Cyber Security Aktuell

Warum Enterprise Threat Mitigation automatisierte Tools für einen bestimmten Zweck erfordert

So sehr die Abwehr von Bedrohungen bis zu einem gewissen Grad eine spezialisierte Aufgabe ist, an der Cybersicherheitsexperten beteiligt sind, so bleibt die tägliche Abwehr von Bedrohungen häufig immer noch Sache der Systemadministratoren. Für diese Systemadministratoren ist es jedoch keine leichte Aufgabe. In der Unternehmens-IT haben Systemadministratoren einen großen Aufgabenbereich, aber begrenzte Ressourcen.

Für Systemadministratoren ist es eine Herausforderung, Zeit und Ressourcen zu finden, um eine wachsende und sich ständig verändernde Bedrohung abzuwehren. In diesem Artikel skizzieren wir die Schwierigkeiten, die die Abwehr von Unternehmensbedrohungen mit sich bringt, und erklären, warum automatisierte, speziell entwickelte Abwehr-Tools der richtige Weg sind.

Bedrohungsmanagement ist eine überwältigende Aufgabe

Es gibt eine Reihe von Spezialisten, die im Bereich Threat Management arbeiten, aber die praktische Umsetzung von Threat Management-Strategien hängt oft von Systemadministratoren ab. Ob Patch-Management, Intrusion Detection oder Behebung nach einem Angriff, Systemadministratoren tragen in der Regel die Hauptlast der Arbeit.

Angesichts der wachsenden Bedrohung ist dies eine unmögliche Aufgabe. Allein im Jahr 2021 28.000 Schwachstellen wurden offengelegt. Es ist eine so große Zahl, dass tatsächlich ein großer Teil nie so weit kam, ein CVE zugewiesen zu bekommen. Dies ist besonders relevant in einer Branche, die sich darauf konzentriert, CVEs zu verfolgen, ihr Vorhandensein auf unseren Systemen zu testen und Patches bereitzustellen, die bestimmte CVE-Nummern erwähnen. Sie können sich nicht gegen etwas schützen, von dem Sie nicht wissen, dass Sie anfällig sind. Wenn an eine bestimmte Schwachstelle kein CVE angehängt ist und alle Ihre Tools/Mentalität/Prozesse auf CVEs ausgerichtet sind, wird etwas fehlschlagen. Die Gründe dafür, einer Schwachstelle kein CVE zuzuweisen, sind: viele und außerhalb des Rahmens dieses Artikels, aber keines davon wird die Arbeit verringern, die im Sicherheitsbereich zu erledigen ist.

Selbst wenn ein Unternehmen über ein dreistelliges Team von Systemadministratoren verfügt, wäre es schwierig, den Überblick über diese ständig wachsende Liste von Schwachstellen zu behalten. Wir sprechen nicht einmal über Interaktionen, bei denen eine Schwachstelle ein sekundäres System beeinträchtigen kann, das auf Ihrer Infrastruktur läuft, auf eine Weise, die nicht so offensichtlich ist.

Mit der Zeit verschmilzt es einfach zu einem „Hintergrundrauschen“ von Schwachstellen. Es wird angenommen, dass das Patchen methodisch, wöchentlich oder vielleicht täglich erfolgt – aber in Wirklichkeit erreichen die relevanten, detaillierten Informationen in den CVE-Ankündigungen nie die Aufmerksamkeit.

Überforderte Teams gehen Risiken ein

Da Sicherheitsaufgaben, einschließlich des Patchens, zu einer so überwältigenden Übung werden, ist es kein Wunder, dass Systemadministratoren anfangen, einige Abkürzungen zu nehmen. Vielleicht übersieht ein Systemadministrator diese Interaktion zwischen einem neuen Exploit und einem sekundären System oder versäumt es, Patches ordnungsgemäß zu testen, bevor er den neuesten Fix bereitstellt – all dies kann einen netzwerkweiten Zusammenbruch nicht verhindern.

