ÐндÑей ЯланÑкий -
Zero-Day-Lücken und Schwachpunkte beim Risikomanagement
Damit Unternehmen Risiken, die durch Zero-Day-Lücken entstehen, entsprechend begegnen können, ist ein umfassender Security-Ansatz nötig. Es gilt, Bedrohungen proaktiv zu begegnen.
Die im Oktober 2023 veröffentlichte kritische Zero-Day-Sicherheitslücke (CVE-2023-20198) in der IOS XE-Software von Cisco, für die eine begrenzte Zeit kein Update zur Verfügung stand, wirft ein Schlaglicht auf die Schwachstellen in der modernen IT-Infrastruktur. Während sich bei Unternehmen, die ihre Cybersicherheit stärken wollen, agentenbasierte Lösungen für Schwachstellenmanagement immer größerer Beliebtheit erfreuen, stellt sich angesichts dieser jüngsten Sicherheitslücke die Frage: Reicht ein agentenbasierter Ansatz wirklich aus? Kein Zweifel, Agenten liefern wertvolle Erkenntnisse für das Schwachstellenmanagement, doch vermitteln sie kein wirklich ganzheitliches Verständnis und ermöglichen keine umfassende Risikobewertung.
Die besagte Sicherheitslücke, die aktiv ausgenutzt wird und in den KEV-Katalog der CISA aufgenommen wurde, befähigt Angreifer, aus der Ferne mit allen Berechtigungen auf die betroffenen Geräte zuzugreifen und die vollständige Kontrolle über sie zu übernehmen. Dieses kritische Sicherheitsproblem beleuchtet zugleich einen wichtigen Punkt: Agentenbasierte Tools für Schwachstellenmanagement spielen zwar eine wesentliche Rolle dabei, die Geräte, auf denen sie installiert sind, auf potenzielle Bedrohungen zu überwachen, doch sie sind kein Allheilmittel. Netzwerkgeräte, wie etwa die betroffenen Geräte von Cisco, sind dafür ein gutes Beispiel. Häufig unterstützen diese Geräte keine Agenten und könnten daher Wahrnehmungslücken in einer Schwachstellenmanagement-Strategie bilden, die ausschließlich auf Agenten setzt.
Die Geschwindigkeit, mit der solche Zero-Day-Lücken ausgenutzt werden können, unterstreicht die Notwendigkeit einer vielschichtigen Herangehensweise an das Schwachstellenmanagement. Agenten können zwar nahezu in Echtzeit Warnungen ausgeben. Doch gibt es Situationen, wie im Fall der Cisco-Sicherheitslücke, in denen sofortige externe Eingriffe erforderlich sind – beispielsweise die Deaktivierung einer Funktion –, noch bevor ein offizieller Patch veröffentlicht wird.
Ein mehrschichtiger Ansatz beim Umgang mit Schwachstellen
Wenn Unternehmen ausschließlich agentenbasierte Lösungen verwenden, ist eine vollständige Risikobewertung nicht sicher gewährleistet. Daher ist eine mehrschichtige Strategie erforderlich. Die wichtigsten Gründe dafür sind:
Einschränkungen bei Endgeräten: Da nicht alle Endgeräte Agenten unterstützten, kann die Risikobewertung lückenhaft sein. Auch kann oder sollte nicht auf allen Geräten in einer Umgebung ein Agent installiert werden. Und zudem werden Geräte, die nicht durchgehend mit dem Netzwerk verbunden sind – beispielsweise externe Server – nicht unbedingt regelmäßig gescannt. Diese Geräte müssen Sie extern scannen, um Schwachstellen zu vermeiden.
Komplexität der Infrastruktur: Viele Netzwerkgeräte, wie Router, Switches, Firewalls, IoT- und OT-Geräte, unterstützen keine Agenten, was zu Wahrnehmungslücken in der Risikobewertung führen kann.
