Was ist Schwachstellenmanagement? Schwachstellenanalyst Pierre Louis Gensou klärt auf …
Vulnerability Management und Vulnerability Intelligence sind wesentliche Bestandteile der IT-Sicherheit. Als Schwachstellenanalyst ist es meine Aufgabe, Sicherheitslücken zu identifizieren, ihre Auswirkungen auf die von uns überwachten Komponenten zu bewerten und Kunden über die damit verbundenen Risiken zu informieren.
Was ist eine Schwachstelle?
Wenn wir von einer „Schwachstelle“ sprechen, beziehen wir uns eigentlich auf einen spezifischen Eintrag im „CVE“ (Common Vulnerabilities and Exposures)-Glossar. Dieses System bietet eine Methode zur öffentlichen Weitergabe von Informationen über Cybersicherheitslücken und -expositionen. Jede Schwachstelle hat eine eindeutige Kennung, die sie für Überwachungszwecke unterscheidbar macht.
Wenn Analysten wie ich eine Schwachstelle bewerten, verwenden wir eine zentralisierte Methodik, das sogenannte CVSS (Common Vulnerability Scoring System), um Konsistenz zu gewährleisten. Das CVSS bewertet jede Schwachstelle von 0 bis 10, um die Auswirkungen, Ausnutzungsmethoden und mögliche Schwere darzustellen. Dies basiert auf drei Metriken:
Basisscore
Dieser Score wird auf Grundlage verschiedener Unterscores berechnet. Zum Beispiel: Wie kann diese Schwachstelle ausgenutzt werden (durch physischen Zugriff, über ein angrenzendes lokales Netzwerk oder über das Internet)? Wie komplex ist sie? Muss der Angreifer authentifiziert sein? Und welche Auswirkungen hat sie auf die drei Grundprinzipien der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit?
Einmal berechnet, bleibt der Basisscore einer Schwachstelle gleich.
Zeitbasierter Score
Dieser Score variiert je nach Aktualität der Schwachstelle. Zum Beispiel: Wurden Patches veröffentlicht? Haben Angreifer neue Exploits entwickelt?
Umgebungsbasierter Score
Dies ist der Score, der am stärksten variiert, da die Auswirkungen einer CVE je nach Unternehmen oder Projekt unterschiedlich ausfallen können. Beispielsweise stellt eine Schwachstelle mit einem lokalen Angriffsvektor ein minimales Risiko dar, wenn ein Netzwerk durch seine Konfiguration von der Außenwelt isoliert ist. Diese Metriken differenzieren die Bedeutung jeder Komponente oder Gruppe von Komponenten innerhalb des Systems und werden in der Regel von unseren Kunden im Voraus berechnet.
Was ist ein Beispiel für eine kürzlich identifizierte Schwachstelle?
Es werden ständig neue Schwachstellen entdeckt. Tatsächlich sind derzeit über 240.000 in der CVE-Datenbank erfasst. Ein kürzlich identifiziertes Beispiel ist eine Schwachstelle, die PHP (Hypertext Processor) betrifft. Laut CERT-FR hat die Schwachstelle CVE-2024-4577 einen Basisscore von 9,8 und wird vom Anbieter als kritisch eingestuft, da sie die Ausführung von Remote-Code ermöglicht. Sie wurde während eines Penetrationstests von Devcore-Teams entdeckt.
Diese Schwachstelle ist eigentlich ein Umgehen des Patches, der CVE-2012-1823 beheben sollte (entdeckt im Jahr 2012!), was deutlich die Dynamik zwischen Herausgebern, die Patches zur Absicherung von Systemen entwickeln, und Angreifern, die neue Lücken suchen, zeigt. Es ist wichtig zu betonen, dass nicht unbedingt Hacker Schwachstellen entdecken, sondern auch Cybersicherheitsexperten wie Penetrationstester.
Was ist der Unterschied zwischen passiven und aktiven Schwachstellen?
Das Threat Management Centre (TMC) von Airbus Protect unterscheidet bei Schwachstellenaktivitäten zwischen zwei Kategorien:
Passives Schwachstellenmanagement
Das passive Schwachstellenmonitoring ermöglicht es uns, Schwachstellen zu identifizieren und zu bearbeiten, die die von uns täglich überwachten Projektkomponenten betreffen. Wenn eine Sicherheitslücke relevant ist, erstellt unser Team ein Sicherheitsbulletin für die Kunden, um detailliert zu erklären, welche Komponenten betroffen sind, welche Patches installiert werden müssen und wie kritisch die Lücke für das Projekt ist. Dies wird als passives Schwachstellenmanagement bezeichnet, da es sich nicht um eine proaktive Überwachung handelt und wir keine Assets scannen.
Bevor wir ein Sicherheitsbulletin verfassen, warten wir darauf, dass die Schwachstelle von verschiedenen Anbietern (z. B. Microsoft, Cisco, Red Hat) oder Behörden (z. B. CERT-FR, CISA, NIST) gelistet wird.
Unsere Experten haben für jedes Projekt eine Liste der Komponenten, einschließlich ihrer Version und ihres Betriebssystems. Derzeit überwachen wir mehrere tausend Komponenten für etwa fünfzehn Projekte externer Kunden und veröffentlichen im Durchschnitt etwa hundert Bulletins pro Monat. Um die Informationsverarbeitung und -erkennung zu erleichtern, arbeitet das Schwachstellenteam mit verschiedenen Tools, darunter:
- Feedly: Dies aggregiert alle relevanten Quellen und bietet Zugriff auf die Veröffentlichungen der einzelnen Anbieter. Jede Schwachstelle kann verfolgt werden, um neue Exploits von Angreifern zu erkennen.
- Vulnerability Intelligence Platform (VIP): Diese Plattform haben wir selbst entwickelt, um Sicherheitsbulletins zu erstellen. Jede Komponente wird durch ihre „CPE“ (Common Platform Enumeration) identifiziert, in der Form cpe:/<part>:<vendor>:<product>:<version>.
Zum Beispiel:
cpe:/a:microsoft:edge:121.0.2277.83 steht für die Version 121.0.2277.83 of Microsoft Edge.
part: application
vendor: microsoft
product: edge
version: 121.0.2277.83
Wir identifizieren alle Schwachstellen, die diese Produktversion betreffen, und verfassen dann das Sicherheitsbulletin.
Aktives Schwachstellenmonitoring
Das aktive Schwachstellenmonitoring erfordert völlig andere Tools und Clients. In diesem Fall überwachen wir alle Einheiten der Airbus Group mit dem Qualys-Erkennungsscanner, der Computersysteme auf Schwachstellen untersucht. Ziel ist es, sie so schnell wie möglich zu identifizieren und zu beheben.
Fazit
Das Schwachstellenmanagement ist eine der wichtigsten Aufgaben in der Cybersicherheit. Es ist entscheidend, Zugang zu den neuesten Informationen über Schwachstellen zu haben, die Ihr Betriebssystem und Ihre Infrastruktur betreffen könnten, da Zeit in der Regel eine entscheidende Rolle bei deren Behebung spielt!
Interessieren Sie sich für Schwachstellen-Monitoring?