Blog
/
Cyber-Resilienz

Informieren Sie sich über das Ergebnis: Sicherheitslücken erklärt

PJ Kirner
,
Mitbegründer und Berater
August 3, 2018
23 min. Lesedauer

In diesem Beitrag erkläre ich die verschiedenen Faktoren bei der Berechnung des Illumio Vulnerability Exposure Score (VES), der es Unternehmen ermöglicht Kombinieren Sie branchenübliche Messungen zur Bewertung von Sicherheitslücken mit Kontext aus ihrer eigenen einzigartigen Umgebung. Das VES hilft Sicherheitsexperten auch dabei, Sicherheitskontrollen zu priorisieren, um das Risiko der Angriffsfläche und die potenziellen Auswirkungen von Sicherheitslücken zu minimieren.

Was ist Exposition?

Die Exposition im Zusammenhang mit Cybersicherheit wird in der Regel durch die „Angriffsfläche“ definiert. Hier ist eine Definition, die WESPE verwendet:

Die Angriffsfläche beschreibt all die verschiedenen Punkte, an denen ein Angreifer in ein System eindringen und an denen er Daten herausbekommen kann.

Das Illumio VES entspricht direkt dieser Definition. Einfach ausgedrückt ist eine Gefährdung ein Versuch, die Summe der „Löcher“ oder der verschiedenen Punkte zu quantifizieren, von denen aus ein Angreifer versuchen kann, über das Netzwerk in ein System einzudringen.

Nehmen wir zum Beispiel an, Sie haben ein Partnerportal — einen Workload, auf dem eine Webanwendung auf Port 443 ausgeführt wird. Im Anschluss an Prinzip der geringsten Privilegien, möglicherweise haben Sie nur auf drei externe Partner eingeschränkten Zugriff auf diese Webanwendung. In diesem Beispiel beträgt der Expositionswert für diese Anwendung 3. Das scheint zwar offensichtlich, aber sehr oft verfügen Unternehmen nicht über diesen Bekanntheitsgrad oder Sichtbarkeit in ihre Ost-West-Exposition von Anwendung zu Anwendung, ganz zu schweigen von den Auswirkungen, die sich aus der Summe dieser Expositionen auf ihre Umgebung ergeben.

Was ist ein Vulnerability Score?

Das Illumio VES verwendet den offenen Industriestandard, das von der Community anerkannte Common Vulnerability Scoring System (CVSS), das ursprünglich von der Nationaler Infrastrukturbeirat (NETT). Durch die Einführung eines Industriestandards können wir mit vielen vorhandenen Sicherheitslösungen zusammenarbeiten, darunter Schwachstellenmanagement Anbieter sowie eine Bewertung, die von den meisten Sicherheitsexperten akzeptiert wird.

Schwachstellenbewertungen sind in den meisten Lösungen für das Schwachstellenmanagement üblich und werden in der Regel pro Workload bewertet und zugewiesen. Workload A weist beispielsweise fünf Sicherheitslücken auf. Der Schwachstellenwert könnte der kombinierte Durchschnitt der CVSS-Werte dieser fünf sein. Dies ist zwar eine wertvolle Kennzahl, um die potenzielle Sicherheitslücke eines einzelnen Workloads isoliert zu verstehen, es fehlen jedoch einige wichtige Details, um zu verstehen, wie anfällig dieser Workload in einer Live-Umgebung wirklich ist.

Implementierung von Mikrosegmentierung zur Minderung des mit Sicherheitslücken verbundenen Risikos

Um zu verstehen, wie verwundbar etwas ist, müssen Sie mehrere Faktoren berücksichtigen. Eine Sicherheitslücke ist nur dann wirklich ein Risiko, wenn sie in Ihrer Umgebung offengelegt wird und ausgenutzt werden kann.

Betrachten wir als einfaches Beispiel einen einzelnen Workload mit einer einzigen kritischen Sicherheitslücke. Da sie mit dem Schweregrad „Kritisch“ eingestuft ist, kann sie in hohem Maße ausgenutzt werden. Die typische Empfehlung eines Sicherheitsteams könnte lauten: „Wir müssen es patchen!“. Aber lassen Sie uns überlegen, wie viele andere Workloads eine Verbindung zu diesem Workload herstellen und diese Sicherheitsanfälligkeit potenziell ausnutzen können. Lassen Sie uns auch die Netzwerkports untersuchen, die im Rahmen dieser Sicherheitsanfälligkeit offengelegt werden. Wie es oft in flachen Netzwerken der Fall ist, ist der Workload gut mit vielen anderen Workloads verbunden.

Das Patchen dieser speziellen Sicherheitslücke ist möglicherweise nicht durchführbar, entweder weil noch kein Patch existiert oder weil Anforderungen und Einschränkungen in Bezug auf Produktionsverfügbarkeit, Änderungsfenster und SLAs bestehen. In solchen Fällen können wir Mikrosegmentierung verwenden, um die Anzahl der Workloads zu reduzieren, die eine Verbindung zu diesem anfälligen Workload und zu dem spezifischen anfälligen Port herstellen können.

Mikrosegmentierung wird zu einer risikomindernden Kontrolle durch:

  • Reduzierung der Angriffsvektoren auf die Arbeitslast.
  • Reduzierung der „Exposition“ der Arbeitslast.
  • Verringerung des Risikos, dass die Sicherheitslücke auf diesem Workload tatsächlich ausgenutzt werden kann, obwohl die Sicherheitslücke sowohl „kritisch“ ist als auch derzeit nicht gepatcht werden kann.

Was ist die Sicherheitslücke Exposition Ergebnis?

Das Illumio VES ist ein Mittel, um sowohl die „Ausnutzbarkeit“ einer Sicherheitslücke (typischerweise dargestellt durch den CVSS-Score) als auch die tatsächliche „Erreichbarkeit“ der anfälligen Workloads über Angriffsvektoren in Ihrer Umgebung in den Griff zu bekommen — was wir als „Exposition“ bezeichnet haben.

Nun zur eigentlichen Mathematik. Der VES wird berechnet, indem ein skalierter Vulnerability Score (CVSS) mit einer skalierten Expositionsmessung für einen bestimmten Dienst multipliziert wird, wobei s und p sind Skalierungsfaktoren, die bei der logarithmischen Skalierung dieser Messungen helfen. Dies ist eine gängige mathematische Technik, wenn es einen großen Wertebereich gibt:

VES = s (CVSS) * p (Expositionsmessung)

Wie ich in meinem erwähnt habe Forbes-Artikel Diese Messung basiert auf den Erkenntnissen von NBA-MVP Steph Curry zur Unternehmenssicherheit und bietet Sicherheitsexperten die Möglichkeit, Informationen zu Sicherheitslücken und damit verbundenen Bedrohungen im Kontext segmentierter Umgebungen zu verstehen.

Insbesondere herkömmliche Lösungen für das Schwachstellenmanagement verwenden Bewertungen wie Kritisch, Hoch, Mittel, Niedrig und Info, um Sicherheitslücken zu kategorisieren und Maßnahmen zur Eindämmung zu priorisieren. Kritisch und hoch erhalten sofortige Aufmerksamkeit, und das sollten sie auch. Es gibt jedoch eine große Anzahl mittelschwerer Sicherheitslücken, denen keine Priorität eingeräumt wird und die sich schließlich zu einem erheblichen Rückstand ansammeln, der von den Malware-Autoren nicht unbemerkt geblieben ist.

