Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz
Illumio Editorial
3August 2018
23 min. lesen

Kennen Sie die Punktzahl: Die Gefährdung von Schwachstellen erklärt

In diesem Beitrag erläutere ich die verschiedenen Faktoren bei der Berechnung des Illumio Vulnerability Exposure Score (VES), mit dem Unternehmen branchenübliche Schwachstellenbewertungsmethoden mit dem Kontext ihrer eigenen, einzigartigen Umgebung kombinieren können. Das VES hilft Sicherheitsexperten außerdem dabei, Sicherheitsmaßnahmen zu priorisieren, um die Angriffsfläche und die potenziellen Auswirkungen von Schwachstellen zu minimieren.

Was ist Exposure?

Im Kontext der Cybersicherheit wird die Gefährdung typischerweise durch die „Angriffsfläche“ definiert. Hier ist eine Definition, die OWASP verwendet:

Die Angriffsfläche beschreibt all die verschiedenen Punkte, an denen ein Angreifer in ein System eindringen und an denen er Daten herausholen kann.

Das Illumio VES ist direkt an dieser Definition ausgerichtet. Einfach ausgedrückt ist die Gefährdung ein Versuch, die Summe der "Löcher" oder der verschiedenen Punkte zu quantifizieren, von denen aus ein Angreifer versuchen kann, in ein System über das Netzwerk einzudringen.

Nehmen wir beispielsweise an, Sie haben ein Partnerportal – eine Arbeitslast, die eine Webanwendung auf Port 443 ausführt. Nach dem Prinzip der minimalen Berechtigungen ist der Zugriff auf diese Webanwendung möglicherweise auf nur drei externe Partner beschränkt. In diesem Beispiel beträgt der Expositionswert für diese Anwendung 3. Auch wenn dies offensichtlich erscheint, verfügen Organisationen sehr oft nicht über dieses Maß an Bewusstsein oder Transparenz hinsichtlich ihrer Ost-West-Exposition auf Anwendungsebene, geschweige denn über die Auswirkungen der Gesamtheit dieser Expositionen in ihrem gesamten Umfeld.

Was ist ein Vulnerability Score?

Das Illumio VES verwendet den offenen Industriestandard, das von der Community akzeptierte Common Vulnerability Scoring System (CVSS), das ursprünglich vom National Infrastructure Advisory Council (NIAC) entwickelt wurde. Die Übernahme eines Industriestandards ermöglicht uns die Interoperabilität mit vielen bestehenden Sicherheitslösungen, einschließlich Anbietern von Schwachstellenmanagement-Lösungen , und bietet zudem eine Bewertung, die von einem breiten Spektrum an Sicherheitsexperten akzeptiert wird.

Schwachstellenbewertungen sind in den meisten Schwachstellenmanagementlösungen üblich und werden in der Regel pro Workload bewertet und zugewiesen. Beispiel: Workload A weist fünf Schwachstellen auf. Der Vulnerability Score könnte der kombinierte Durchschnitt der CVSS-Scores dieser fünf sein. Dies ist zwar eine wertvolle Metrik, um die potenzielle Schwachstelle einer einzelnen Workload isoliert zu verstehen, aber es fehlen einige wichtige Details, um zu verstehen, wie anfällig diese Workload in einer Live-Umgebung ist.

Implementierung von Mikrosegmentierung, um das mit Schwachstellen verbundene Risiko zu mindern

Um zu verstehen, wie verletzlich etwas ist, müssen Sie sich mehrere Faktoren ansehen. Eine Schwachstelle ist nur dann ein wirkliches Risiko, wenn sie in Ihrer Umgebung offengelegt wird und ausgenutzt werden kann.

Betrachten wir als einfaches Beispiel eine einzelne Workload mit einer einzigen kritischen Schwachstelle. Da er als "kritischer" Schweregrad eingestuft wird, kann er in hohem Maße ausgenutzt werden können. Die typische Empfehlung eines Sicherheitsteams könnte lauten: "Wir müssen es patchen!". Betrachten wir jedoch, wie viele andere Workloads eine Verbindung mit dieser Workload herstellen und diese Sicherheitsanfälligkeit möglicherweise ausnutzen können. Sehen wir uns auch die Netzwerkports an, die im Rahmen dieser Sicherheitsanfälligkeit verfügbar gemacht werden. Wie so oft in flachen Netzwerken wird der Workload gut mit vielen anderen Workloads verbunden sein.

Das Patchen dieser speziellen Schwachstelle ist möglicherweise nicht möglich, entweder weil noch kein Patch vorhanden ist oder aufgrund von Anforderungen und Einschränkungen in Bezug auf die Produktionsverfügbarkeit, Änderungsfenster und SLAs. In solchen Fällen können wir die Mikrosegmentierung verwenden, um die Anzahl der Workloads zu reduzieren, die eine Verbindung zu dieser anfälligen Workload und zu dem spezifischen anfälligen Port herstellen können.

Durch die Mikrosegmentierung wird diese zu einer risikomindernden Kontrollmaßnahme:

  • Reduzierung der Angriffsvektoren auf die Arbeitslast.
  • Reduzierung der "Exposition" der Arbeitsbelastung.
  • Verringern des Risikos, dass die Schwachstelle für diese Workload tatsächlich ausgenutzt werden kann, obwohl die Schwachstelle sowohl "kritisch" ist als auch derzeit nicht gepatcht werden kann.

Was ist der Vulnerability Exposure Score?

Das Illumio VES ist ein Mittel, um sowohl die "Ausnutzbarkeit" einer Schwachstelle (in der Regel dargestellt durch den CVSS-Score) als auch die tatsächliche "Erreichbarkeit" der verwundbaren Arbeitslast über Angriffsvektoren in Ihrer Umgebung in den Griff zu bekommen – was wir als "Exposure" bezeichnen.

Nun zur eigentlichen Mathematik. Der VES wird berechnet, indem ein skalierter Vulnerabilitätswert (CVSS) mit einer skalierten Expositionsmessung für einen bestimmten Dienst multipliziert wird, wobei s und p Skalierungsfaktoren sind, um den Logarithmus bei der Skalierung dieser Messungen zu unterstützen, was eine gängige mathematische Technik ist, wenn es einen großen Wertebereich gibt:

VES = s(CVSS) * p(Belichtungsmessung)

Wie ich bereits in meinem Forbes-Artikel über die von NBA-MVP Steph Curry gewonnenen Erkenntnisse zur Unternehmenssicherheit erwähnte, bietet diese Messung einem Sicherheitsexperten die Möglichkeit, Schwachstellen und damit verbundene Bedrohungsinformationen im Kontext segmentierter Umgebungen zu verstehen.

Herkömmliche Lösungen für das Schwachstellenmanagement verwenden insbesondere Bewertungen von "Kritisch", "Hoch", "Mittel", "Niedrig" und "Info", um Schwachstellen zu kategorisieren und die Priorisierung von Maßnahmen zur Risikominderung zu unterstützen. Kritische und hohe Werte erhalten sofortige Aufmerksamkeit, wie sie es sollten. Es gibt jedoch eine große Anzahl mittlerer Schwachstellen, die nicht priorisiert werden und sich schließlich zu einem erheblichen Rückstand aufbauen, der von Malware-Autoren nicht unbemerkt geblieben ist.  

Kritische Schwachstellen sind oft in hohem Maße ausnutzbar (geringe Kosten für den Angreifer), aber nur für einen kurzen Zeitraum, da die Sicherheitsteams schnell Patches vornehmen oder andere Wege finden, um die Gefährdung zu beseitigen. Angreifer, die immer auf der Suche nach einem neuen Blickwinkel sind, zielen zunehmend auf mittlere Schwachstellen ab, die oft im Rauschen untergehen und über längere Zeiträume nicht gepatcht werden – ein viel effektiveres Ziel für Verletzungen. Sie mögen als etwas "teurer" in der Ausnutzung angesehen werden (höhere Einstiegshürde, wenn Sie so wollen), aber die Tatsache, dass sie länger verfügbar sind als die kritischen und hohen Schwachstellen, macht sie viel attraktiver, wenn der Angreifer den ROI gegen seine Investition berechnet.

Der Zweck und die Auszahlung

Das VES erleichtert es einer Organisation erheblich, die branchenweit bewährten CVSS-Bewertungsmethoden mit Faktoren zu kombinieren, die für das jeweilige Kundenumfeld einzigartig sind. Sicherheitsteams können ihre Abhilfestrategie besser priorisieren, indem sie die Gefährdung durch die Schwachstelle in ihrer spezifischen Umgebung berücksichtigen. Beispielsweise könnte eine Schwachstelle mit hohem Schweregrad eine niedrigere Priorität erhalten, weil die Gefährdung durch Mikrosegmentierungskontrollen stark reduziert wurde. Oder es könnte sich um eine mittlere Schwachstelle handeln, die aufgrund der Vielzahl potenzieller Angriffswege in den betroffenen Dienst ganz oben auf der Prioritätenliste stehen sollte.

Das VES ist möglich, weil wir die Karte auf einzigartige Weise verstehen – wie Ihre Umgebung verbunden ist und kommuniziert – und Schwachstelleninformationen über die Karte legen , um Sicherheitsteams dabei zu helfen, die Risikominderung von Schwachstellen in ihrer Umgebung zu visualisieren und zu priorisieren. Dies wird zu einem äußerst wirkungsvollen Werkzeug, nicht nur für Sicherheitsteams, sondern auch für andere, wie Anwendungsbesitzer und Führungskräfte, die dieses Risiko verstehen und es im Kontext des umfassenderen Geschäftsrisikos mindern oder akzeptieren müssen.  

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Ein Leitfaden zum Navigieren durch die Richtlinienüberlastung in den heutigen verteilten Systemen
Cyber-Resilienz

Ein Leitfaden zum Navigieren durch die Richtlinienüberlastung in den heutigen verteilten Systemen

Erkunden Sie die acht Arten von Richtlinien für verteilte Systeme und entdecken Sie eine klare Roadmap, um ihre Infrastruktur, Sicherheit und Automatisierung zu verstehen

Mehr lesen
Verbot von Lösegeldzahlungen, Zero Trust für Microsoft Azure Firewall und jüngste Verstöße in Großbritannien
Cyber-Resilienz

Verbot von Lösegeldzahlungen, Zero Trust für Microsoft Azure Firewall und jüngste Verstöße in Großbritannien

Holen Sie sich eine Zusammenfassung der Berichterstattung von Illumio im August 2023.

Mehr lesen
Illumio als CVE-Nummerierungsstelle (CNA) autorisiert
Cyber-Resilienz

Illumio als CVE-Nummerierungsstelle (CNA) autorisiert

Erfahren Sie, wie die CNA-Kennzeichnung von Illumio uns hilft, unsere Kunden besser zu schützen.

Mehr lesen
Mehr Steph Curry Lektionen zur Unternehmenssicherheit: Wenn etwas schief geht
Cyber-Resilienz

Mehr Steph Curry Lektionen zur Unternehmenssicherheit: Wenn etwas schief geht

Sicherheitsteams müssen solche Entscheidungen ständig spontan treffen, und je mehr Daten sie über die Situation zur Verfügung haben, desto bessere Entscheidungen können sie treffen.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren