Immer wieder passiert es, eine bereits gepatchte Schwachstelle wird weiterhin als nicht gepatcht angezeigt und die Sicherheitsverantwortlichen erhalten eine Warnmeldung. Liegt es am Schwachstellenscanner? Die Antwort liegt oft in den versteckten, vergessenen und redundanten Softwarepaketen, die über den Stack verstreut sind. Leider ist das beschriebene Beispiel kein Einzelfall, sondern Teil der sogenannten Alarm-Fatigue in den SOCs. Wenn zu viele Falschmeldungen ein System überfluten, das auf manuelle Behebung setzt, kann selbst ein großes und motiviertes Team nicht für Sicherheit sorgen.
Das Problem ergibt sich aus den unterschiedlichen Arten, wie Software auf modernen Betriebssystemen installiert und verwaltet wird. Eine Aufstellung findet sich in diesem Blog. Die Vielzahl an Installationsmethoden führt zu einer fragmentierten Umgebung, die es IT-Abteilungen erschwert, genau zu verstehen, was auf den Systemen installiert ist. Um Schwachstellen effektiv zu verwalten, benötigen IT-Sicherheitsteams allerdings eine einzige zuverlässige Quelle, die genau anzeigt, welche Software sich auf ihren Assets befindet, wie sie dorthin gelangt ist und in welchem Zustand sie sich derzeit befindet.
Traditionelle Schwachstellenscanner gehen nicht tief genug, um den gesamten Inhalt der Assets zu erfassen, sodass sie versteckte Softwarepakete nicht entdecken können.
Moderne Ansätze sammeln detaillierte Informationen zu allen Assets, einschließlich Konfigurationen, Abhängigkeiten, installierter Software, Risiken, kontextbezogenen Risiken und geschäftskritischen Faktoren. Durch kontinuierliches und proaktives Scannen der Systeme entdecken sie jedes Paket und jede Konfigurationsdatei, unabhängig von der verwendeten Installationsmethode.
Diese Komplexität im modernen Softwaremanagement ist ein stetiger Quell für Cyberrisiken. Ohne eine vollständige und detaillierte Bestandsaufnahme aller Software-Assets und der darauf ausgeführten Anwendungen sehen IT-Sicherheitsverantwortliche den Wald vor lauter Bäumen nicht. Insbesondere bei einem Zero-Day-Angriff müssen sie sich jedoch auf eine solche Bestandsaufnahme verlassen können, sie müssen wissen, was wo liegt, um die Gefährdung schnell zu erkennen und die Schwachstelle so schnell wie möglich zu beheben oder abzumildern.
Von Christian Zunker, Senior Software Engineer bei Mondoo
