Die schlimmste Cyber-Bedrohung ist Ihr Patching-Prozess

Hinweis: Der folgende Artikel hilft Ihnen dabei: Die schlimmste Cyber-Bedrohung ist Ihr Patching-Prozess

Die schlimmste Cyber-Bedrohung ist Ihr Patching-Prozess

Software-Schwachstellen stellen eine ständig wachsende Bedrohung dar. Jede CVE-Veröffentlichung scheint auf eine weitere tickende Zeitbombe hinzudeuten, und die Belastung für Sicherheitsexperten wächst schneller als der Rückstand an Patches, die auf die Implementierung warten. Der fatale Fehler des Patching-Prozesses ist das völlige Fehlen von Indikatoren für den Schweregrad, wodurch Unternehmen im Unklaren darüber bleiben, welche konkreten Auswirkungen jede Sicherheitslücke hat. Hier erfahren Sie, wie a Webanwendungs-Firewall und eine Neupriorisierung kann den Ansatz Ihres Unternehmens zum Schwachstellenmanagement völlig neu beleben.

Die wachsende Bedrohung durch Produktionsschwachstellen

2023 sah das höchste Anzahl an Software-Schwachstellen seit Beginn der Aufzeichnungen, mit einem Anstieg von fast 10 % gegenüber der Gesamtzahl von 18.351 im Jahr 2023. Im Jahr 2023 wurden über 25.000 verschiedene Softwareprodukte mit Schwachstellen ausgeliefert, die möglicherweise die Sicherheitsvorkehrungen von Millionen von Kunden und Organisationen beeinträchtigen. Die gute Nachricht ist jedoch, dass die Zahl der Schwachstellen mit hohem Schweregrad im Jahr 2023 tatsächlich zurückgegangen ist, und zwar von 4.378 auf 4.063. Dies ist der erste derartige Rückgang seit fünf Jahren, und DevOps muss hart daran arbeiten, diesen Trend bis 2023 fortzusetzen.

Ein Trend, der auch im Jahr 2023 weiterhin prägte, ist die Komplexität der Angriffe. Die Zahl der Angriffe mit geringer Komplexität nahm erneut zu und machte im Jahr 2023 94 % aller Angriffe aus. Diese Angriffe mit geringer Komplexität zeichnen sich durch eine Angriffskette aus, die leicht wiederholbar ist. Diese regelmäßig von Bots und Script-Kiddies gestarteten Angriffe stellen für Cyberkriminelle eine einfache Möglichkeit dar, in die Abwehrmechanismen Ihres Unternehmens einzudringen. Bei Angriffen mit hoher Komplexität hingegen beruht der Angriffspfad des Kriminellen häufig auf Umständen, die außerhalb seiner eigenen Kontrolle liegen. Cyberkriminelle machen 88 % der Angriffe im Jahr 2023 aus und profitieren von immer geringerem Aufwand.

Lesen:  WordPress vs. Ghost: Was sollten Sie 2024 zum Bloggen verwenden?

Die überwiegende Mehrheit der Sicherheitslücken im Jahr 2023 konnte ohne interne Unterstützung ausgeführt werden. Allerdings erforderte ein Drittel der in der Studie registrierten Schwachstellen, dass ein unwissender Insider dem Angreifer die Kontrolle überließ. Das Spektrum der Angriffsvektoren im Berichtsjahr weist einige Schwächen auf, wenn man sich nur auf Zahlen verlässt. Das Patchen und Warten jeder einzelnen anfälligen Software stellt eine enorme Ressourcenbelastung dar: Die Cybersicherheitsstrategie muss mit dem modernen Hyperwachstum von Schwachstellen Schritt halten.

Wie Ihr Patching von der Neupriorisierung profitiert

Anfällige Software stellt nur dann eine Bedrohung dar, wenn diese Software nicht gepatcht wird. Die logische Maßnahme zur Stärkung der Abwehrkräfte einer Organisation besteht daher darin, einfach die Patches herauszugeben. Allerdings ist es eine große Herausforderung, mit dem Patchen von Schwachstellen Schritt zu halten. Cybersicherheitsteams sind nach wie vor unterbesetzt und überlastet, was das Mantra „Alle Software immer auf dem neuesten Stand halten“ für Abteilungen, die einfach nicht über die Ressourcen verfügen, hoffnungslos optimistisch macht. Die schiere Menge an Patches wird durch den Mangel an wirklicher Einsicht in die realen Konsequenzen jeder Schwachstelle noch verstärkt. Auf der Suche nach weiteren Methoden für den Wahnsinn haben sich Administratoren der Schweregradbewertung der Common Vulnerability Severity Scale (CVSS)-Scores zugewandt.

