Home IT Sicherheits Updates Der risikobasierte Ansatz zum Patchen von Sicherheitslücken

Der risikobasierte Ansatz zum Patchen von Sicherheitslücken

by nwna_de

Software-Schwachstellen sind heute eine große Bedrohung für Unternehmen. Die Kosten dieser Bedrohungen sind sowohl finanziell als auch in Bezug auf den Ruf erheblich.

Schwachstellenmanagement und Patching können leicht außer Kontrolle geraten, wenn die Anzahl der Schwachstellen in Ihrem Unternehmen Hunderttausende von Schwachstellen beträgt und auf ineffiziente Weise verfolgt wird, z. B. mithilfe von Excel-Tabellen oder mehreren Berichten, insbesondere wenn viele Teams an der Organisation beteiligt sind .

Selbst wenn ein Patch-Prozess vorhanden ist, haben Unternehmen immer noch Schwierigkeiten, Schwachstellen in ihren Assets effektiv zu patchen. Dies liegt im Allgemeinen daran, dass Teams den Schweregrad von Schwachstellen prüfen und dazu neigen, Patches auf Schwachstellen in der folgenden Reihenfolge des Schweregrads anzuwenden: Kritisch > Hoch > Mittel > Niedrig > Info. In den folgenden Abschnitten wird erläutert, warum dieser Ansatz fehlerhaft ist und wie er verbessert werden kann.

Warum ist das Patchen schwierig?

Obwohl bekannt ist, dass das Patchen von Schwachstellen äußerst wichtig ist, ist es auch eine Herausforderung, Schwachstellen effektiv zu patchen. Schwachstellen können aus Quellen wie Pentest-Berichten und verschiedenen Scan-Tools gemeldet werden. Scans können an Ihren Webanwendungen, APIs, Quellcodes, Infrastrukturen, Abhängigkeiten, Containern usw. durchgeführt werden.

Die Gesamtzahl der Berichte, die gesichtet werden müssen, um Patches zu priorisieren, kann selbst in kurzer Zeit drastisch ansteigen, und wenn mehrere Teams beteiligt sind, kann dies die Komplexität und den Zeitaufwand für die Koordinierung und Priorisierung von Patches weiter erhöhen.

Erschwerend kommt hinzu, dass fast täglich neue Exploits auftauchen, und die Verfolgung neuer Exploits und verfügbarer Patches kann zu einer Mammutaufgabe werden, die schnell außer Kontrolle geraten kann, wenn sie nicht richtig angegangen wird. Wenn ein Unternehmen nicht über ein sehr ausgereiftes Sicherheitsprogramm verfügt, ist es kompliziert, das Patchen effektiv zu verwalten.

Der risikobasierte Ansatz zum Patchen von Schwachstellen

Um das Patchen zu vereinfachen, müssen Sie zuerst die Priorisierung vereinfachen. „Risikobasierter Ansatz“ bedeutet, dass Sie die potenziellen Auswirkungen einer Schwachstelle gegen die Wahrscheinlichkeit ihrer Ausnutzung abwägen. So können Sie feststellen, ob es sich lohnt, Maßnahmen zu ergreifen.

Um die Priorisierung zu vereinfachen, müssen Sie folgende Dinge beachten:

  • Die Exposition des Vermögenswerts,
  • Die Geschäftssensitivität des Vermögenswerts,
  • Der Schweregrad der Schwachstelle, die für das Asset gemeldet wurde,
  • Die Verfügbarkeit eines Exploits für die gemeldete Schwachstelle,
  • Die Komplexität des Exploits, sofern verfügbar,
  • Die Taxonomie der gemeldeten Schwachstelle.

* Asset kann alles innerhalb Ihrer Organisation sein, wie eine Webanwendung, eine mobile Anwendung, ein Code-Repository, ein Router, ein Server, eine Datenbank usw.

Vereinfachung der Priorisierung

Dieser Ansatz trägt dazu bei, den Zeitaufwand drastisch zu reduzieren Schwachstellen priorisieren. Lassen Sie uns jeden Punkt im Detail besprechen:

Belichtung: Wenn Ihr Asset öffentlich mit dem Internet verbunden ist oder privat, dh hinter einer Firewall innerhalb des Netzwerks mit kontrolliertem Zugriff. Öffentliche Vermögenswerte bergen normalerweise ein höheres Risiko, aber das bedeutet nicht immer, dass sie priorisiert werden sollten. Denn nicht jedes öffentliche Gut ist sensibel. Einige öffentliche Assets können einfach statische Seiten sein, die keine Benutzerdaten enthalten, während andere öffentliche Assets Zahlungen und PII-Informationen verarbeiten könnten. Selbst wenn ein Vermögenswert öffentlich ist, müssen Sie seine Sensibilität berücksichtigen.

