenz-Optimierung genutzt, aber sie helfen auch dabei, automatisch alle Software- und Hardware-Assets im Unternehmen zu identifizieren und inventarisieren.
Ein Überblick aller verwendeten IT-Assets hilft Sicherheitslücken zu erkennen
Damit übernimmt Software Asset Management eine wichtige Funktion für das Software Vulnerability Management. Denn auch hier stehen Discovery und Inventarisierung von IT-Assets an erster Stelle. Es macht also Sinn, diese zwei grundsätzlich getrennt voneinander angesiedelten Aufgabenbereiche stärker miteinander zu verknüpfen. Die IT-Sicherheit kann so die aus dem SAM erhobenen Daten als Referenz nutzen, um relevante Schwachstellen zu identifizieren. In der Realität bestehen solche Synergien schon lange. Zudem werden SAM-Lösungen immer mehr auch mit Funktionalitäten für das Software Vulnerability Management ausgestattet, was die Zusammenarbeit zwischen den IT-Teams weiter vereinfacht.
Schwachstellen bewerten – Vulnerability Intelligence
Schwachstellen zu identifizieren ist jedoch nur der erste Schritt. Zum weiteren Verlauf gehört es auch, das Risiko einer Schwachstelle für Unternehmen einzuschätzen und Prioritäten festzulegen. Bei der komplexen IT-Landschaft eines Unternehmens ist das keine leichte Aufgabe. Denn jedes Jahr werden zahllose Schwachstellen in unzähligen Produkten entdeckt, und im Durchschnitt erreichen täglich 300 solcher Meldungen IT-Abteilungen, wobei gerade einmal acht Prozent der entdeckten Schwachstellen eine tatsächliche Gefahr darstellen. Hier gilt es herauszufinden, welche Bedrohungen ernst zu nehmen sind und weiter untersucht werden sollten. Besteht eine echte Gefahr, ist schnellstmögliches Handeln gefragt. Andere Schwachstellen sind weniger kritisch und können zu gegebener Zeit behoben werden. Das verlangt ein genaues Abgleichen der Unternehmens-IT mit bekannten Schwachstellen. Sicherheitsexperten müssen das potentielle Risiko abschätzen und entscheiden, welche Schwachstellen als erste zu beheben sind.
Gehört das Schwachstellen-Management nicht zum Kerngeschäft, verfügt ein Unternehmen in der Regel über keine Ressourcen zur Aufstellung entsprechender Expertenteams. Gefragt sind daher verlässliche Lösungen, die das Software Vulnerability Management automatisch durchführen. Das Sammeln von Informationen reicht dabei nicht aus: Entscheidend ist es, Vulnerability Intelligence aufzubauen. Dies bedeutet, dass die gemeldeten Schwachstellen anhand zusätzlicher Daten verifiziert und priorisiert werden. Gleichzeitig müssen die Informationen in einem Format übermittelt werden, mit dem die zuständigen Teams arbeiten können, das entsprechende Gegenmaßnahmen empfiehlt und Vorgehensweisen aufzeigt. Die Überprüfung und Relevanz der Daten ist daher ein wichtiges Kriterium der Vulnerability Intelligence. Denn nur so lässt sich sicherstellen, dass der Fokus auf den Software-Schwachstellen liegt, die auch tatsächlich eine Gefahr für das Unternehmen darstellen.
Gefahrenkategorien – von extrem kritisch bis ungefährlich
Eine gute Vulnerability Intelligence beurteilt Schwachstellen zudem im Hinblick auf ihre Gefährlichkeit. Secunia Research von Flexera Software beispielsweise erstellt Vulnerability Advisories. Diese überprüfen und identifizieren Schwachstellen nicht nur, sondern ordnen sie einer Skala von 1 bis 5 zu:
- Äußerst kritisch (5): Schwachstellen, die extern ausgenutzt werden und zur Kompromittierung eines Systems führen können. Um die Sicherheitslücke erfolgreich auszunutzen, ist keine Interaktion nötig; Exploits befinden sich bereits im Umlauf. Sie kommen z.B. in FTP-, HTTP- und SMTP-Services vor, aber auch in bestimmten Client-Systemen wie E-Mail-Anwendungen und Browsern.
- Kritisch (4): Entspricht der Einstufung „äußerst kritisch“, doch ist bei “kritischen” Schwachstellen zum Zeitpunkt der Entdeckung noch kein Exploit vorhanden.
- Mäßig kritisch (3): Schwachstellen dieser Kategorie können das System ebenfalls kompromittieren. Sie treten in LANs über Services wie SMB, RPC, NFS, LPD, bei denen eine Nutzung über das Internet nicht vorgesehen war. „Mäßig kritische“ Schwachstellen lassen sich typischerweise für extern gesteuerte Denial of Service (DoS)-Attacken auf FTP-, HTTP- und SMTP-Services nutzen, sowie bei der Kompromittierung von Systemen, die eine Interaktion voraussetzen.
- Wenig kritisch (2): Schwachstellen, die für Cross-Site-Scripting und Privilegien-Erweiterungen genutzt werden. Diese Stufe gilt auch für Schwachstellen, durch die sensible Daten unberechtigter Weise an lokale Nutzer weitergegeben werden.
- Nicht kritisch (1): Schwachstellen, die für sehr eingeschränkte Privilegien-Erweiterungen und lokal durchgeführte DoS-Attacken ausgenutzt werden bzw. Schwachstellen, durch die nicht-sensible Systeminformationen öffentlich werden (z. B. externe Offenlegung des Installationspfads einer Anwendung), fallen ebenso unter diese Kategorie).
Die Bewertungsgrundlage für die Gefährlichkeit einer Schwachstelle bemisst sich an verschiedenen Faktoren: der möglichen Auswirkung auf das Gesamtsystem, dem Angriffsvektor und den Möglichkeiten, sie zu beheben. Zudem ist entscheidend, ob die Schwachstelle ausgenutzt werden kann und dies bereits vor der Veröffentlichung eines Patches geschehen ist.
Fazit
Um zuverlässige Vulnerability Intelligence in Unternehmen aufzubauen, sind drei wichtige Etappen zu absolvieren: (1) bekannte und verifizierte Schwachstellen identifizieren, (2) das Risikopotential dieser Schwachstelle für das Unternehmen einschätzen und (3) relevante Schwachstellen schließlich in eine Gefahrenkategorie einordnen. Auf dieser Grundlage lassen sich effektive Maßnahmenpläne entwickeln, die das Risiko von Schwachstellen minimieren.
Legen Unternehmen eine funktionierende, proaktive Strategie für das Software Vulnerability Management erst einmal fest, können sie ihre Angriffsfläche und das Risiko eines Angriffs reduzieren. Ein hoher Vulnerability IQ, also das umfassende Wissen, welche Schwachstellen vorhanden sind, wie sie sich auf die Unternehmens-IT auswirken und welchen Dringlichkeitsgrad sie besitzen, ist dabei der erste Schritt zu mehr Cyber-Security.
Flexera Software unterstützt Softwarehersteller und Anwenderunternehmen dabei, die Nutzung von Software zu steigern und Mehrwerte daraus zu generieren. Die innovativen Lösungen für Softwarelizenzierung, Compliance und Installation ermöglichen kontinuierliche Lizenz-Compliance und optimierte Softwareinvestitionen.
Quellen
[1] Laut einer Studie von pwc belief sich der so verursachte finanzielle Schaden 2015 auf durchschnittlich 2,5 Millionen US-Dollar – vom Image- und Datenverlust ganz zu schweigen (http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html).
[2] Flexera Vulnerability Review 2016 (http://www.flexerasoftware.com/enterprise/resources/research/vulnerability-review/)