Home » Fachbeiträge » Security Management » Werkzeugkasten, um Software-Schwachstellen zu bekämpfen

Vulnerability-Management: Werkzeugkasten, um Software-Schwachstellen zu bekämpfen

Neu bekannt gewordene Sicherheitslücken zeitnah, nachhaltig und priorisiert zu schließen, ist Alltagsgeschäft für IT-Sicherheitsverantwortliche. Kompetente Hacker wissen schnell über solche Lücken Bescheid und machen sich oft innerhalb von 24 Stunden daran, über diese neuen Hintertüren den Weg ins Unternehmensnetzwerk zu finden. Angriffe richten sich gegen Organisationen aller Größen und Bereiche.

·

Redaktion IT-SICHERHEIT (cs)

5 Min. Lesezeit
Eine digitale Kette mit pixeligen Details zerbricht an einem Glied und setzt leuchtend blaue Partikel frei. Der dunkle Hintergrund verstärkt den Kontrast und betont die dynamische Bewegung und symbolische Darstellung von Störungen im Schwachstellenmanagement oder unterbrochenen Verbindungen.
Foto: ©AdobeStock/vstudio

Advertorial

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Entscheidend ist in der Regel nur die günstige Gelegenheit. Um neue Lücken geboten schnell zu bewerten, zu schließen und dies zu dokumentieren, benötigt ein Sicherheitsverantwortlicher allerdings geeignete Werkzeuge.

Wer Informationen zu Schwachstellen richtig bewerten will, muss dabei einen Unterschied beachten: Sicherheitsschwäche (Weakness) und Verwundbarkeit (Vulnerability) werden oft verwechselt, sind aber nicht das Gleiche. Bei Verwundbarkeiten handelt es sich laut Definition des National Information Assurance Training and Education Center um Mängel in automatisierten Prozessen zur Systemsicherheit, zu administrativen und internen Kontrollabläufen sowie zu IT-Systemen, die Angreifer durch einen aktiven Exploit ausnutzen können. Diese Schwäche kann ein Hacker nutzen, um unberechtigt auf Informationen zuzugreifen oder unternehmenskritische Abläufe auszunutzen. Diese Definition berücksichtigt aber nicht, dass Sicherheitsschwächen nicht nur Hardware und Software betreffen können, sondern auch alle Abläufe und Kontrollen. Eine Verwundbarkeit ohne geeigneten Exploit ist dagegen „nur“ eine Schwäche (Weakness) – vorerst zumindest.

Standards, um Risiken zu bewerten

Verwundbarkeiten gibt es viele. Entscheidend ist daher, die daran geknüpften Risiken schnell zu erkennen, für die Schwachstellen-Triage zu bewerten und zu melden. Folgende Ressourcen helfen dabei:

  • Die Common Vulnerabilities and Exposures (CVE) benennen Verwundbarkeiten und beurteilen den Grad des Handlungsbedarfs.
Cybersicherheitsexperten in einem Security Operations Center eines MDR können CVE-Trends erkennen.
Cybersicherheitsexperten in einem Security Operations Center
eines MDR können CVE-Trends erkennen.
  • Das offene Common Vulnerability Scoring System (CVSS) bemisst das Risiko auf einer Skala von 0 bis 10. Der CVSS-Wert zwischen 0.0 (keine Verwundbarkeit) bis 10.0 (kritische Verwundbarkeit) berücksichtigt zunächst den Angriffsvektor (Attack Vector, AV), die Komplexität der Attacke, (Attack Complexity, AC), die vorausgesetzten Privilegien (Privileges Required, PR) sowie die Nutzerinteraktion (User Interaction, UI). Des Weiteren sind der angegriffene Bereich (Scope, S) sowie die Folgen für Vertraulichkeit (Confidentiality, C), Integrität (Integrity, I) und Verfügbarkeit (Availability, A) eines Systems zu berücksichtigen. Zeitlich variieren Risikoindikatoren wie Exploit-Fähigkeit (E), Remediation Level (RL) und Report Confidence (RC). Diese Indizes spiegeln wider, wie ausgereift ein Exploit ist, welche Fixes schon verfügbar sind und wie glaubwürdig der Bericht zur Verwundbarkeit ist. Environment-Metriken benennen den Effekt eines Angriffs in der Anwenderumgebung.
  • Das Open Web Application Security Project (OWASP) definiert umsetzbare Vorgaben, um Schwachstellen zu dokumentieren und bekanntzumachen. Dem Projekt liegen Reports über Verwundbarkeiten zugrunde. Außerdem bietet es vordefinierte Prozesse, um Schwachstellen zu verorten, zu bewerten und zu beheben. Die Dokumentation teilen die Verfasser intern und extern.