Kritische Sicherheitslücken sind oft in hohem Maße ausnutzbar (geringe Kosten für den Angreifer), aber nur für einen kurzen Zeitraum, da die Sicherheitsteams schnell mit Patches beginnen oder andere Möglichkeiten finden, die Sicherheitslücke zu beseitigen. Angreifer sind immer auf der Suche nach einem neuen Blickwinkel und zielen zunehmend auf mittelgroße Sicherheitslücken ab, die oft im Rauschen untergehen und über einen längeren Zeitraum nicht gepatcht werden — ein viel effektiveres Ziel für Sicherheitslücken. Es mag als etwas „teurer“ angesehen werden, sie auszunutzen (höhere Eintrittsbarriere, wenn Sie so wollen), aber die Tatsache, dass sie länger verfügbar sein werden als die kritischen und hohen Sicherheitslücken, macht sie viel attraktiver, wenn der Angreifer den ROI seiner Investition berechnet.

Der Zweck und die Auszahlung

Das VES macht es einem Unternehmen viel einfacher, die branchenweit bewährten CVSS-Bewertungen mit Faktoren zu kombinieren, die für die Umgebung jedes Kunden einzigartig sind. Sicherheitsteams können ihre Strategie zur Schadensbegrenzung besser auf der Grundlage der Aufdeckung der Sicherheitslücke in ihrer jeweiligen Umgebung priorisieren. Beispielsweise könnte einer Sicherheitslücke mit hohem Schweregrad die Priorität eingeräumt werden, weil das Risiko stark gestiegen ist reduziert durch Mikrosegmentierungskontrollen. Oder es könnte eine mittelgroße Sicherheitslücke vorliegen, die angesichts des Risikos mit einer riesigen Anzahl potenzieller Angriffspfade auf diesen anfälligen Dienst ganz oben auf der Liste stehen sollte.

Das VES ist möglich, weil wir einzigartig verstehe die Karte — wie Ihre Umgebung vernetzt ist und kommuniziert — und Überlagern Sie Sicherheitslücken oben auf der Karte um Sicherheitsteams dabei zu unterstützen, das Risiko von Sicherheitslücken in ihrer Umgebung zu visualisieren und zu priorisieren. Dies wird zu einem äußerst leistungsstarken Tool, nicht nur für Sicherheitsteams, sondern auch für andere wie Anwendungseigentümer und Führungskräfte, die dieses Risiko verstehen und es im Kontext eines umfassenderen Geschäftsrisikos mindern oder akzeptieren müssen.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Warum Segmentierung jetzt wichtig ist, wenn Sie eine Cyberversicherung wünschen
Cyber-Resilienz

Warum Segmentierung jetzt wichtig ist, wenn Sie eine Cyberversicherung wünschen

Erfahren Sie, warum Cyber-Versicherungsträger zunehmend eine Zero-Trust-Segmentierung für den Versicherungsschutz benötigen.

Lesen Sie mehr
Swish: Was Steph Curry uns über Unternehmenssicherheit beibringen kann
Cyber-Resilienz

Swish: Was Steph Curry uns über Unternehmenssicherheit beibringen kann

Die besten Sicherheitsexperten sind diejenigen, die wie ein Hacker denken können. Ihre Sichtweise auf Verteidigung basiert auf einem grundlegenden Verständnis davon, wie ein System nach Schwachstellen durchsucht werden kann, die leicht ausgenutzt werden können.

Lesen Sie mehr
Sicherheitseinschätzungen im Jahr 2018: Prognosen für Ihr Unternehmen und Ihre (frühere) Identität
Cyber-Resilienz

Sicherheitseinschätzungen im Jahr 2018: Prognosen für Ihr Unternehmen und Ihre (frühere) Identität

Der Wunsch, Risiken zu quantifizieren, wird zunehmen

Lesen Sie mehr
Weitere Lektionen von Steph Curry zum Thema Unternehmenssicherheit: Wenn etwas schief geht
Cyber-Resilienz

Weitere Lektionen von Steph Curry zum Thema Unternehmenssicherheit: Wenn etwas schief geht

Sicherheitsteams müssen solche Entscheidungen ständig im Handumdrehen treffen, und je mehr Daten sie über die Situation haben, desto bessere Entscheidungen können sie treffen.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr