Ein Großteil der erfolgreichen Angriffe auf IT-Systeme basieren auf bekannten Schwachstellen. Warum dies so ist und wie man das notwendige Patchen von Schwachstellen dennoch angehen kann, erläutert Matt Middleton-Leal, Managing Director EMEA bei Qualys im Interview mit Netzpalaver.
Netzpalaver: Warum versäumen es Unternehmen, Patches zu installieren, wenn die Probleme bekannt und gut dokumentiert sind? Ist hier kurzfristiges Denken im Spiel oder gibt es ein tieferes Problem?
Matt Middleton-Leal: Auch wenn wir alle wissen, dass Patches unerlässlich sind, gibt es einige praktische Probleme, mit denen die Teams zu kämpfen haben. Oft verfügen Unternehmen einfach nicht über ein genaues Bestandsverzeichnis und sind sich daher der Risiken, die in ihrer Umgebung lauern, nicht bewusst. Wenn man etwas nicht kennt, ist es unmöglich zu wissen, dass es gepatcht werden muss.
Ein weiteres großes Problem besteht darin, dass es einen Interessenkonflikt zwischen der „Betriebszeit“ für das Unternehmen und der Sicherheit geben kann. Wenn Sie Ausfallzeiten für die Systeme vorschlagen, in denen das Unternehmen Geld verdient, dann müssen Sie sicher sein, dass das, was Sie tun, auch funktioniert. Solange Sie die Auswirkungen des Nicht-Patchens nicht eindeutig in Bezug auf das Risiko für das Unternehmen messen können, haben Sie auch kein Argument, warum Sie heute patchen sollten, wenn Sie diese Aktivität auf morgen oder nächsten Monat verschieben könnten. Wenn das Patchen den Einnahmen in die Quere kommt, müssen Sie ein äußerst stichhaltiges Argument vorbringen, sei es die Einhaltung von Vorschriften oder die Vermeidung von Risiken für das Unternehmen.
Es ist auch wichtig zu verstehen, dass Patches nicht isoliert betrachtet werden können. Auch wenn es einfach zu sein scheint – ein Problem erfordert einen Patch – kann die Bereitstellung mehrere Registrierungsänderungen oder Neukonfigurationen erfordern. Auch bei den Werkzeugen und Fähigkeiten gibt es Lücken. Herkömmliche Patching-Tools haben Schwierigkeiten, diese komplexeren Anpassungen schnell und in großem Umfang vorzunehmen.
Netzpalaver: Wie schwerwiegend können Angriffe auf seit langem bestehende Probleme wie Log4J sein, und welchen Schaden können sie anrichten?
Matt Middleton-Leal: Der Schweregrad hängt von ihrem Unternehmen und dem damit verbundenen Risiko ab, und manchmal muss man diese Probleme intelligenter angehen. So war Log4J beispielsweise in viele Anwendungen und Systeme eingebettet – bei einigen Unternehmen wusste man, dass diese Softwarekomponente ein Problem darstellte, man konnte aber nicht einfach die Patches einspielen, da dann die gesamte Anwendung nicht mehr funktionieren würde. Das System musste aktualisiert werden, um mit den neuen gepatchten Versionen arbeiten zu können. Dies war mit erheblichen Kosten verbunden. Also wurde das Problem so lange entschärft, bis sich die Neuschreibung der Anwendung rechtfertigen ließ. Viele Sicherheitsteams empfinden dies als frustrierend, denn sie würden die besten Praktiken befolgen, wenn sie könnten. Aber sie müssen in der realen Welt neben anderen Prioritäten arbeiten.
Die Messung von Risiken und Auswirkungen ist für einige einfacher als für andere. Nehmen wir an, ein Angriff legt ein Online-Verkaufsportal lahm und hält das Unternehmen vom Handel ab. Das ist leicht zu messen – Sie können die Anzahl der Tage, an denen Ihr System offline ist, mit dem durchschnittlichen Tagesumsatz, den ihre Anwendung generiert, multiplizieren, und Sie haben eine genaue Schätzung. Allerdings ist es nicht immer so einfach, eine Schätzung vorzunehmen. Sie müssen Zeit und Mühe in die Kennzeichnung ihrer Unternehmensdienste investieren, damit das damit verbundene Risiko eindeutig gemessen und an das Management weitergegeben werden kann.
Netzpalaver: Wie und wann sollte gepatcht werden, welche Ressourcen sollten überwacht werden, wie der CISA-Katalog für bekannte Sicherheitslücken (Known Exploited Vulnerabilities Catalog)?
