Sergey Nivens - stock.adobe.com

Software Vulnerability Intelligence: Bedrohungen erkennen

Mit einem unsichtbaren Feind zu kämpfen ist schwierig. Software Vulnerability Intelligence geht die Herausforderung an und wandelt unsichtbare Bedrohungen in Abwehrstrategien um.

Wenn es einem Angreifer gelingt, Schwachstellen auszunutzen, kommt das Unternehmen meist teuer zu stehen. Auch nicht wirksames Ausnutzen von bekannten Schwachstellen können Unternehmen jedes Jahr Millionen von Dollar kosten. Laut PwC betrug der durchschnittliche finanzielle Verlust durch Cybersecurity-Vorfälle im Jahr 2015 2,5 Millionen US-Dollar.

So viele Schwachstellen wie nie

Dokumentierte Softwareschwachstellen sind laut der Vulnerability Review 2018 – Global Trends der Secunia Research von Flexera auf einem Allzeithoch. Insgesamt stieg die Anzahl an Vulnerabilities um 14 Prozent von 17.147 im Jahr 2016 auf 19.954 an. Exploits dieser öffentlich bekannten Schwachstellen zählen zu den Hauptursachen für Sicherheitsprobleme. Bekannte Beispiele sind der Equifax Breach und die WannaCry-Attacke.

Oftmals ist ein optimierter Prozess zur Rückverfolgung von Schwachstellen ein guter Weg, um die Kontrolle über Risiken zu behalten. Im Jahr 2017 war für 86 Prozent aller Schwachstellen am Tag der Veröffentlichung ein Patch verfügbar. Prozesse, die den Softwarebestand automatisiert erfassen, mögliche Sicherheitslücken identifizieren und über wichtige Patches informieren, tragen wesentlich dazu bei, sie zu schließen, bevor sie ausgenutzt werden.

Durch die Umstellung vom reaktiven zum proaktiven Management, reduzieren Sicherheitsteams Risiken, schützen den Ruf des Unternehmens und vermeiden kostspielige Fehlerbeseitigungen.

Für viele Schwachstellen stehen bereits am Tag der Bekanntgabe Patches zur Verfügung.
Abbildung 1: Für viele Schwachstellen stehen bereits am Tag der Bekanntgabe Patches zur Verfügung.

Leider fehlt den meisten Unternehmen oft die richtige Software Vulnerability Intelligence, das heißt umfassende Informationen darüber, wo sich die Sicherheitslücken befinden und ob diese ein Risiko bergen. Um eine solche „Intelligence" aufzubauen, sind einige Punkte zu beachten.

Mangelhafte Software-Inventarisierung schafft Risiken

IT-Systeme können nur geschützt werden, wenn Unternehmen überhaupt wissen, welche Assets verwendet werden. Eine detaillierte Bestandsaufnahme durchzuführen, ist einfacher gesagt als getan. Die meisten Unternehmen können dies nicht erreichen, ohne SAM-Prozesse und -Technologien (Software Asset Management) zu implementieren. SAM-Lösungen automatisieren den Prozess des Erkennens und Inventarisierens der Software (und Hardware) – standortunabhängig. Zudem sollten sich Sicherheitsteams darüber im Klaren sein, ob das Unternehmen bereits SAM nutzt und die Discovery- und Bestandsdaten als einzige und allgemeingültige Grundlage verwenden.

Kritische Bedrohungen finden

Angesichts zahlreicher Schwachstellen in zigtausenden von Anwendungen stoßen Sicherheitsabteilungen schnell an ihre Grenzen. Täglich werden weltweit rund 300 neue Schwachstellen gemeldet. Tatsächlich sind aber im Durchschnitt nur etwa acht Prozent von ihnen eine tatsächliche Gefahr. Bei dieser Anzahl (24 pro Tag) ist es schwierig, interne Ressourcen für das Tracking einzusetzen. Stattdessen müssen Unternehmen ein verlässliches System für das Software Vulnerability Management finden, dessen Aufgabe es ist, echte Vulnerability Intelligence bereitzustellen – nicht nur Informationen. Software-Vulnerability-Management-Tools, die in SAM-Tools integriert sind, helfen beim Abgleich vorhandener Anwendungen mit kritischen Bedrohungen und setzen Prioritäten, die sofortige Beachtung erfordern.

