Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Optimieren Sie Ihre acht wesentlichen Maßnahmen zum Schwachstellenmanagement

Andrew Kay
Direktor, Vertriebstechnik, APJ
Illumio Editorial
7Mai 2020
23 min. lesen

Unterschiedliche miteinander verbundene Systeme und jetzt auch remote arbeitende Mitarbeiter auf der ganzen Welt erhöhen unsere Gefährdung und unsere Möglichkeiten für Cyberkriminalität. Die Sicherheitsteams hier in Australien, insbesondere in den Ministerien der australischen Bundes- und Landesregierung, kämpfen ständig mit Gegenwind, wenn es darum geht, die Ratschläge und Anforderungen des Australian Cyber Security Centre (ACSC) in Form der ISM Essential Eight zu übernehmen und aufrechtzuerhalten.

In den jüngsten Gesprächen, die wir mit Behörden über die Reduzierung der Kosten und des Aufwands für die Sicherheitshygiene geführt haben, wurden die anhaltenden Herausforderungen im Zusammenhang mit dem Patchen von Betriebssystemen und Anwendungen sowie anderen "grundlegenden" Praktiken aufgezeigt, die Sicherheitsteams nur schwer aus dem Griff bekommen. Trotz des Zugangs zu ausgereiften Technologien, die Systeme und COTS-Anwendungen erkennen und beraten, wie sie auf dem neuesten Stand gehalten werden können, und einem Sprint-Programm, das NCCEs dabei helfen soll, ihren Reifegrad der Essential Eight zu verbessern, bleibt die Frage, ob die Auswirkungen der Ergebnisse des Schwachstellenmanagements vollständig verstanden werden und wo der Aufwand der bereits angespannten Ressourcen für den größten Nutzen aus der Risikominderung investiert werden soll.

Schwachstellenmanagement ist natürlich eine wichtige Praxis im Arsenal eines jeden Sicherheitsteams und sollte ein Grundstein jeder Verteidigungsstrategie sein, was durch die Aufnahme in die ursprünglichen Top 4 von 2011 und seine anhaltende Relevanz in den erweiterten Essential 8 deutlich wird. Aufgrund der wachsenden Komplexität der Infrastruktur, der Anwendungsarchitekturen und der Software-Schwachstellen können Behörden jedoch nicht oder finden es immer schwieriger, jede Schwachstelle in den skizzierten Zeiträumen zu patchen, und sind oft bei der Bereitstellung von Patches gelähmt, weil sie befürchten, ihre Anwendungen zu beschädigen oder die Produktivität zu stören.

Da der Grad der INFOSEC-4-Compliance, der im Proactive Security Policy Framework (PSPF) Compliance Report der australischen Regierung (in Bezug auf die Cybersicherheit von Cyber- und IKT-Systemen einschließlich Strategien zur Minderung von Cybersicherheitsvorfällen) dokumentiert ist, nach wie vor der niedrigste aller 36 verbindlichen Anforderungen ist und sich in den letzten Jahren kaum verbessert hat, schätzen sich einige vielleicht glücklich, dass "die Bundesregierung erwägen wird, nur die wesentlichen acht vorzuschreiben, wenn Cyber Die Sicherheitsreife hat zugenommen."

Zu den gemeinsamen Themen aus unseren jüngsten Gesprächen mit Agenturen gehören:

  • Das Volumen der Software und Systeme sowie die Häufigkeit oder das Fehlen erforderlicher Patches – insbesondere bei selbst produzierter Software
  • Priorisierung mit der Erkenntnis, dass nicht immer alles gepatcht wird
  • Die Unvermeidlichkeit des Risikos, Schwachstellen zu akzeptieren, ohne ihre Auswirkungen vollständig zu würdigen

Hier sind drei Schlüsselbereiche, auf die Sie sich konzentrieren sollten und in denen integrierte Lösungen hilfreich sein können.

