Optimierung Ihrer Essential Eight Vulnerability Management-Bemühungen
Disparate, miteinander verbundene Systeme und inzwischen auch Mitarbeiter, die von zu Hause aus auf der ganzen Welt arbeiten, erhöhen unser Risiko und unsere Chancen für Cyberkriminalität. Die Sicherheitsteams hier in Australien, insbesondere in den Ministerien der australischen Bundes- und Landesregierung, haben ständig mit Gegenwind zu kämpfen, um die Ratschläge und Anforderungen des Australian Cyber Security Centre (ACSC) in Form des ISM Essential Eight.
Jüngste Gespräche, die wir mit Behörden über die Reduzierung der Kosten und des Aufwands für Sicherheitshygiene geführt haben, haben die anhaltenden Herausforderungen im Zusammenhang mit dem Patchen von Betriebssystemen und Anwendungen sowie anderen so „grundlegenden“ Praktiken aufgezeigt, die Sicherheitsteams nur schwer von unten herausbekommen können. Obwohl wir Zugang zu ausgereiften Technologien haben, die Systeme und COTS-Anwendungen erkennen und entsprechende Empfehlungen dazu geben, wie Systeme und COTS-Anwendungen auf dem neuesten Stand gehalten werden können, und eines Sprint-Programms, das NCCEs dabei helfen soll, ihren Essential-Eight-Reifegrad zu verbessern, bleibt die Frage offen, ob die Auswirkungen Schwachstellenmanagement Die Ergebnisse sind vollständig geklärt und es wird dargelegt, wie die Anstrengungen der bereits ausgeschöpften Ressourcen eingesetzt werden müssen, um die größtmögliche Rendite bei der Risikominderung zu erzielen.
Das Schwachstellenmanagement ist natürlich eine wichtige Praxis im Arsenal jedes Sicherheitsteams und sollte ein Fundament jeder Verteidigungsstrategie sein, was durch die Aufnahme in die ursprünglichen Top 4 von 2011 und seine anhaltende Relevanz im erweiterten Essential 8 deutlich wird. Aufgrund der zunehmenden Komplexität der Infrastruktur, der Anwendungsarchitekturen und der Softwareschwachstellen sind Behörden jedoch nicht in der Lage oder finden es zunehmend schwieriger, alle Sicherheitslücken innerhalb der angegebenen Zeitrahmen zu beheben. Oft sind sie bei der Bereitstellung von Patches behindert, weil sie befürchten, dass ihre Anwendungen kaputt gehen oder die Produktivität beeinträchtigt werden.
Das Niveau der INFOSEC-4-Konformität wurde von der australischen Regierung dokumentiert Compliance-Bericht zum proaktiven Security Policy Framework (PSPF) (in Bezug auf Cyber- und IKT-Systemsicherheit, einschließlich Strategien zur Minderung von Cybersicherheitsvorfällen) ist nach wie vor die niedrigste aller 36 verbindlichen Anforderungen und hat sich im Vergleich zu den Vorjahren kaum verbessert. Einige können sich vielleicht glücklich schätzen, dass „die Bundesregierung erwägen wird, die Essential Eight erst vorzuschreiben, wenn die Cybersicherheit ausgereift ist“.
Zu den gemeinsamen Themen unserer jüngsten Gespräche mit Agenturen gehören:
- Das Volumen der Software und Systeme sowie die Häufigkeit oder das Fehlen erforderlicher Patches — insbesondere bei selbst produzierter Software
- Priorisierung mit der Erkenntnis, dass nicht immer alles gepatcht wird
- Die Unvermeidlichkeit, Risiken einzugehen, Sicherheitslücken zu akzeptieren, ohne ihre Auswirkungen vollständig abzuschätzen
Hier sind drei Schlüsselbereiche, auf die Sie sich konzentrieren sollten und in denen integrierte Lösungen helfen können.
1. Priorisieren Sie auf der Grundlage der Exposition neu, nicht nur aufgrund der Kritikalität
Tradition und Natur sagen uns, dass wir zuerst das anstreben sollen, was wir als „am kritischsten“ empfinden. Obwohl sie über hervorragende Erkennungstools und Bewertungssysteme verfügen, die die Kritikalität bekannter Sicherheitslücken widerspiegeln, berücksichtigen sie nicht die Konnektivität eines Workloads im Vergleich zu anderen Workloads in einer Umgebung. Systeme mit geringerem Volumen oder potenziell untergeordneten Sicherheitslücken, die allein aufgrund ihrer Kritikalität übersehen werden, die leichter zugänglich und vernetzt sind, können eine Behörde anfällig für Angriffe machen. Ein volumenorientierter Ansatz, bei dem die neuesten Sicherheitslücken an erster Stelle stehen, und einfach Systeme durchgehen, die in Anzahl und Rangfolge der identifizierten Probleme gleich zu sein scheinen, werden nicht zuerst die größte Chance eines Exploits angehen. Wenn überhaupt, erzeugt es nur die Illusion von Fortschritt und Erfolg und setzt die Behörde gleichzeitig erheblichen Risiken aus.
Eine Möglichkeit, die Angriffsfläche so gering wie möglich zu halten und den Gewinn aus Ihren Patch-Bemühungen herauszuholen, besteht darin, die Prioritätenliste auf der Grundlage des „Risikos“ neu anzuordnen. Betrachten Sie Sicherheitslücken in einem größeren Kontext, in dem die Erreichbarkeit der Sicherheitslücke und die Vernetzung des Systems eine entscheidende Rolle dabei spielen, ob sie zuerst erkannt wird. Wenn Sie das von Ihnen gewählte Tool zum Scannen von Sicherheitslücken mit den Verkehrsströmen in Ihrem Rechenzentrum in Echtzeit verknüpfen, können Sicherheits- und IT-Betriebsteams Sicherheits- und Patch-Entscheidungen auf die Systeme mit den höchsten Sicherheitsanforderungen konzentrieren Expositionswerte.