Bewertungssystem verstehen

Vulnerability Intelligence ermöglicht, gemeldete Schwachstellen mit zusätzlichen Daten zu verifizieren und priorisieren. Gleichzeitig werden die Informationen in einem Format übermittelt, mit dem die Sicherheitsteams arbeiten können, das geeignete Abwehrmaßnahmen empfiehlt und Vorgehensweisen aufzeigt.

Thomas Reiber, Flexera

„Das Patchen ist unerlässlich, um die Angriffsfläche zu verkleinern, aber es muss umsichtig und mit einem Verständnis für mögliche Auswirkungen auf die Systemleistung und -stabilität durchgeführt werden.“

Thomas Reiber, Flexera

Eine Schlüsselkomponente ist die Bewertung, welche Gefahr von einer Schwachstelle ausgeht, da nicht alle Schwachstellen gleich sind. Zum Beispiel wird häufig ein Bewertungssystem verwendet, das Vulnerabilities in die Kategorien „äußerst kritisch“, „kritisch“, „mäßig kritisch“, „wenig kritisch“ und „nicht kritisch“ unterteilt. So lassen sich mögliche Auswirkungen der Schwachstelle auf das Gesamtsystem sowie die potentiellen Angriffspunkte bestimmen. Neben Vorschlägen zur Behebung der Schwachstelle liefert Vulnerability Intelligence Informationen, ob es bereits vor der Veröffentlichung des Patches eine aktive Ausnutzung gab.

Mit bewährtem Patch-Ansatz beginnen

Die effektivsten Programme wenden Patches mit Schwerpunkt auf Tests in kontrollierten Umgebungen an. IT-Teams profitieren von einem proaktiven Ansatz, um von einem Patch verursachte Performanceeinbußen oder Kompatibilitätsprobleme aufzudecken. Das Patchen ist unerlässlich, um die Angriffsfläche zu verkleinern, aber es muss umsichtig und mit einem Verständnis für mögliche Auswirkungen auf die Systemleistung und -stabilität durchgeführt werden. Etablierte Prozesse und Mittel gewährleisten eine sorgfältige und zurückhaltende Vorgehensweise mit einem Fokus auf risikobasierten Modellen. Software Vulnerability Intelligence gibt der IT-Sicherheit das richtige Know-how und Tools an die Hand, um gegen die Flut an täglich neuen Schwachstellen proaktiv anzukämpfen. Sicherheitsteams können so unsichtbare Risiken in sichtbare – und damit vermeidbare – Bedrohungen umwandeln.

Über den Autor:
Thomas Reiber ist Regional Vice President bei Flexera. Er verantwortet die Bereiche Softwarelizenzoptimierung und Data Platform für Deutschland, Österreich und die Schweiz. Mit seiner langjährigen Erfahrung in der Softwarebranche sowie seinen umfangreichen Kenntnissen zu Schlüsselthemen wie Infrastruktur, BigData, eCommerce, PLM und Applikationsbasistechnik unterstützt er Kunden in DACH in unterschiedlichsten Branchen. Vor seinem Wechsel zu Flexera war er unter anderem als Vertriebs-Manager bei BMC und als VP EMEA bei Endeca Oracle tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können Unternehmen Bedrohungen gezielt begegnen

Kostenloser E-Guide: Software-Schwachstellen aufspüren

Tools zur Schwachstellen-Analyse richtig einsetzen

Erfahren Sie mehr über IT-Sicherheits-Management