1. Neupriorisierung auf der Grundlage der Exposition, nicht nur auf der Grundlage der Kritikalität

Tradition und Natur sagen uns, dass wir zuerst das anstreben sollen, was wir als "am kritischsten" empfinden. Obwohl sie über hervorragende Erkennungstools und Bewertungssysteme verfügen, die die Kritikalität bekannter Schwachstellen widerspiegeln, berücksichtigen sie nicht die Konnektivität einer Workload im Vergleich zu anderen Workloads in einer Umgebung. Systeme mit geringerem Volumen oder potenziell niedrigerem Rang von Schwachstellen, die allein aufgrund der Kritikalität übersehen werden, aber leichter zugänglich und vernetzt sind, können eine Behörde angreifbar machen. Ein volumengesteuerter, neuester Ansatz für das Schwachstellenmanagement und das einfache Durchlaufen von Systemen, die in Anzahl und Rangfolge der identifizierten Probleme gleich erscheinen, wird die höchste Wahrscheinlichkeit eines Exploits nicht zuerst adressieren. Wenn überhaupt, dann schafft es nur die Illusion von Fortschritt und Erfolg, während die Agentur einem erheblichen Risiko ausgesetzt ist.

Eine Möglichkeit, die Angriffsfläche so gering wie möglich zu halten und die Rendite Ihrer Patching-Bemühungen zu erzielen, besteht darin, die Prioritätenliste basierend auf der "Gefährdung" neu zu ordnen. Betrachten Sie Schwachstellen im breiteren Kontext, in dem die Erreichbarkeit der Schwachstelle und die Verbundenheit des Systems eine entscheidende Rolle dabei spielen, ob es zuerst erkannt wird. Die Verknüpfung des von Ihnen gewählten Schwachstellen-Scan-Tools mit Echtzeit-Datenverkehrsflüssen innerhalb Ihres Rechenzentrums hilft Sicherheits- und IT-Betriebsteams, Sicherheits- und Patching-Entscheidungen für die Systeme mit den höchsten Gefährdungswerten zu priorisieren.

2. Visualisierte Wege zur Verwundbarkeit

Ohne ein Verständnis oder eine Visualisierung davon, wie eine Schwachstelle erreicht oder für den Zugriff auf andere sensible Systeme in Ihrer Umgebung genutzt werden kann, bewerten Sicherheits- und Anwendungsteams am häufigsten die Notwendigkeit oder den Zeitplan für das Patchen in Silos. Weil sie im Blindflug unterwegs sind, können sie die vor- und nachgelagerten Auswirkungen ihrer Entscheidungen nicht einschätzen. Dies ist besonders wichtig, wenn Sie sich dafür entscheiden, Risiken für eine Anwendung zu akzeptieren, die mit anderen verbunden ist.

Die Nichtberücksichtigung des breiteren Kontexts oder der Wirksamkeit der eingeführten Kontrollen hat wahrscheinlich zu den im PSPF-Compliance-Bericht präsentierten Daten beigetragen, in denen die Einhaltung von INFOSEC-3 "Implementierung von Richtlinien und Verfahren für die Sicherheitsklassifizierung und Schutzkontrolle von Informationsressourcen" um mehr als fünf Prozent zurückging, wobei Mängel in diesem Bereich festgestellt wurden.

Eine Visualisierung , die in der Lage ist, die Wege abzubilden, die ein Angreifer möglicherweise nutzen könnte, wird Sicherheitsteams mit den notwendigen Erkenntnissen ausstatten, um sicherzustellen, dass Entscheidungen nicht ohne Rücksicht auf vernetzte Systeme getroffen werden. Sie können sich darauf konzentrieren, die Auswirkungen einer Schwachstelle auf das breitere Ökosystem genau zu bewerten, im Voraus zu schätzen, wie hoch die "Gefährdung" ist, die man durch die Ausnutzung solcher ruhenden Schwachstellen hat, und sicherzustellen, dass die wirkungsvollsten Abhilfemaßnahmen zuerst ergriffen werden.

3. Option zur Abschwächung ohne sofortigen Zugriff auf den Patch

Patches sind nicht unbedingt verfügbar, wenn Sie sie benötigen. Produktionsänderungen, die eingefroren werden, verhindern deren sofortige Bereitstellung, oder, wie es oft der Fall ist, Projektteams können nicht erneut beauftragt werden, kundenspezifisch produzierte Software zu überarbeiten. Tatsächlich werden die Zyklen, die für die Vorbereitung und das Testen von Patches aufgewendet werden, damit sie sich nicht negativ auf die Verfügbarkeit von Business-Services auswirken, zum eigentlichen Hemmschuh für überlastete Sicherheitsteams, nicht die eigentliche Bereitstellung selbst. Teams riskieren, sich selbst verwundbar zu machen, bis sie patchen können, und keine Sensoren haben, die warnen, wenn Datenverkehr zu einem anfälligen Dienst erkannt wird.