Allerdings könnte dieser Ansatz das zugrunde liegende Problem tatsächlich verschärfen. Bei der Priorisierung dieser Patches in der Reihenfolge ihres CVSS-Scores fehlt der Priorisierung dieser Patches völlig der Kontext. CVSS mag vielversprechend erscheinen – schließlich ist es wichtig, über einen schwerwiegenden Fehler bei der Remotecodeausführung Bescheid zu wissen – CVSS liefert keinen Kontext dazu, ob dieser Fehler tatsächlich wahrscheinlich von einem Angreifer ausgenutzt wird. Es wird nicht darauf hingewiesen, ob der Fehler in 15 oder 15 Millionen Systemen vorliegt oder ob öffentlich zugängliche Server betroffen sind. Angreifer verlassen sich zunehmend auf Angriffe mit geringem Aufwand, da diese einen höheren ROI bieten. Die ressourcenintensiven Patching-Prozesse, die Unternehmen einsetzen, sind nicht einmal auf die Angriffsansätze abgestimmt, mit denen sie konfrontiert sind. Jetzt werden bereits begrenzte Ressourcen für Fehler aufgewendet, die wahrscheinlich nie ausgenutzt werden.

Lesen:  Sollte ich auf Magento 2 migrieren? Untersuchen Sie Ihre Optionen

Die durch einen wahllosen und schlecht verwalteten Patch-Prozess verursachten Schwachstellen erfordern Lösungen. Kürzlich hat ein Team von Universitätsforschern ein Modell namens Expected Exploitability entwickelt. Dieses Vorhersagetool basiert auf Daten aus über zwei Dutzend Quellen und berücksichtigt nicht nur die Schwere jedes Fehlers, sondern beurteilt auch, wie wahrscheinlich es ist, dass jede Schwachstelle im wirklichen Leben ausgenutzt wird. Erwartete Ausnutzbarkeit festgestellt 60 % der Schwachstellen, die funktionale Ausnutzungsrisiken darstellten, mit einer Genauigkeit von 86 %. Besonders wichtig für die Genauigkeit dieses Modells ist die Flexibilität seiner Eingabedaten. Da die Forscher erkannten, dass nicht alle relevanten Informationen verfügbar sind, wenn eine Schwachstelle erstmals offengelegt wird, wählten sie einen adaptiven Ansatz und erhöhten die Genauigkeit des Modells, sobald weitere Informationen veröffentlicht wurden.

Selbst modernste Vorhersagemodelle können jedoch nicht alle mit dem Patching verbundenen Probleme lösen. Fehlerhafte Patches kommen immer häufiger vor, wie das log4j-Fiasko nach dem Verstoß zeigt. Dabei brauchte Apache mehrere Versuche, den Patch für den Fehler zu veröffentlichen, der nur Equifax kostete über 700 Millionen US-Dollar. Fehlerhafte Patches führen nicht nur dazu, dass Schwachstellen vorherrschen, sondern auch, dass Sicherheitsteams aus der Spur geraten – was dazu führt, dass Unternehmen ihr eigenes Risiko falsch einschätzen.

Management des Schwachstellenrisikos

Virtuelles Patching beschreibt die Bereitstellung einer kurzfristigen, schnellen Sicherheitsrichtlinie, die sich auf den Schutz einer Anwendung konzentriert, bevor ihr offizieller Patch veröffentlicht wird. Virtuelles Patching ist besonders wichtig für geschäftskritische Systeme, die online bleiben müssen. In solchen Situationen können bestimmte Tools dabei helfen, Softwareteile zu schützen, ohne dass Änderungen am zugrunde liegenden Quellcode vorgenommen werden müssen. Eines dieser Tools ist eine Web Application Firewall (WAF).

Lesen:  DreamHost-Interview mit PHP-Entwickler Michael ...

Eine WAF befindet sich am Rande einer Anwendung und analysiert die Transaktionen, die zwischen ihrer Software und dem öffentlichen Internet stattfinden. Die WAF schützt ihre Webanwendungen, indem sie den HTTP/S-Verkehr zur Webanwendung filtert, überwacht und blockiert. Dadurch wird verhindert, dass unberechtigte Daten die App verlassen. Dies wird durch die Implementierung von Richtlinien erreicht, die es ermöglichen, zu bestimmen, wie sich bösartiger Datenverkehr verhält. Die WAF ist ein guter erster Schritt in Richtung einer starken virtuellen Patch-Schicht: Die Geschwindigkeit und Leichtigkeit, mit der neue Richtlinien implementiert werden können, macht sie äußerst anpassungsfähig. Über WAF kann beispielsweise eine Ratenbegrenzung implementiert werden, die bei der Abwehr von DDoS-Angriffen (Distributed Denial of Service) hilft.

Während sich eine WAF neben einer Anwendung befindet, umschließt Runtime Application Self Protection (RASP) eine Anwendung und überwacht deren Verhalten, wann immer die App verwendet wird. Wenn innerhalb der App ein Sicherheitsereignis auftritt, übernimmt RASP die Kontrolle und löst eine Reihe von Aktionen aus. Im Diagnosemodus benachrichtigt Sie RASP lediglich darüber, dass etwas nicht stimmt. Wenn RASP in den Schutzmodus versetzt wird, beendet es aktiv die Aktionen, die als unorthodox oder unerwartet erkannt werden.

Das Patchen muss kein Albtraum sein. Neben der Aufrechterhaltung einer starken und anpassungsfähigen Schutzebene können virtuelle Patches wichtige Teile der Infrastruktur von Cyberkriminellen fernhalten und Ihnen gleichzeitig das lange Warten auf einen offiziellen Patch ersparen.

Aktuelle Artikel:

Empfohlen