Asset-Sensitivität: Kategorisieren Sie die geschäftliche Sensibilität aller Ihrer Vermögenswerte basierend darauf, wie wichtig diese Vermögenswerte für Ihr Unternehmen sind. Ein Vermögenswert, der vertrauliche Informationen über Benutzer enthält oder Zahlungen verarbeitet, kann als geschäftskritischer Vermögenswert kategorisiert werden. Ein Asset, das nur einige statische Inhalte bereitstellt, kann als Asset mit geringer geschäftlicher Sensibilität klassifiziert werden.

Schweregrad der gemeldeten Schwachstelle: Dieser ist selbsterklärend; Sie müssen Schwachstellen in der Reihenfolge kritisch > hoch > mittel > niedrig > Info-Schweregrad priorisieren.

Exploit-Verfügbarkeit: Schwachstellen, für die bereits öffentliche Exploits verfügbar sind, sollten gegenüber Schwachstellen priorisiert werden, für die keine Exploits verfügbar sind.

Komplexität ausnutzen: Wenn ein Exploit sehr einfach auszunutzen ist und nur wenig bis gar keine Benutzerinteraktion erfordert, sollten Schwachstellen für diese Art von Exploits Vorrang vor Schwachstellen mit sehr komplexen Exploits haben, die normalerweise hohe Berechtigungen und Benutzerinteraktion erfordern.

Taxonomie: Auch die Klassifizierung der gemeldeten Schwachstelle muss berücksichtigt werden und sollte mit Industriestandards wie OWASP oder CWE abgebildet werden. Ein Beispiel wäre, dass eine Remotecodeausführung, die sich auf einen Server auswirkt, höher priorisiert werden sollte als eine Schwachstelle auf der Clientseite, sagen wir ein Reflected Cross Site Scripting.

Zeitaufwand für die Priorisierung von Schwachstellen

Ein Beispiel für eine Schwachstelle mit hoher Priorität wäre, wenn das betroffene Asset öffentlich zugänglich gemacht wird, eine kritische geschäftliche Sensibilität aufweist, der Schweregrad der Schwachstelle kritisch ist, ein Exploit verfügbar ist und keine Benutzerinteraktion oder Authentifizierung/Berechtigungen erforderlich sind.

Sobald alle Schwachstellen priorisiert sind, wird das Beheben der kritischsten Schwachstellen das Risiko für Ihr Unternehmen drastisch reduzieren.

Welche Punkte sollte also ein Vulnerability Management Report messen, um die Sicherheit Ihrer Anwendung zufriedenstellend zu gewährleisten? – Sehen Sie sich das Whitepaper an.

Wie erhalte ich Informationen über Patches?

Sie können Informationen über Patches von verschiedenen Ratgebern wie NVD erhalten. In diesen Berichten finden Sie mehrere Referenzen zum Patchen der Schwachstellen. Auch die Websites der von Ihnen verwendeten Produkte stellen diese Informationen normalerweise bereit. Es ist zwar möglich, alle Quellen manuell zu durchsuchen und die Informationen über die Patches zu erhalten, aber wenn es in Ihrer Organisation viele Sicherheitslücken gibt, kann es mühsam sein, alle Informationen aus mehreren Quellen zu erhalten.

Die Lösung:

Strobes können Organisationen jeder Größe erheblich dabei helfen, die Zeit, die für die Priorisierung von Schwachstellen und die Bereitstellung von Patching-Informationen innerhalb der Plattform benötigt wird, drastisch zu reduzieren. Die Priorisierung ist ebenfalls einfach, da Strobes Schwachstellen automatisch für Sie priorisiert, basierend auf den Metriken, die im Abschnitt „Risikobasierter Ansatz zum Patchen von Schwachstellen“ beschrieben werden.

Strobes Security ist mit seinen Flaggschiffprodukten wegweisend, um den Bereich des Schwachstellenmanagements zu stören VM365 und PTaaS. Wenn Sie noch kein Benutzer von Strobes Security sind, worauf warten Sie noch? Melden Sie sich hier kostenlos anoder Planen Sie eine Demo.

Via HN