Die neuesten ACSC-Reifegrade schreiben Ziele für die Dauer der Patch-Bereitstellung speziell für Systeme mit extremem Risiko vor. Obwohl die Behörden Stufe 3 und ein 48-Stunden-Patch-Ziel anstreben sollten, erreichen viele Patches möglicherweise nicht einmal das 1-Monats-Ziel der Stufe 1, und Systeme mit geringerem Risiko werden nicht auf dem gleichen Niveau geprüft. Daher wird es Zeitfenster geben, in denen Sie exponiert sein können, unabhängig davon, wo Sie sich auf der Reifeskala befinden. Auch wenn Sie sich in den Fundamentaldaten festgefahren fühlen und das Risiko einer Gefährdung durch ungepatchte Systeme eingehen, kann die Kontrolle, wie weit und breit die Kaninchenlöcher hinter dem stehen, was verletzt wird, effizient eingeführt werden, um dieses Risiko zu minimieren.

Wenn die Mikrosegmentierung gut gemacht wird, kann sie schnell mobilisiert werden, um als ausgleichende Kontrolle zu fungieren – was Ihnen allzu wertvolle Zeit verschafft. Wenn der Datenverkehr eine Verbindung zu einem Port mit einer bekannten Schwachstelle herstellt, beschleunigen Warnungen zur Information des Security Operations Centers (SOC) die Reaktionsprozesse, und noch besser, durchgesetzte Segmentierungsrichtlinien würden den Zugriff darauf verhindern oder einschränken, ohne dass Anwendungen unterbrochen werden. Die Isolierung der anfälligen Dienste vom Rest des Netzwerks verhindert, dass sich Bedrohungen seitlich ausbreiten, und erfüllt Ihre Compliance-Anforderungen, bis Patches angewendet werden.

Wie die aktuellen globalen Ereignisse und Sicherheitsverletzungen gezeigt haben, ist es von entscheidender Bedeutung, die Reichweite einer Bedrohung, die präventive Isolierung und die Sicherstellung von Kontrollen zu verfolgen und zu verstehen, um die Ausbreitung oder die Auswirkungen eines Vorfalls, der vorhandene Schwachstellen in Ihrem Rechenzentrum ausnutzt, zu "verhindern". Vor allem, wenn es schwierig ist, die "heilenden" Alternativen zu testen und rechtzeitig anzuwenden.


Weitere Informationen zu Illumio finden Sie hier, wie wir dazu beitragen, das Schwachstellenmanagement zu optimieren und Sicherheitsteams in die Lage zu versetzen, sich von der Last der Grundlagen zu befreien.

Verwandte Themen

No items found.

Verwandte Artikel

Untersuchung der Verwendung der NGFW-Funktionalität in einer Mikrosegmentierungsumgebung
Cyber Resilience

Untersuchung der Verwendung der NGFW-Funktionalität in einer Mikrosegmentierungsumgebung

Erfahren Sie mehr über die Forschung von Illumio zu den Möglichkeiten der Implementierung von NGFW-Funktionen in einer Mikrosegmentierungsumgebung.

Read more
Cybersicherheit ist unser größtes nationales Gebot der Resilienz
Cyber Resilience

Cybersicherheit ist unser größtes nationales Gebot der Resilienz

Mit einem verstärkten Fokus auf die Steigerung von Produktion, Fertigung und Vertrieb sind Cybersicherheit und die Sicherung kritischer Infrastrukturen für diesen Erfolg von größter Bedeutung.

Read more
Swish: Was uns Steph Curry über Unternehmenssicherheit beibringen kann
Cyber Resilience

Swish: Was uns Steph Curry über Unternehmenssicherheit beibringen kann

Die besten Sicherheitsexperten sind diejenigen, die wie ein Hacker denken können. Ihre Perspektive auf die Verteidigung basiert auf einem grundlegenden Verständnis dafür, wie ein System nach Schwachstellen durchsucht werden kann, die leicht ausgenutzt werden können.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more