Sieben Tools und Ansätze zum Eindämmen der CVE IT-Sicherheitsteams können aus zahlreichen Tools und Technologien auswählen, um die CVE schnell entsprechend ihrer Dringlichkeit einzudämmen. Die Werkzeuge eignen sich für unterschiedliche Zwecke und haben ihre spezifischen Vor- und Nachteile:

  • In den Configuration-Management-Datenbanken (CMDB) finden sich zentral alle Informationen über die Assets einer Organisation wie Software, Hardware, Systeme, Produkte oder sogar über Mitarbeiter. Die Datenbank dokumentiert auch das Verhältnis dieser Assets untereinander. CMDBs sind wertvolle Tools, um Konfigurationen zu verwalten und zu dokumentieren. Sie geben aber keine Informationen über die Abläufe im Netzwerk. Auch Konnektivitäten mit Assets in der Angriffsfläche, die zunächst nicht betroffen erscheinen, sind nicht sichtbar.
  • Cloud-Asset-Sicherheitstools wie Cloud Access Security Broker (CASB), Cloud Security Posture Management (CSPM), Cloud-Workload-Protection-Plattformen (CWPP) oder Cloud-Native-Application-Protection-Plattformen (CNAPP) werden mit jedem Workload, der in die Cloud abwandert, wichtiger. On-Premises-Systeme und die zugrunde liegende Infrastruktur bleiben dagegen im toten Winkel.
  • Am Patch-Management führt kein Weg vorbei, um Software, Betriebssysteme sowie Anwendungen auf aktuellem Stand zu halten, die Sicherheit zu verbessern und Verwundbarkeiten zu reduzieren. Ein Patch-Management als Element einer Cybersicherheitsplattform spielt Patches automatisiert aus, dokumentiert und liefert einen Status über eingespielte Patches. Administratoren können auch manuell patchen. Wichtig ist, dass eine solche Lösung möglichst viele Betriebssystemumgebungen unterstützt.

Sieben Tools und Ansätze zum Eindämmen der CVE

IT-Sicherheitsteams können aus zahlreichen Tools und Technologien auswählen, um die CVE schnell entsprechend ihrer Dringlichkeit einzudämmen. Die Werkzeuge eignen sich für unterschiedliche Zwecke und haben ihre spezifischen Vor- und Nachteile:

  • In den Configuration-Management-Datenbanken (CMDB) finden sich zentral alle Informationen über die Assets einer Organisation wie Software, Hardware, Systeme, Produkte oder sogar über Mitarbeiter. Die Datenbank dokumentiert auch das Verhältnis dieser Assets untereinander. MDBs sind wertvolle Tools, um Konfigurationen zu verwalten und zu dokumentieren. Sie geben aber keine Informationen über die Abläufe im Netzwerk. Auch Konnektivitäten mit Assets in der Angriffsfläche, die zunächst nicht betroffen erscheinen, sind nicht sichtbar.
  • Cloud-Asset-Sicherheitstools wie Cloud Access Security Broker (CASB), Cloud Security Posture Management (CSPM), Cloud-Workload-Protection-Plattformen (CWPP) oder Cloud-Native-Application-Protection-Plattformen (CNAPP) werden mit jedem Workload, der in die Cloud abwandert, wichtiger. On-Premises-Systeme und die zugrunde liegende Infrastruktur bleiben dagegen im toten Winkel.
  • Am Patch-Management führt kein Weg vorbei, um Software, Betriebssysteme sowie Anwendungen auf aktuellem Stand zu halten, die Sicherheit zu verbessern und Verwundbarkeiten zu reduzieren. Ein Patch-Management als Element einer Cybersicherheitsplattform spielt Patches automatisiert aus, dokumentiert und liefert einen Status über eingespielte Patches. Administratoren können auch manuell patchen. Wichtig ist, dass eine solche Lösung möglichst viele Betriebssystemumgebungen unterstützt.
  • Vulnerability Scanner finden Schwachstellen präventiv und evaluieren sie schnell. Frei verfügbare Scanner überwachen unter anderem Netzwerke, Hardware, Betriebssysteme, Anwendungen und Datenbanken. Die Suchmaschine Shodan spielt im Internet of Things eine große, aber doppeldeutige Rolle. Sie scannt das gesamte Internet und teilt Informationen zu verwundbaren Geräten wie Server, Router, IP-Kameras oder Smart-TVs. Hacker erhalten ein globales Panorama offener Ports und Systeme. Sie ziehen Shodan-Ergebnisse heran, um unverzüglich groß angelegte, opportunistische Attacken automatisiert auszuspielen.
Referenzen in Onlinemedien auf die Microsoft-Verwundbarkeit CVE-2023-36884 erlauben eine Prognose der Gefahr eines Angriffs.
Referenzen in Onlinemedien auf die Microsoft-Verwundbarkeit CVE-2023-36884 erlauben eine Prognose der Gefahr eines Angriffs.
  • Risk Assessment Tools von Plattformlösungen zur IT-Sicherheit wie Bitdefender Gravity Zone sammeln ihre Informationen mit Extended-Detection-and-Response-(XDR)-Technologien, die permanent die gesamte IT und nicht nur Endpunkte im herkömmlichen, engeren Sinne überwachen. IT-Administratoren erkennen so Risiken durch falsch konfigurierte Betriebssysteme, verwundbare Applikationen oder menschliche Fehler.
  • Eine Software Bill of Materials (SBOM) listet alle Software-Komponenten einer Applikation auf und bietet damit eine wichtige Referenz für das Vulnerability-Management. Durch dieses Verzeichnis können Anwender verstehen, welche Elemente einer Software verwundbar, zu verbessern oder zu aktualisieren sind. So können IT-Sicherheitsteams die tatsächliche Gefahr bewerten und auf fundierter Grundlage über die gebotenen Abwehrmaßnahmen entscheiden. Im Ernstfall erkennen sie die betroffenen Systeme schnell und dämmen dort den Schaden ein. Eine SBOM verringert auch das Risiko und die Folgen einer Supply-Chain-Attacke.
  • Trendprognosen mit Managed Detection and Response (MDR): Auch Schwachstellenexploits haben ihre Konjunkturen. Bitdefender-Experten in der MDR Cyber Intelligence Fusion Cell (CIFC) haben Prozesse entwickelt, um solche Trends erkennen zu können. So können die MDR-Experten einem Exploit von Schwachstellen zuvorkommen. Mit Threat Hunting lassen sich dann mögliche Cybergefahren identifizieren.

Angesichts dynamisch wachsender und unübersichtlicher Angriffsflächen und immer zahlreicheren Lücken in der Software benötigen IT-Verantwortliche wirksame Strategien zum Verwalten von Verwundbarkeiten und Schwachstellen. Diese sollten sowohl auf den jeweils geeigneten Tools fußen als auch auf zuverlässigen Wissensressourcen.

Mehr dazu erfahren Sie hier.

Jörg von der Heydt, Regional Director DACH bei Bitdefender
Foto: Bitdefender

Autor: Jörg von der Heydt, Regional Director DACH bei Bitdefender

Andere interessante Fachbeiträge

Ein Roboter mit blau-weißem Äußeren und Headset sitzt mit Laptop an einem Schreibtisch. Im unscharfen Bürohintergrund geben große Fenster den Blick auf eine Stadtlandschaft frei. Es scheint, als würde dieser Roboterassistent die Leistungsfähigkeit von KI-Chatbots für mehr Security-Awareness nutzen, um die Sicherheit am Arbeitsplatz zu erhöhen.

KI-Chatbots für mehr Security-Awareness

Künstliche Intelligenz (KI) hält Einzug in die Cybersicherheitsausbildung. Forscher der Hochschule Darmstadt entwickeln im Rahmen eines von Distr@l geförderten Forschungsprojekts ...

Security Management
Mann und Frau im Gespräch im Rechenzentrum - schwarz/weiß

Managed Detection and Response für OT-Systeme

Es geht nicht nur um die IT: OT-Systeme sind heute attraktive Ziele für Angreifer. Vor allem mit der zunehmenden Integration von physischen Systemen wie Produktion und Monitoring i...

Security Management
AI-Konzept mit Gesetzeswaage

Aktueller Stand zur KI-Regulierung

Der Einsatz künstlicher Intelligenz (KI) erreicht ein branchenübergreifendes, produktives Plateau. Die rasante technische Durchsetzung bringt jedoch auch erhebliche rechtliche, eth...

Security Management