Vulnerability-Management mit risikobasierter Priorisierung

Cloud Umgebungen sind dynamisch, mit kurzen Container Lebensdauern und neuem Code, der täglich, wenn nicht gar kontinuierlich, bereitgestellt wird. Identifizierung, Bewertung, Priorisierung, Verwaltung und Behebung sind in der Cloud anders als in lokalen Rechenzentren oder auf Endbenutzergeräten und erfordern daher speziell entwickelte Lösungen.

Lösungen für das Vulnerability Management umfassen eine Reihe von Funktionen zur Identifizierung, Bewertung, Priorisierung, Verwaltung und Behebung von Vulnerabilities. In dynamischen Cloud-Umgebungen – mit einer typischen Container-Lebensdauer von nur wenigen Stunden und der täglichen, wenn nicht sogar stündlichen oder kontinuierlichen Bereitstellung von neuem Code – unterscheidet sich jede Komponente dieses Workflows jedoch erheblich vom Vulnerability Management für lokale Rechenzentren oder Endbenutzergeräte.

• Identifizierung geht anders. Netzwerk- und authentifizierte Scans funktionieren nicht mit der Cloud. Sie müssen Code innerhalb der Entwickler-Workflows frühzeitig und häufig scannen und auch korrelieren und bewerten, was in der Produktion eingesetzt wird.
  Bewertung geht anders. Die Software-Stückliste für Ihre Anwendung ersetzt „Vulnerability Pack Upgrades“ und ist Ihre neue Informationsquelle.
• Priorisierung geht anders. Sie müssen verstehen ob Ihre Assets aus dem Internet erreichbar sind. Desweiteren sollten Risiken durch Compliance-Verstöße und zu weitreichende IAM-Privilegien verstanden werden. Um ein weiteres, hohes Risiko zu verstehen und zu vermeiden ist es ebenfalls notwendig zu verstehen, ob sich Schwachstellen in Ihren Softwarepaketen befinden und ob diese aktuell ausgeführt werden.
• Management und Problembehebung gehen anders. Da das System, das Sie patchen, unveränderlich ist (z. B. Container-Images oder Amazon Machine Images (AMIs), müssen Vulnerability-Funde für Entwicklungsteams leicht zugänglich sein, damit sie Images mit Patches schnell neu erstellen können.

All diese Unterschiede erfordern einen grundlegend anderen Ansatz für das Vulnerability Management in der Cloud, und Sie benötigen eine speziell entwickelte Lösung, um diesen Herausforderungen zu begegnen.

Herkömmliche Sicherheitstools können mit der wachsenden Anzahl an Vulnerabilities in der Cloud nicht Schritt halten. Lösungen für das Vulnerability Management können Transparenzlücken schließen, indem sie die Ausnutzung von Software Vulnerabilities verhindern, die Ihre Daten gefährden. Sie können auch umfangreiche Listen von CVEs aufdecken.

Die Zahl der Vulnerabilities, sowohl bekannte als auch unbekannte, nimmt mit der zunehmenden Nutzung von Open-Source-Software zu. In dynamischen Cloud-Umgebungen können traditionelle Sicherheitstools mit der Menge an Vulnerabilities nicht Schritt halten. Ohne eine Lösung für das Vulnerability-Management könnten Sie Transparenzlücken haben, welche der Ausnutzung von Software-Vulnerabilities Tür und Tor öffnen und Ihre Daten gefährden.

Darüber hinaus sind viele Vulnerability Management Lösungen in der Lage, umfangreiche Listen von CVEs aufzudecken, aber ein Mangel an Laufzeitkontext und qualifizierten Ressourcen kann es schwierig machen, die wahren Risiken in Ihrer individuellen Umgebung zu erkennen.

Erkennen, bewerten und beheben Sie hoch riskante Vulnerabilities kontinuierlich mithilfe eines vierstufigen Verfahrens: Scannen und Identifizieren Ihrer Assets auf Vulnerabilities, Auswerten der Auswirkungen und Priorisierung, Beheben und Patchen über Korrektur-, Minderungs- oder Patch-Management sowie Messen und Melden mit regelmäßigen Prüfungen.

Um Sicherheitslücken mit hohem Risiko kontinuierlich zu identifizieren, zu bewerten und zu beheben, sind im Vulnerability Managementprozess vier Schritte erforderlich.

Scannen und Identifizieren von Vulnerabilities
Der erste Schritt besteht darin, die als besonders wertvoll und kritisch eingestuften Assets zu identifizieren und auf Vulnerabilities in der gesamten Cloud Infrastruktur zu prüfen. Definieren Sie jedes Asset, das Sie mit Ihrer Lösung für Vulnerability Management bewerten möchten, wählen Sie die richtige Scan-Methode für jeden Asset-Typ und beginnen Sie mit dem Scannen Ihrer Assets.

Sicherheitslücken bewerten und priorisieren
Sobald die Sicherheitslücken anhand Ihrer Scans identifiziert wurden, besteht der nächste Schritt darin, das Ausmaß der Auswirkungen, die Ausnutzungsfähigkeit und die Risikosituation der einzelnen Assets zu bewerten, sodass Sie priorisieren können, auf welche Vulnerabilities Sie sich konzentrieren sollten.

Das Common Vulnerability Scoring System (CVSS) ist ein Framework zur Bewertung des Schweregrads von Software-Vulnerabilities und deren Risikobewertungen bieten eine gute Annäherung an die relative Bedeutung von Vulnerabilities. Es ist jedoch wichtig, die potenziellen Auswirkungen des betroffenen Systems auf Ihr Unternehmen selbst zu verstehen. Ein Indikator zur Bewertung der Auswirkungen ist, wieviele Images von einer Vulnerability betroffen sind. So sollte beispielsweise eine hochgefährliche Vulnerability, die in Hunderten von laufenden Containern vorhanden ist, wahrscheinlich eher behoben werden als eine kritische Vulnerability, die nur in einigen wenigen Containern auftaucht.

Bei so vielen Vulnerabilities, die gepatcht werden müssen, ist es wichtig, die Ausnutzungsfähigkeit einer Vulnerability zu berücksichtigen. Der Schlüsselfaktor für die Ausnutzungsfähigkeit ist die Feststellung, ob ein Asset dem Internet ausgesetzt ist. Ihre Lösung sollte in der Lage sein, festzustellen, ob eine Workload-Konfiguration dem Internet ausgesetzt ist, und dann die Internet-Exponierung als Teil der Risikobewertung berücksichtigen. Idealerweise ist dieser Wert auch als Filter für die Priorisierung verfügbar. Darüber hinaus sollten Sie bei der Priorisierung von Containern auf die Images abzielen, die tatsächlich in der Produktion eingesetzt werden. Durch Korrelieren von Vulnerability-Risikodaten mit Runtime-Beobachtungen können Sie besser priorisieren, welche Vulnerabilities zuerst behoben werden sollen.

Vulnerabilities behandeln und patchen
Der dritte Schritt besteht darin, Maßnahmen gegen die identifizierten Vulnerabilities zu ergreifen. Dies kann durch Abhilfemaßnahmen, Schadensbegrenzung oder Patch-Verwaltung geschehen, oder indem überhaupt keine Maßnahmen ergriffen werden.

Bei hochriskanten Vulnerabilities erfordert die Behebung in der Regel ein Upgrade des anfälligen Pakets in einem Code-Repository. Die Vulnerability-Schadensbegrenzung bzw. Abschwächung verringert die potenziellen Auswirkungen eines Exploits, während die Vulnerability in Ihrer Umgebung verbleibt. Das bedeutet, dass die anfälligen Teile eines Assets Sicherheits-Patches erhalten, weil eine Korrektur noch nicht verfügbar ist oder zu diesem Zeitpunkt nicht vorgenommen werden kann. Wenn die Vulnerability ein geringes Risiko oder kein Risiko darstellt, ist es möglich, dass überhaupt keine Maßnahmen ergriffen werden.

Messen und berichten Sie über Vulnerabilities
Die Durchführung regelmäßiger Bewertungen ist wichtig, um zu verstehen, wie gut Ihr Vulnerability Management und Ihr Patch-Management-Prozess funktionieren.

Die Bewertung oder der Bericht fasst die wichtigsten Ergebnisse in Bezug auf Ressourcen, Sicherheitslücken und das Gesamtrisiko für das Unternehmen zusammen. Zu den gängigen KPIs gehören die Messung der Scan-Abdeckung und der Patch-Durchlaufzeiten. Beispielsweise bezieht sich die Scan-Abdeckung auf den Prozentsatz der Assets, für die vollständige und genaue Daten verfügbar sind. Die Durchlaufzeiten für Patches können die Messung der mittleren Zeit bis zur Erkennung umfassen – sowie der mittleren Zeit bis zur Behebung, der Häufigkeit des erneuten Auftretens von Problemen und einen Blick darauf, wie sich diese Zahlen im Laufe der Zeit ändern. Es ist auch wertvoll, die gewichtete Risikorate zu messen, die die identifizierten Vulnerabilities zusammenfasst und sie mit der Kritikalität der mit diesen Vulnerabilities verbundenen Daten vergleicht.