Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Kennen Sie die Punktzahl: Die Gefährdung von Schwachstellen erklärt

Illumio Editorial
August 3, 2018
23 min. lesen

In diesem Beitrag erkläre ich die verschiedenen Faktoren bei der Berechnung des Illumio Vulnerability Exposure Score (VES), der es Unternehmen ermöglicht, branchenübliche Vulnerabilitätsbewertungsmessungen mit dem Kontext ihrer eigenen einzigartigen Umgebung zu kombinieren. Das VES hilft Sicherheitsexperten auch bei der Priorisierung von Sicherheitskontrollen, um die Gefährdung der Angriffsfläche und die potenziellen Auswirkungen von Schwachstellen zu minimieren.

Was ist Exposure?

Die Gefährdung im Zusammenhang mit der Cybersicherheit wird in der Regel durch die "Angriffsfläche" definiert. Hier ist eine Definition, die OWASP verwendet:

Die Angriffsfläche beschreibt all die verschiedenen Punkte, an denen ein Angreifer in ein System eindringen und an denen er Daten herausholen kann.

Das Illumio VES ist direkt an dieser Definition ausgerichtet. Einfach ausgedrückt ist die Gefährdung ein Versuch, die Summe der "Löcher" oder der verschiedenen Punkte zu quantifizieren, von denen aus ein Angreifer versuchen kann, in ein System über das Netzwerk einzudringen.

Nehmen wir zum Beispiel an, Sie haben ein Partnerportal – eine Workload, auf der eine Webanwendung auf Port 443 ausgeführt wird. Nach dem Prinzip der geringsten Rechte haben Sie möglicherweise nur auf drei externe Partner Zugriff auf diese Webanwendung. In diesem Beispiel beträgt die Expositionsbewertung für diese Anwendung 3. Dies scheint zwar offensichtlich zu sein, aber sehr oft haben Unternehmen nicht dieses Maß an Bewusstsein oder Einblick in ihre Ost-West-Exposition auf Anwendungsbasis, ganz zu schweigen von den Auswirkungen der Gesamtheit dieser Gefährdungen in ihrer Umgebung.

Was ist ein Vulnerability Score?

Das Illumio VES verwendet den offenen, von der Community akzeptierten Industriestandard Common Vulnerability Scoring System (CVSS), der ursprünglich vom National Infrastructure Advisory Council (NIAC) entwickelt wurde. Die Einführung eines Industriestandards ermöglicht es uns, mit vielen bestehenden Sicherheitslösungen, einschließlich Anbietern von Schwachstellenmanagement , zusammenzuarbeiten und eine Bewertung bereitzustellen, die von den meisten Sicherheitsexperten akzeptiert wird.

Schwachstellenbewertungen sind in den meisten Schwachstellenmanagementlösungen üblich und werden in der Regel pro Workload bewertet und zugewiesen. Beispiel: Workload A weist fünf Schwachstellen auf. Der Vulnerability Score könnte der kombinierte Durchschnitt der CVSS-Scores dieser fünf sein. Dies ist zwar eine wertvolle Metrik, um die potenzielle Schwachstelle einer einzelnen Workload isoliert zu verstehen, aber es fehlen einige wichtige Details, um zu verstehen, wie anfällig diese Workload in einer Live-Umgebung ist.

Implementierung von Mikrosegmentierung, um das mit Schwachstellen verbundene Risiko zu mindern

Um zu verstehen, wie verletzlich etwas ist, müssen Sie sich mehrere Faktoren ansehen. Eine Schwachstelle ist nur dann ein wirkliches Risiko, wenn sie in Ihrer Umgebung offengelegt wird und ausgenutzt werden kann.

Betrachten wir als einfaches Beispiel eine einzelne Workload mit einer einzigen kritischen Schwachstelle. Da er als "kritischer" Schweregrad eingestuft wird, kann er in hohem Maße ausgenutzt werden können. Die typische Empfehlung eines Sicherheitsteams könnte lauten: "Wir müssen es patchen!". Betrachten wir jedoch, wie viele andere Workloads eine Verbindung mit dieser Workload herstellen und diese Sicherheitsanfälligkeit möglicherweise ausnutzen können. Sehen wir uns auch die Netzwerkports an, die im Rahmen dieser Sicherheitsanfälligkeit verfügbar gemacht werden. Wie so oft in flachen Netzwerken wird der Workload gut mit vielen anderen Workloads verbunden sein.

Das Patchen dieser speziellen Schwachstelle ist möglicherweise nicht möglich, entweder weil noch kein Patch vorhanden ist oder aufgrund von Anforderungen und Einschränkungen in Bezug auf die Produktionsverfügbarkeit, Änderungsfenster und SLAs. In solchen Fällen können wir die Mikrosegmentierung verwenden, um die Anzahl der Workloads zu reduzieren, die eine Verbindung zu dieser anfälligen Workload und zu dem spezifischen anfälligen Port herstellen können.

Mikrosegmentierung wird zu einer risikomindernden Kontrolle durch:

  • Reduzierung der Angriffsvektoren auf die Arbeitslast.
  • Reduzierung der "Exposition" der Arbeitsbelastung.
  • Verringern des Risikos, dass die Schwachstelle für diese Workload tatsächlich ausgenutzt werden kann, obwohl die Schwachstelle sowohl "kritisch" ist als auch derzeit nicht gepatcht werden kann.

Was ist der Vulnerability Exposure Score?

Das Illumio VES ist ein Mittel, um sowohl die "Ausnutzbarkeit" einer Schwachstelle (in der Regel dargestellt durch den CVSS-Score) als auch die tatsächliche "Erreichbarkeit" der verwundbaren Arbeitslast über Angriffsvektoren in Ihrer Umgebung in den Griff zu bekommen – was wir als "Exposure" bezeichnen.

