In letzter Zeit sind Cyberangriffe erfolgreich, aufgrund einer oder mehrerer Gründe, aber in den meisten Fällen sind die Gründe entweder nicht gepatchte Systeme oder Löcher in der Konfiguration von IT-Systemen, insbesondere Active Directory (AD) und Azure Active Directory (AAD). In diesem Artikel werden wir skizzieren, warum Schwachstellenmanagementverfahren eine entscheidende Rolle bei der Sicherung von Organisationen spielen, wie wir Schwachstellen erfolgreich erkennen können und wie wir die Sicherheitslage unserer Organisation bewerten können.
Änderung im Schwachstellenmanagement
Jede Woche lesen wir über neue Schwachstellen, aber das Wichtigste, was sich in den letzten Jahren geändert hat, ist, dass Schwachstellen, die öffentlich bekannt sind, höchstwahrscheinlich bereits seit einigen Monaten ausgenutzt werden. Ein sehr bekanntes Beispiel ist der Hafnium-Angriff, der Schwachstellen im Microsoft Exchange Server ausnutzte, aber es gibt auch viele andere wie CVE-2022-22965 (Spring4Shell).
Die chinesische staatlich geförderte Bedrohungsgruppe begann im Januar 2021, Schwachstellen in Exchange-Servern auszunutzen, aber die Schwachstellen wurden im März 2021 öffentlich bekannt gegeben, als Microsoft auch Sicherheitsupdates und Abhilfemaßnahmen veröffentlichte. Der Hafnium-Angriff richtete sich gegen Exchange-Server, die über Outlook Web Access (OWA) für das Internet geöffnet waren. Obwohl Microsoft Sicherheitsupdates veröffentlichte, half dies nicht, wenn Ihre Organisation eine der 21.000 betroffenen war.
Aufgrund einer Änderung im Zeitplan für die Ausnutzung von Schwachstellen, der öffentlichen Offenlegung und der Abhilfe/Patch müssen Organisationen ein gut entwickeltes Schwachstellenmanagementverfahren haben, damit sie alle Schwachstellen in ihren Systemen identifizieren können, einschließlich IoT- und Netzwerkgeräten, ein Threat-Hunting-Team, das Artefakte bereits ausgenutzter Schwachstellen finden kann, und einen umfassenden Vorfallreaktionsplan, um den Schaden für die Organisation zu begrenzen und Systeme wiederherstellen zu können.
Richtlinien für das Schwachstellenmanagementprogramm
Um Schwachstellen in der Umgebung zu finden und zu beheben, müssen Organisationen einen entwickelten Schwachstellenmanagementprozess haben. Der Prozess muss alle Schritte umfassen - Identifizierung, Klassifizierung/Risikobewertung und Behebung.
Schwachstellen können am einfachsten mit einer dedizierten
Schwachstellenbewertungslösung wie Tenable oder Rapid7 oder einer Endpoint Detection & Response (EDR)-Lösung wie Microsoft Defender for Endpoint oder Palo Alto Networks Cortex XDR identifiziert werden. Bei der Entscheidung, welchen Ansatz man wählen soll, müssen Organisationen berücksichtigen, dass alle Geräte gescannt werden müssen, einschließlich Netzwerk- und IoT-Geräten, die keine Agenteninstallation unterstützen, aber mit Anmeldeinformationen oder nicht angemeldeten Scan-Techniken gescannt werden müssen.
Nachdem Schwachstellen identifiziert wurden, wird automatisch eine CVSS-Bewertung (Common Vulnerability Scoring System) zugewiesen. Die CVSS-Bewertung zeigt die Kritikalität einer spezifischen Schwachstelle. Sie setzt sich aus mehreren Metriken zusammen, wie z.B. Zugriffsanforderung für Ausnutzung, Komplexität, erforderliche Privilegien, Benutzerinteraktion, Auswirkungsbereich, … Weitere Informationen zur CVSS-Bewertung finden Sie auf der folgenden NIST-Website.
Nach der Klassifizierung der Schwachstellen muss jede Organisation die Auswirkungen der Schwachstellen auf die Umgebung bewerten. Die Ergebnisse dieses Schritts beeinflussen auch den Behebungsprozess jeder Schwachstelle. Um die Auswirkungen der Schwachstellen zu bewerten, müssen Organisationen überprüfen, welche Systeme betroffen sind, wie diese Systeme geschützt sind, ob bereits vollständige oder teilweise Kontrollen vorhanden sind, die eine Ausnutzung der Schwachstellen verhindern, und welche Auswirkungen eine erfolgreiche Ausnutzung der Schwachstellen auf die Organisation haben könnte.