Unvorsichtig gehandhabte Sicherheitsverwaltungsaufgaben wie das Patchen können Konsequenzen haben. Eine kleine Änderung wird zurückkommen und Sicherheitsteams ein paar Tage, Wochen oder Monate später heimsuchen, indem sie etwas anderes kaputt macht, das sie nicht erwartet haben.

„Löcher schließen“ ist in diesem Zusammenhang ebenso ein Problem. Nehmen Sie zum Beispiel die Log4j-Schwachstelle, bei der das Ändern der Log4j-Standardkonfiguration leicht zu einer erheblichen Minderung führen könnte. Es ist ein offensichtlicher, vernünftiger Schritt, aber die eigentliche Frage ist – hat das Systemadministrator-Team die Ressourcen, um die Aufgabe zu erledigen? Es ist nicht so, dass es schwierig zu spielen wäre an sich – aber es ist schwierig, jede Verwendung von log4j über eine ganze Systemflotte hinweg aufzuspüren, und die erforderliche Arbeit ist es Zusätzlich zu allen anderen regelmäßigen Aktivitäten.

Und um noch einmal auf das Patchen hinzuweisen, sind die dafür erforderlichen Ressourcen häufig nicht vorhanden. Das Patchen ist besonders schwierig, da das Anwenden eines Patches einen Neustart des zugrunde liegenden Dienstes erfordert. Neustarts sind zeitaufwändig und störend, und wenn es um kritische Komponenten geht, kann ein Neustart einfach nicht realistisch sein.

Das Endergebnis ist, dass wichtige Sicherheitsaufgaben einfach nicht erledigt werden, was Systemadministratoren mit dem quälenden Gefühl zurücklässt, dass Sicherheit einfach nicht das ist, was sie sein sollte. Es gilt auch für die Sicherheitsüberwachung, einschließlich Penetrationstests und Schwachstellen-Scans. Ja, einige Organisationen haben möglicherweise Spezialisten, um diese Aufgabe zu erfüllen – sie gehen sogar so weit, rote Teams und blaue Teams zu haben.

Aber in vielen Fällen ist die Sicherheitsüberwachung eine weitere Aufgabe für Systemadministratoren, die unweigerlich überlastet werden und am Ende übernehmen.

Und es wird immer schlimmer

Man könnte meinen, alles, was passieren müsste, ist, dass Systemadministratoren der Last zuvorkommen – sich anstrengen und es einfach erledigen. Durch das Durcharbeiten des Rückstands und vielleicht durch zusätzliche Hilfe konnten Systemadministratoren die Arbeitsbelastung bewältigen und alles erledigen.

Aber hier gibt es ein kleines Problem. Die Zahl der Schwachstellen wächst rasant – hat sich das Team erst einmal mit bekannten Problemen befasst, werden es zweifellos noch mehr werden. Und das Tempo der Schwachstellen beschleunigt sich, jedes Jahr werden mehr und mehr gemeldet.

Der Versuch, Schritt zu halten, würde bedeuten, dass die Teamgröße jährlich um sagen wir 30 % zunimmt. Es ist einfach kein Kampf, den ein menschliches Team mit manuellen Ansätzen gewinnen wird. Alternativen sind eindeutig erforderlich, da ein kontinuierlicher Kampf dieser Art einfach nicht gewonnen werden kann, wenn die Teamgröße Jahr für Jahr fast exponentiell ansteigt.

Die Automatisierung des Bedrohungsmanagements ist der Schlüssel

Das Gute am Computing ist natürlich, dass die Automatisierung oft einen Ausweg aus klebrigen Ressourcenbeschränkungen bietet – und das gilt auch für das Bedrohungsmanagement. Wenn Sie überhaupt eine Chance haben wollen, gegen die wachsende Bedrohungsumgebung Fortschritte zu erzielen, ist die Bereitstellung von Automatisierung für Aufgaben im gesamten Schwachstellenmanagement der Schlüssel. Von der Überwachung auf neue Schwachstellen bis hin zu Patches und Berichten.

Einige Tools helfen bei bestimmten Aspekten, andere bei all diesen Aspekten, aber die Wirksamkeit von Tools nimmt tendenziell ab, wenn das Tool umfassender wird. Spezialisiertere Tools sind in ihrer spezifischen Funktion tendenziell besser als Tools, die behaupten, alles auf einmal zu erledigen. Betrachten Sie es als die Unix-Tool-Philosophie – tun Sie eine Sache und machen Sie es gut, anstatt zu versuchen, alles auf einmal zu tun.

Zum Beispiel, patchen kann und soll automatisiert werden. Aber das Patchen ist eine dieser Sicherheitsaufgaben, die ein dediziertes Tool erfordern, das Systemadministratoren hilft, indem es konsistent und mit minimaler Unterbrechung patcht.

Ein halbherziger Ansatz wird nicht funktionieren, da das Patchen immer noch durch die Akzeptanz von Wartungsfenstern belastet wäre. Dies würde IT-Teams die Flexibilität nehmen, nahezu in Echtzeit auf neue Bedrohungen zu reagieren, ohne die Geschäftsabläufe des Unternehmens zu beeinträchtigen. Eine perfekte Lösung für diese Anforderungen ist das Live-Patching durch Tools wie z Das KernelCare Enterprise-Tool von TuxCare die automatisches, unterbrechungsfreies Live-Patching für Linux-Distributionen bietet.

Natürlich muss nicht nur das Patchen automatisiert werden. So wie Cyberkriminelle die Automatisierung nutzen, um nach Schwachstellen zu suchen, sollten sich Tech-Teams auf automatisierte, kontinuierliche Schwachstellen-Scans und Penetrationstests verlassen. In diesem Bereich der Automatisierung sollten auch Firewalls, erweiterter Bedrohungsschutz, Endpunktschutz usw. enthalten sein.

Es gibt kein sicheres Versteck

Das Bedrohungsproblem verschlimmert sich eindeutig, und zwar schnell – viel schneller, als Unternehmen hoffen könnten, ihre Sicherheitsteams zu vergrößern, wenn sie diese Probleme tatsächlich manuell angehen wollten. In Bezug auf die verwendeten Lösungen in einer bestimmten Ecke zu sitzen, ist auch kein Trost, zum Teil, weil Lösungen jetzt so integriert sind, dass Code auf so vielen Plattformen geteilt wird, dass eine einzige Schwachstelle fast universelle Auswirkungen haben kann.

Außerdem wurden, wie jüngste Untersuchungen ergaben, einige bemerkenswerte Produkte von der Top-Ten-Liste der am stärksten gefährdeten Produkte ausgeschlossen. Beispielsweise ist Microsoft Windows, das früher als eines der anfälligsten Betriebssysteme galt, nicht einmal in den Top Ten – die stattdessen von Linux-basierten Betriebssystemen dominiert werden. Es ist keine gute Idee, sich auf vermeintlich sicherere Alternativen zu verlassen.

Es unterstreicht, dass die einzige wirkliche Sicherheit in der Sicherheitsautomatisierung zu finden ist. Vom Schwachstellen-Scannen bis hin zum Patchen ist die Automatisierung wirklich der einzige Weg, der überforderten Systemadministratoren helfen kann, eine gewisse Kontrolle über eine explodierende Situation zu erlangen – tatsächlich ist es der einzige überschaubar Lösung.


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

Das Jahr Zero Trust wird zum Mainstream

Digitale Transformation, hybrides Arbeiten und der Wechsel in die Cloud haben die Angriffsflächen vergrößert und neue Schwachstellen geschaffen. Unternehmen müssen Cybersicherheitsstrategien…

1 of 102