Nun zur eigentlichen Mathematik. Der VES wird berechnet, indem ein skalierter Vulnerabilitätswert (CVSS) mit einer skalierten Expositionsmessung für einen bestimmten Dienst multipliziert wird, wobei s und p Skalierungsfaktoren sind, um den Logarithmus bei der Skalierung dieser Messungen zu unterstützen, was eine gängige mathematische Technik ist, wenn es einen großen Wertebereich gibt:

VES = s(CVSS) * p(Belichtungsmessung)

Wie ich in meinem Forbes-Artikel über die Lektionen zur Unternehmenssicherheit von NBA-MVP Steph Curry erwähnt habe, bietet diese Messung einem Sicherheitsexperten die Möglichkeit, Schwachstellen und damit verbundene Bedrohungsinformationen im Kontext segmentierter Umgebungen zu verstehen.

Herkömmliche Lösungen für das Schwachstellenmanagement verwenden insbesondere Bewertungen von "Kritisch", "Hoch", "Mittel", "Niedrig" und "Info", um Schwachstellen zu kategorisieren und die Priorisierung von Maßnahmen zur Risikominderung zu unterstützen. Kritische und hohe Werte erhalten sofortige Aufmerksamkeit, wie sie es sollten. Es gibt jedoch eine große Anzahl mittlerer Schwachstellen, die nicht priorisiert werden und sich schließlich zu einem erheblichen Rückstand aufbauen, der von Malware-Autoren nicht unbemerkt geblieben ist.  

Kritische Schwachstellen sind oft in hohem Maße ausnutzbar (geringe Kosten für den Angreifer), aber nur für einen kurzen Zeitraum, da die Sicherheitsteams schnell Patches vornehmen oder andere Wege finden, um die Gefährdung zu beseitigen. Angreifer, die immer auf der Suche nach einem neuen Blickwinkel sind, zielen zunehmend auf mittlere Schwachstellen ab, die oft im Rauschen untergehen und über längere Zeiträume nicht gepatcht werden – ein viel effektiveres Ziel für Verletzungen. Sie mögen als etwas "teurer" in der Ausnutzung angesehen werden (höhere Einstiegshürde, wenn Sie so wollen), aber die Tatsache, dass sie länger verfügbar sind als die kritischen und hohen Schwachstellen, macht sie viel attraktiver, wenn der Angreifer den ROI gegen seine Investition berechnet.

Der Zweck und die Auszahlung

Das VES macht es für ein Unternehmen viel einfacher, das Best Practice-CVSS-Scoring der Branche mit Faktoren zu kombinieren, die für die jeweilige Kundenumgebung einzigartig sind. Sicherheitsteams können ihre Risikominderungsstrategie auf der Grundlage der Gefährdung der Schwachstelle in ihrer einzigartigen Umgebung besser priorisieren. Zum Beispiel könnte eine Schwachstelle mit hohem Schweregrad herabgestuft werden, da die Gefährdung durch Mikrosegmentierungskontrollen stark reduziert wurde. Oder es könnte eine mittlere Schwachstelle geben, die angesichts der Gefährdung durch eine große Anzahl potenzieller Angriffspfade in diesen anfälligen Dienst an erster Stelle der Liste priorisiert werden sollte.

Das VES ist möglich, weil wir die Karte – wie Ihre Umgebung verbunden ist und kommuniziert – auf einzigartige Weise verstehen und Informationen zu Schwachstellen über die Karte legen , um Sicherheitsteams dabei zu helfen, das Risiko von Schwachstellen in ihrer Umgebung zu visualisieren und zu priorisieren. Dies wird zu einem äußerst leistungsfähigen Tool, nicht nur für Sicherheitsteams, sondern auch für andere wie Anwendungseigentümer und Führungskräfte, die dieses Risiko verstehen und es im Kontext eines breiteren Geschäftsrisikos mindern oder akzeptieren müssen.  

Verwandte Themen

No items found.

Verwandte Artikel

Bereiten Sie sich auf Zero-Day-Exploits wie MOVEit vor? Erhalten Sie Anwendungstransparenz
Cyber Resilience

Bereiten Sie sich auf Zero-Day-Exploits wie MOVEit vor? Erhalten Sie Anwendungstransparenz

Erfahren Sie, warum eine umfassende Anwendungstransparenz unerlässlich ist, um sich auf Zero-Day-Exploits wie MOVEit vorzubereiten, und wie Illumio helfen kann.

Read more
3 Schlüssel zur Bewältigung der rechtlichen Folgen von Cyberangriffen
Cyber Resilience

3 Schlüssel zur Bewältigung der rechtlichen Folgen von Cyberangriffen

Erfahren Sie, wie Sie auf die rechtlichen Folgen einer Sicherheitsverletzung oder eines Ransomware-Angriffs vorbereitet sind.

Read more
Holen Sie sich 5 Zero-Trust-Erkenntnisse von Ann Johnson von Microsoft
Cyber Resilience

Holen Sie sich 5 Zero-Trust-Erkenntnisse von Ann Johnson von Microsoft

Erfahren Sie von Ann Johnson, Corporate VP of Microsoft Security Business Development, über Cyber-Resilienz, KI und den Einstieg in Zero Trust.

Read more
Mehr Steph Curry Lektionen zur Unternehmenssicherheit: Wenn etwas schief geht
Cyber Resilience

Mehr Steph Curry Lektionen zur Unternehmenssicherheit: Wenn etwas schief geht

Sicherheitsteams müssen solche Entscheidungen ständig spontan treffen, und je mehr Daten sie über die Situation zur Verfügung haben, desto bessere Entscheidungen können sie treffen.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more