Cybersicherheit: Priorisieren Sie die Behebung der anfälligen Oberfläche

(Di Andrea Piras, Marco Rottigni)
28/07/21

Priorisierung ist die Kunst der Beantwortung der Fragen "Wo fange ich an?" und "womit mache ich weiter?"

In diesem Artikel analysieren wir, wie man Theorie und Praxis vergleicht, um ein Sicherheitsproblem, das Unternehmen jeder Größe, Ordnung und Ebene betrifft, am effektivsten zu lösen: das Heilmittel der verletzlichen Oberfläche.

Dieses Problem tritt normalerweise mit der Entwicklung der Reife beim Management des Lebenszyklus von Schwachstellen in Ihrer IT-Landschaft auf. Wenn ein Unternehmen beschließt, ein Programm zu strukturieren, um seine verwundbare Oberfläche zu schätzen, zu analysieren und zu verstehen, besteht der Ausgangspunkt darin, mehr oder weniger kommerzielle Systeme zu verwenden, um seine internen und externen Infrastruktur- und Anwendungssysteme zu untersuchen, um ihren Grad der Widerstandsfähigkeit zu verstehen in Bezug auf bekannte Schwachstellen.

Dieser Prozess beginnt normalerweise mit Scans mit variabler Periodizität, die Berichte über identifizierte Schwachstellen generieren. Dieser Anfang ist kein Ausgangspunkt, sondern hebt normalerweise eine Vielzahl von Themen hervor, deren Potenzial die Möglichkeiten des Unternehmens völlig übersteigt.

Daher ist es notwendig, den Lebenszyklus dieser gefährdeten Oberfläche zu verwalten und verschiedene Elemente zu untersuchen, um zu verstehen, wie die Minderungsfähigkeiten durch Minimierung des Restrisikos am besten genutzt werden können.
Bis hin zur Nutzung erweiterter Kontexte, wie Informationen zur Kompromittierung oder allgemeiner Cyber-Bedrohungsinformationen. Hier ist die Entwicklung von definiert Schwachstellenanalyse, eine Schwachstellenmanagement und endlich zu Bedrohungs- und Schwachstellenmanagement.

Sehen wir uns also theoretisch einige Methoden an, um die richtige Aktionspriorität zu bestimmen.

Bevor Sie sich mit der Theorie befassen, ist es gut, eine Prämisse zu machen: Die Berechnung der Priorität ist Teil eines größeren Plans, der der Risikobewertung. Hierzu verweisen wir auf die Norm ISO 31010:2019 [1] und die NIST-Dokumente SP-800-37 [2] und SP-800-30 [3], insbesondere auf die Elemente, aus denen die Bewertung besteht: Identifikation, Analyse und Risikogewichtung wie unten gezeigt.

Ein wichtiger Punkt bei einem effektiven Sanierungsplan ist die richtige Priorisierung. Anschließend stellen wir den Ansatz der Risikoanalyse und die verwendete Methode vor. NIST unterteilt den Ansatz in: bedrohungsorientiert, wirkungsorientiert und angreifbarkeitsorientiert.

Der Kürze halber wird als Risikomodell das bedrohungsorientierte Modell verwendet, bei dem die Priorisierung des Risikos eine Bewertung der Bedrohungen und – nach Berechnung einer Risikomatrix – die Ermittlung eines Zahlenwertes bedeutet: Je höher der Wert, desto höher das Risiko.

Die Methoden der Risikobewertung werden hauptsächlich in qualitative, quantitative und halbquantitative Methoden unterteilt.

Die Literatur lehrt uns, dass ich bei der qualitativen Methode, um das Risiko zu priorisieren, für jede Bedrohung einen Score berechnen muss, den sogenannten Risiko-Score, gegeben durch Wahrscheinlichkeit x Stoß gemäß der Formel R = P x I.

La Chance weist auf die Möglichkeit hin, dass ein unerwartetes Ereignis eintritt, das Schaden verursachen kann – in diesem Fall die Bedrohung –; L'Auswirkung zeigt den Schaden an, der möglicherweise durch die Bedrohung verursacht wird.

Unter Verwendung einer 5x5-Risikomatrix wird jeder Bedrohung eine Wahrscheinlichkeit und eine Auswirkung mit unterschiedlichen qualitativen Ebenen zugewiesen, wie in der folgenden Abbildung dargestellt.

Der Vorteil dieses Ansatzes besteht darin, die Risiken einzustufen und sich auf die mit der höchsten Priorität zu konzentrieren.
Andererseits ist die qualitative Analyse subjektiv und basiert auf der Wahrnehmung der Stakeholder gegenüber den analysierten Bedrohungen, kombiniert mit ihren Erfahrungen und Fähigkeiten.

Die quantitative Methode hat einen strukturierteren Ansatz.
Da wir uns auf Zeit und Ressourcen verlassen können, haben wir die Möglichkeit, statistische Daten zu haben - z. wie oft ein Ereignis in einem Jahr aufgetreten ist - zusätzlich zu einer genauen Wirkungsanalyse - z. Wenn der Dienst "X" inaktiv ist, verlieren Sie 1000 Euro / Stunde.
Dadurch wird es möglich, das Risiko in signifikante Zahlen zu „übersetzen“, um strategische Entscheidungen zu unterstützen.

Die quantitative Methode verwendet die Parameter EF (Exposure Factor), SLE (Single Loss Expectancy), ARO (Annualized Rate of Occurrence) und ALE (Annualized Loss Expectancy).
Der erwartete Verlust für den einzelnen Vermögenswert beträgt:

SLE = Vermögenswert x EF

SLE misst, wie stark sich eine Bedrohung auf ein bestimmtes Asset wie einen Server, ein Framework oder sogar einen aus Software und Hardware bestehenden Dienst auswirkt.

ARO hingegen misst die Häufigkeit dieser Bedrohung über einen Zeitraum von einem Jahr. Die Erwartung des wirtschaftlichen Verlusts für einen bestimmten Vermögenswert im Laufe des Jahres ergibt sich aus:

ALE = SLE x ARO

Nehmen wir als Zahlenbeispiel an, dass ein Unternehmen über einen E-Commerce-Service verfügt, der 1 Million Euro pro Jahr in Rechnung stellt; Berücksichtigt wird daher der Verkaufsservice, bestehend aus der Hardware, der Software und den arbeitenden Personen.
Nehmen wir an, ein DDoS-Angriff, der den Verkauf und die Aktivität von Bedienpersonal blockiert, hat einen Expositionsfaktor von 5 %.
Angenommen, diese Art von Angriff wurde in den letzten 6 Jahren 3-mal gewertet, d. h. sie hat einen ARO = 6/3 => ARO = 2.

SLE = 1.000.000 € x 0.05 = 50.000 €

ALE = 50.000 € x 2 = 100.000 €

Nach dem beschriebenen Risikomodell verliert das Unternehmen durchschnittlich 100.000 € pro Jahr.

Um das Beispiel zu vereinfachen, könnte ein Sanierungsplan darin bestehen, eine Firewall der nächsten Generation mit IDS / IPS zu installieren, um diese DDoS-Angriffe für einen Preis von 50.000 € + 5.000 € / Jahr Wartung zu blockieren.

Bei der semiquantitativen Methode werden die Bewertungen nach qualitativen Methoden vorgenommen, um das Risiko sofort zu priorisieren und einen Aktionsplan zu aktivieren, um dann die Daten neu auszuarbeiten und die qualitativen Begriffe in Zahlen umzuwandeln, um eine genauere wirtschaftliche Schätzung zu ermöglichen.

Nach diesem ersten theoretischen Teil, der die Praxis beim Management einer anfälligen Oberfläche in komplexen IT-Umgebungen analysiert, sehen wir, dass der Schwierigkeitsgrad zunimmt: Um die Abhilfemaßnahmen zu priorisieren, müssen einige der dargestellten Methoden kombiniert werden, um eine eher beschreibende als analytische Risiko- und Bedrohungswahrnehmung erreichen, die auf einer eigenen digitalen Oberfläche abgebildet wird.

Wie man sieht, ist das Risiko, insbesondere das Cyber-Risiko, komplex zu berechnen.
Es unterscheidet sich stark von anderen Risikoarten (finanziell, unternehmerisch), ist facettenreich und basiert auf bestimmten Erkenntnissen und Erkenntnissen. Es wird wichtig, nicht nur einer numerischen Darstellung von Schweregrad, Kritikalität, zugunsten einer beschreibenden Risikowahrnehmung zu vertrauen.

Grundsätzlich muss ich beschreiben können, was mich beunruhigt, um auf ein System zählen zu können, das meine Wahrnehmungen in Priorisierungsfaktoren umsetzt.
Beispiele für Beschreibungen:

  • Perimeter, d. h. die Fähigkeit, das System, auf dem die Schwachstelle entdeckt wird, dem Perimeter zuzuordnen, zu dem sie gehört, um die objektive Kritikalität der Ressource zu erhöhen (oder zu verringern).
  • Alter der Schwachstellen, sowohl wenn sie in der Öffentlichkeit auftauchten als auch in Ihrer digitalen Umgebung entdeckt wurden.
  • Auswirkungen auf das Geschäft: Betrachten Sie beispielsweise alle Schwachstellen, die, wenn sie kompromittiert werden, einen DDoS-Angriff, eine Infektion, die sich über Würmer verbreitet, oder sogar einen Ransomware-Ausbruch begünstigen können.
  • Wahrscheinlichkeit, dass die Bedrohung zu einem Angriff wird: zum Beispiel, wenn eine Schwachstelle bereits mit einem Exploit bewaffnet ist, vielleicht bereits Teil des Exploit-Kits, der für einen motivierten Angreifer leicht zu finden ist (auch zu mieten); Tatsächlich ist die Wahrscheinlichkeit, dass sie für einen Angriff ausgenutzt wird, sicherlich höher als bei einer unbekannten Schwachstelle oder für die die Kompromittierungstechnik noch entwickelt werden muss.
  • Eigene Angriffsfläche. Sun Tzu pflegte zu sagen: "Erkenne dich selbst und kenne deinen Feind und du wirst hundert Schlachten überleben". Wenn Sie Ihre digitale Landschaft kennen, können Sie die Abhilfe basierend auf dem Netzwerkkontext, in dem Sie arbeiten müssen, priorisieren.
  • Konzentrieren Sie sich beispielsweise auf die Behebung von Schwachstellen, die nur bei ausgeführten Kerneln oder Diensten vorhanden sind. Oder hauptsächlich auf Systemen, die dem Internet ausgesetzt sind.

Ein Beispiel dafür, wie eine Technologieplattform diese wahrnehmungsbezogene Risikobeschreibung unterstützt, wird im Folgenden basierend auf der Qualys-Lösung gezeigt:

Nachdem die Wahrnehmung der Bedrohung beschrieben wurde, ist es wichtig, einen weiteren Kontext bezüglich der Patches zu haben: sowohl die verfügbaren als auch die bereits auf den Systemen installierten Patches, um eine Obsoleszenz-Prüfung durchzuführen.

Es ist auch wichtig, die Schwachstellen aufgrund falscher Konfigurationen zu analysieren - insbesondere in Cloud-ähnlichen Umgebungen mit geteilter Verantwortung: Wenn ich einen Speicher in AWS oder Azure instanziiere und vergesse, die Liste der IPs einzuschränken, die darauf zugreifen können, riskiere ich einen sehr schwerwiegender Datenverlust; Wenn ich vergesse, die Multifaktor-Authentifizierung auf einer Instanz zu aktivieren, könnten die Folgen noch schlimmer sein.

Häufig werden die Abhilfemaßnahmen (Patching, Konfigurationsänderung, Implementierung von kompensatorischen Kontrollen) von Unternehmensteams durchgeführt, die nicht mit denen identisch sind, die für die Erkennung und Klassifizierung von Schwachstellen verantwortlich sind ... daher wird ein abteilungsübergreifender Klebstoff benötigt, der die Integration und Automatisierung erleichtert Konflikte und betriebliche Ineffizienzen vermeiden. Dies kann zur Ausnutzung von Anwendungsprogrammierschnittstellen (API) führen, die aktiviert werden können, um die Informationen jeder einzelnen Plattform / Anwendung in verschlüsselte und sichere Informationsflüsse umzuwandeln, die zu befähigenden Faktoren für abteilungsübergreifende Betriebsabläufe werden.

Das letzte Thema ist die Verfolgung des Status Quo, auch Beobachtbarkeit genannt.
Dies führt zum Studium von Formen der Aggregation von Rohdaten in Informationen, die leichter verständlich sind; sie kann dynamisch erfolgen – wie Dashboards – oder statisch – wie PDF-Berichte oder andere Formate – die helfen, den Fortschritt, erkannte Anomalien und Ineffizienzen im Prozess im Laufe der Zeit zu verfolgen.

Zum Beispiel aggregierte Schwachstellen, die in den letzten 30 Tagen gefunden wurden, von 30 bis 60, von 60 bis 90.
Ordnen Sie dann für jede Kategorie die Existenz eines Patches zu, der behoben werden soll, und heben Sie die Verfügbarkeit von Exploits für diese Schwachstellen hervor.
Machen Sie diese Informationen schließlich dynamisch und ständig aktualisiert, um jedem Interessenten ein Bild vom Status quo und der Effizienz des Sanierungsprozesses zu geben.

Eine verletzliche Oberfläche, selbst eine sehr große und gegliederte, zu beheben, ist sicherlich nicht einfach; Die ganzheitliche und effektive Gestaltung eines überwachten und priorisierten Lebenszyklus ermöglicht es jedoch, das Restrisiko auf ein akzeptables Maß zu begrenzen und eine gefährliche Umwandlung in eine Angriffsfläche zu vermeiden.

Referenzen:

[1] https://www.iso.org/standard/72140.html - IEC 31010: 2019 Risikomanagement - Risikobewertungstechniken

[2] https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final - Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz

[3] https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final - Leitfaden zur Durchführung von Risikobewertungen