2. Visualisierte Wege zur Verwundbarkeit
Ohne ein Verständnis oder eine Visualisierung darüber, wie eine Sicherheitslücke ausfindig gemacht oder für den Zugriff auf andere sensible Systeme in Ihrer Umgebung genutzt werden könnte, bewerten Sicherheits- und Anwendungsteams in den meisten Fällen die Notwendigkeit oder den Zeitplan für Patches in Silos. Da sie im Blindflug agieren, können sie die vor- und nachgelagerten Auswirkungen ihrer Entscheidungen nicht einschätzen. Dies ist besonders wichtig, wenn Sie sich dafür entscheiden, Risiken für eine Anwendung einzugehen, die Schnittstellen zu anderen Anwendungen hat.
Die Tatsache, dass der allgemeine Kontext und die Wirksamkeit der ergriffenen Kontrollen nicht berücksichtigt wurden, hat wahrscheinlich zu den Daten im PSPF-Compliance-Bericht beigetragen, in dem die Einhaltung von INFOSEC-3 „zur Implementierung von Richtlinien und Verfahren zur Sicherheitsklassifizierung und Schutzkontrolle von Informationsressourcen“ mit der Feststellung von Mängeln in diesem Bereich um mehr als fünf Prozent abnahm.
Visualisieren Sie sind in der Lage, die Pfade abzubilden, die ein Angreifer möglicherweise nutzen könnte, und geben den Sicherheitsteams den nötigen Einblick, um sicherzustellen, dass Entscheidungen nicht ohne Rücksicht auf miteinander verbundene Systeme getroffen werden. Sie können sich darauf konzentrieren, die Auswirkungen einer Sicherheitslücke auf das gesamte Ökosystem genau zu bewerten, im Voraus abzuschätzen, in welchem Ausmaß man durch die Ausnutzung solcher ruhenden Sicherheitslücken „gefährdet“ ist, und sicherstellen, dass die wirksamsten Abhilfemaßnahmen zuerst getroffen werden.
3. Option zur Schadensbegrenzung ohne sofortigen Zugriff auf den Patch
Patches sind nicht unbedingt verfügbar, wenn Sie sie benötigen. Das Einfrieren von Änderungen in der Produktion verhindert deren sofortige Bereitstellung oder, wie es oft der Fall ist, können Projektteams nicht erneut beauftragt werden, maßgeschneiderte Software zu überarbeiten. Tatsächlich werden die Zyklen, die mit der Vorbereitung und dem Testen von Patches verbracht werden, damit sie sich nicht negativ auf die Verfügbarkeit der Unternehmensdienste auswirken, zum wahren Hindernis für überlastete Sicherheitsteams, nicht die eigentliche Bereitstellung selbst. Teams riskieren, sich selbst verwundbar zu machen, bis sie Patches durchführen können und nicht über Sensoren verfügen, die warnen, wenn Traffic zu einem anfälligen Dienst erkannt wird.
Das Neuste ACSC-Reifegrade schreiben Sie Ziele für die Dauer der Patch-Bereitstellung speziell für Systeme mit extremen Risiken vor. Zwar sollten die Behörden Level 3 und ein Patch-Ziel von 48 Stunden anstreben, doch viele Patches erreichen möglicherweise nicht einmal das 1-Monats-Ziel der Stufe 1, und Systeme mit niedrigerem Risiko werden nicht in gleichem Maße unter die Lupe genommen. Daher gibt es Zeitfenster, in denen Sie sich unabhängig davon befinden, wo Sie sich auf der Reifegradskala befinden. Auch wenn Sie das Gefühl haben, in den Fundamentaldaten festgefahren zu sein, da das Risiko besteht, dass Sie durch ungepatchte Systeme gefährdet sind, können Sie effizient kontrollieren, wie weit und breit die Kaninchenlöcher hinter den Sicherheitslücken verlaufen, um dieses Risiko zu minimieren.
Mikrosegmentierung Wenn es gut gemacht wird, kann es schnell mobilisiert werden, um als untermauernde Ausgleichskontrolle zu fungieren — was Ihnen viel zu wertvolle Zeit verschafft. Wenn der Datenverkehr in einen Port mit einer bekannten Sicherheitslücke mündet, beschleunigen Warnmeldungen zur Information des Security Operations Center (SOC) die Reaktionsprozesse. Und besser noch, durchgesetzte Segmentierungsrichtlinien würden den Zugriff auf diese Daten verhindern oder einschränken, ohne dass Anwendungen beeinträchtigt werden. Die Isolierung der anfälligen Dienste vom Rest des Netzwerks verhindert, dass sich Bedrohungen seitlich ausbreiten, und erfüllt Ihre Compliance-Anforderungen, bis Patches installiert sind.
Wie aktuelle globale Ereignisse und Sicherheitslücken gezeigt haben, ist es von entscheidender Bedeutung, die Reichweite einer Bedrohung zu verfolgen und zu verstehen, präventiv zu isolieren und sicherzustellen, dass Kontrollen vorhanden sind, um die Ausbreitung oder die Auswirkungen eines Vorfalls, der bestehende Sicherheitslücken in Ihrem Rechenzentrum ausnutzt, zu „verhindern“. Vor allem, wenn es schwierig ist, die „Heilmittel“ -Alternativen rechtzeitig zu testen und anzuwenden.
Weitere Informationen zu Illumio finden Sie unter wir helfen bei der Optimierung von Systemen zum Schwachstellenmanagement und es den Sicherheitsteams zu ermöglichen, der Last der Fundamentaldaten zu entkommen.