Matt Middleton-Leal: In einer perfekten Welt würde ein automatischer Job das Risiko innerhalb weniger Stunden beheben, sobald eine Sicherheitslücke entdeckt wird. Das ist durchaus möglich, und viele Unternehmen tun dies bereits. Allerdings müssen Sie bei ihrem Ansatz differenzierter vorgehen. Angenommen, ihr Unternehmen ist für den kontinuierlichen Betrieb auf eine Reihe großer Oracle-Datenbanken angewiesen – Sie möchten diese Systeme vielleicht nicht alle gleichzeitig automatisch patchen, nur für den Fall, dass ein Problem auftritt. Für diese kritischen Anwendungen ist es wichtig, die Risiken zu bedenken, die Anwendungen auf Kompatibilität zu testen und Patches durchzuführen, sobald Sie die Möglichkeit dazu hatten.
Wenden Sie die 80/20-Regel an: 80 Prozent ihres Geschäftswerts werden von den kritischen 20 Prozent ihrer Anwendungen stammen. Für die anderen 80 Prozent ihrer Anwendungen können Sie das Patching automatisieren und ein großes Risiko beseitigen, ohne das Geschäft zu beeinträchtigen. Durch das automatische Patchen von Geräten und Anwendungen mit geringem bis mittlerem Risiko können ihre Teams mehr Zeit für die 20 Prozent ihrer Anwendungen aufwenden, die eine sorgfältigere Planung und Kontrolle erfordern.
Netzpalaver: Haben Sie Tipps für das Schwachstellenmanagement?
Matt Middleton-Leal: Tipp Nr. 1 – Stellen Sie sicher, dass Sie die Daten aller Geräte in ihrem Unternehmen an jedem Standort in Echtzeit mit Live-Bedrohungsdaten abgleichen können. Diese Informationen sind vorhanden, und Sie können sie nutzen. Ordnen Sie diese Daten dann nach dem Risiko für Ihr Unternehmen nach Prioritäten. Auf diese Weise können Sie das Risiko für Ihr Unternehmen messen, kommunizieren und beheben und gleichzeitig die Auswirkungen für die Beteiligten und den Vorstand klar darlegen.
Tipp Nr. 2 – Suchen Sie nach Möglichkeiten, ihr Gesamtrisiko in Bezug auf Software zu verringern, nicht nur in Bezug auf Patches. Die sicherste Software ist die, die Sie nicht installiert haben. Können Sie beispielsweise ihre System-Images bereinigen, um Software, die nicht mehr verwendet wird, oder andere Komponenten zu entfernen? Ein Unternehmen, mit dem wir zusammengearbeitet haben, konnte seine Liste der Schwachstellen um die Hälfte reduzieren, indem es ältere Versionen von Java und anderen Softwarekomponenten aus seinen System-Images entfernte.
Tipp Nr. 3 – Konsolidieren Sie Informationen wie Software-Stücklisten, interne Software-Entwicklung und Software-Verwaltung von Drittanbietern neben ihrem IT-Asset-Management-Register. Es gibt viel mehr Möglichkeiten, Software einzusetzen und zu nutzen, so dass es noch schwieriger ist, den Stand der Dinge im Vergleich zu Ihrem internen Netzwerk zu verfolgen.
Um dieses Problem zu lösen, müssen Sie sich alle vorhandenen und genutzten Ressourcen ansehen und diese Informationen an einer Stelle zusammenfassen, damit Sie Prioritäten setzen können.
Tipp Nr. 4 – Arbeiten Sie an ihren Kommunikationsfähigkeiten. Dazu gehört die Zusammenarbeit mit anderen IT-Teams, die Patches bereitstellen oder Aktualisierungen durchführen, aber auch die Zusammenarbeit mit dem Vorstand. Können Sie deren Aufmerksamkeit gewinnen, damit Ihre Maßnahmen unterstützt werden?
Netzpalaver: Können Sie die Unterstützung des Vorstands erhalten?
Matt Middleton-Leal: Wenn CEOs sich mit dem Thema Sicherheit befassen, wollen sie so schnell wie möglich Maßnahmen und Ergebnisse sehen. Vor allem aber wollen sie wissen, wie „gute Sicherheit“ aussieht. Es geht also darum, ein oder zwei einfach zu erklärende und für das Unternehmen relevante Kennzahlen bereitzustellen, mit denen Sie bei Bedarf das Risiko genauer untersuchen und bezeichnen können.
#Qualys