Der letzte Schritt des Schwachstellenmanagements ist die Behebung, die auf verschiedene Arten erfolgen kann, wie z.B. Patchen, Hostisolierung oder Implementierung anderer Kontrollen wie Firewall-Regeln. Der Behebungsprozess wird je nach Version des Systems, der Kritikalität der Schwachstelle, den potenziellen Auswirkungen des Patchens auf die Organisation und den internen Patch-Richtlinien variieren. Zum Beispiel patchen einige Unternehmen Geräte nur einmal im Monat, wenn zum Beispiel umfangreiche Tests für jeden Patch erforderlich sind, und wenn zwischen den Patch-Tagen Schwachstellen entdeckt werden, müssen sie mit anderen Kontrollen gemildert werden. Wenn das System nicht mehr unterstützt wird oder Komponenten hat, die eine verwundbare Version der Software erfordern, ist eine der besten Möglichkeiten zur Behebung der Bedrohung, das System zu isolieren und nach Ersatz zu suchen.
Der Behebungsteil des Schwachstellenmanagements umfasst in der Regel die Zusammenarbeit zwischen Anwendungs-/Bereitstellung und Cyber-Sicherheitsteam. Der Kollaborationsprozess muss einfach und gut definiert sein, so dass jede Partei die Verantwortlichkeiten kennt. Microsoft Defender for Endpoint (MDE) bietet zum Beispiel eine Integration mit Microsoft Endpoint Manager (MEM), so dass das Cyber-Sicherheitsteam bei der Entdeckung einer Schwachstelle problemlos eine Anfrage zur Behebung an das Anwendungs-/Bereitstellungsteam mit einer Erläuterung der Schwachstelle und einem Kommentar senden kann. Diese Integration ermöglicht es den Teams, agil zusammenzuarbeiten und auf schnelle und effiziente Weise zu kooperieren.
Bestimmung der Cybersicherheitslage der Organisation
Der zweithäufigste Grund für einen erfolgreichen Angriff sind Fehlkonfigurationen in Systemen, insbesondere im eigenen Bereich. Die häufigsten Gründe für Fehlkonfigurationen sind die Komplexität von IT-Umgebungen, da sie mehrere Systeme, Plattformen und Anwendungen umfassen, die integriert, korrekt konfiguriert und auf dem neuesten Stand sein müssen, menschliche Fehler, mangelnde Standardisierung zwischen den Regionen oder Standorten des Unternehmens, Schwierigkeiten bei der Aufrechterhaltung der neuesten Entwicklungen und unzureichende Tests von Konfigurationen.
Fehlkonfigurationen sind oft nicht sofort erkennbar, da es in IT-Umgebungen keine Indikatoren dafür gibt und falls Organisationen keine Bewertungen von Umgebungen durchführen, können Fehlkonfigurationen lange Zeit unentdeckt bleiben und zusätzliche unbekannte Risiken mit sich bringen. Um die IT-Umgebung in einem optimalen Zustand zu halten, müssen kontinuierlich, mehrmals im Jahr Bewertungen durchgeführt werden.
Wir sehen Fehlkonfigurationen als ein großes Risiko, deshalb empfehlen wir Organisationen, Umgebungen regelmäßig zu bewerten, und wir bieten auch eine kostenlose Sicherheitsbewertung an. Die Bewertung der Umgebung kann entweder mit benutzerdefinierten Skripten oder durch die Nutzung professioneller Lösungen wie Ping Castle oder Purple Knight durchgeführt werden. Andererseits erhalten Kunden, die bereits Microsoft-Sicherheitslösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Identity oder Microsoft Defender for Cloud implementiert haben, bereits als Teil des Secure Score und der Empfehlungen, die Microsoft Kunden zur Verfügung stellt, eine gute Bewertung der Umgebung.
Sobald Fehlkonfigurationen identifiziert sind, müssen Organisationen Pläne zur Milderung dieser erstellen. Die Milderung einiger Fehlkonfigurationen wie Kerberos Unconstrained Delegation kann herausfordernd sein, da viele Organisationen alte Systeme haben, die von früheren Mitarbeitern eingerichtet wurden und oft nicht dokumentiert sind. Eine Änderung der Delegierungseinstellung kann auch einen großen Einfluss auf die Verfügbarkeit von Systemen in der Umgebung haben. Aufgrund der möglichen Herausforderungen wird empfohlen, einen Profi um Rat zu fragen, anstatt die Konfiguration ohne Kenntnis der potenziellen Auswirkungen zu ändern.
Eine sichere Umgebung mit einem entwickelten Schwachstellenmanagementprogramm aufrechtzuerhalten, kann eine Herausforderung sein. Neben diesem müssen Organisationen auch die Konfigurationen der bereitgestellten Systeme bewerten und verbessern, falls Probleme identifiziert werden.
Wenn Sie Hilfe bei der Entwicklung eines Schwachstellenmanagementprogramms benötigen oder daran interessiert sind, die Sicherheitslage Ihrer Umgebung zu sehen, wenden Sie sich an Premrn Security, und unsere Experten werden Ihnen helfen.