Cloud- und virtuelle Umgebungen: Reine Agenten-Lösungen vermitteln eventuell nur eine Teilsicht auf cloudbasierte Infrastrukturen, insbesondere was Container, Serverless-Funktionen und andere dynamische, Cloud-native Konstrukte betrifft.
Konfigurationsprüfungen: Agentenbasierte Lösungen eignen sich hervorragend zur Prüfung auf Schwachstellen, oft aber weniger gut zur Bewertung von Fehlkonfigurationen, die genauso riskant sein können wie bekannte Schwachstellen.
Gefährdung von außen: Agenten sind sehr gut darin, den Zustand eines Geräts aus der eigenen Perspektive zu beurteilen. Sie erfassen jedoch nicht unbedingt, wie das Gerät aus der Außenperspektive aussieht, das heißt, wie ein externer Angreifer es sehen würde. Um diese Lücke zu schließen, sind regelmäßige externe Scans erforderlich.
Redundanz für eine belastbare Abwehr: Denken Sie über eine mehrstufige Verteidigung nach. In modernen Netzwerkarchitekturen würde man sich nicht nur auf eine einzige Sicherheitsebene verlassen, doch auch das Schwachstellenmanagement profitiert von einer mehrschichtigen Strategie. Die Kombination von Agenten-Daten mit Netzwerkscans trägt dazu bei, ein stärkeres, redundantes System aufzubauen. Potenzielle Schwachstellen können dann erkannt und behoben werden, wie versteckt sie auch sein mögen.
Angesichts der schnell veränderlichen Cyberbedrohungen brauchen Unternehmen einen Security Stack, der umfassende Abdeckung bietet und ihnen einen Überblick über ihr gesamtes IT-Ökosystem verschafft, einschließlich lokaler, Cloud-, mobiler, OT- und IoT-Assets. Auch sollten die Teams unbedingt Alarme in Echtzeit erhalten, damit sie proaktiv handeln können, statt nur zu reagieren. Darüber hinaus können fortschrittliche Threat Intelligence und maschinelles Lernen den Teams helfen, auf die wirklich kritischen Schwachstellen zu fokussieren und dadurch zeitnah und effizient zu reagieren.
„Der wahre Schlüssel zum Schutz des Unternehmens ist ein wirklich ganzheitliches Sicherheits- und Compliance-Konzept. Erkennung ist nicht alles – wirksame Maßnahmen sind gefragt.“
Saeed Abbasi, Qualys
Der wahre Schlüssel zum Schutz des Unternehmens ist jedoch ein wirklich ganzheitliches Sicherheits- und Compliance-Konzept. Erkennung ist nicht alles – wirksame Maßnahmen sind gefragt. Die Sicherheitslösungen eines Unternehmens sollten in der Lage sein, automatisch Patches zu installieren, verdächtige Geräte zu isolieren und eine konsolidierte Dashboard-Ansicht zu liefern, die einen klaren Überblick über die Bedrohungslandschaft bietet.
Bedrohungen proaktiv begegnen
Die Sicherheitslücke CVE-2023-20198 macht einmal mehr deutlich, dass Unternehmen mit gravierenden und immer komplexeren Risiken konfrontiert sind. Wer sich angesichts dessen allein auf agentenbasierte Lösungen verlässt, geht das Risiko ein, Schwachstellen in wichtigen Geräten und Systemen zu übersehen. Deshalb sollten sich Unternehmen die Stärken verschiedener Ansätze zunutze machen und eine abgerundete Schwachstellenmanagement-Strategie entwickeln, die sowohl agentenbasierte als auch agentenlose Verfahren umfasst. So können sie Schwachstellen lokalisieren und robuste Maßnahmen ergreifen, um potenzielle Bedrohungen einzudämmen. Eine umfassende Cybersicherheitslösung unterstützt Agenten und ermöglicht Netzwerkscans, externe Scans und passive Scans. Dieser vielseitige Ansatz hilft Unternehmen, den immer neuen Cyberbedrohungen proaktiv zu begegnen.
Über den Autor:
Saeed Abbasi ist Product Manager, Threat Research Unit, bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.