Das Risiko von Schwachstellen richtig einordnen

Analyse von Angriffswegen

| Autor / Redakteur: Andreas Kietzmann* / Stephan Augsten

Attack Path Analytics erlauben Rückschlüsse darauf, über welche Wege Gefahren am ehesten ins Firmennetz vordringen könnten.
Attack Path Analytics erlauben Rückschlüsse darauf, über welche Wege Gefahren am ehesten ins Firmennetz vordringen könnten. (Bild: Archiv)

Sicherheitsrelevante Informationen liefert die IT zuhauf. Die Herausforderung besteht darin, diese Daten zu durchsuchen, die größten Risiken zu identifizieren und die dringendsten korrigierenden Maßnahmen zu definieren. Als risikoorientierter Ansatz empfiehlt sich die Analyse der Angriffswege, auch Attack Path Analytics.

Die meisten Risikobewertungen kombinieren großflächige Schwachstellen-Scans mit detaillierten Konfigurations-Audits geschäftskritischer Geräte. Attack Path Analytics filtern diese Daten zusätzlich mit Informationen über Host-Rollen, Aktivitäten und Vertrauensbeziehungen zu anderen Systemen. Auf diese Weise lassen sich die Pfade identifizieren, über die Malware und Angreifer Zugriff auf wertvolle Daten und Ressourcen erlangen können.

Angreifer starten normalerweise damit, einen mit dem Internet verbundenen Rechner mit schwachem Schutzniveau zu kompromittieren. Ist dies gelungen, verwenden sie diesen, um Vertrauensbeziehungen auszunutzen. Sie kompromittieren andere, geschäftskritischere Systeme, bis sie die sensiblen Daten gefunden haben, nach denen sie suchen. Ein System ist nur so sicher wie die Systeme, denen es vertraut.

Vulnerability Scanner identifizieren einzelne Schwachstellen, die Angreifer nutzen, um sich Zugriff auf interne, sensible Ressourcen zu verschaffen. Jedoch können sie vertrauensvolle Beziehungen generell nicht identifizieren. Da Scanner diesen essentiellen Kontext nicht zu den Schwachstelleninformationen hinzufügen, können sie das tatsächliche Risiko einer Schwachstelle nicht präzise darstellen. Das Problem hat zwei Seiten

Zum Einen haben Schwachstellen-Scanner normalerweise keinen Zugriff auf die richtigen Daten. Obwohl sie einzelne Schwachstellen identifizieren können, fehlt es ihnen an einem grundlegenden Einblick in Host-Aktivitäten wie die Bereitstellung oder Nutzung von Inhalten im Internet sowie Vertrauensverhältnisse und Kommunikationswege zwischen verschiedenen Hosts.

Zweitens verfügen nur wenige dieser Tools über die Mittel, die vorhandenen Daten adäquat zu analysieren. Ihnen fehlen flexible und effiziente Filtermöglichkeiten, die Unterstützung dynamischer Asset-Listen, robuste Datenvisualisierung und die Fähigkeit, über das gesamte Spektrum von Security-Events zu korrelieren.

Ohne diese analytischen Fähigkeiten ist es unmöglich, alle Bestandteile eines Angriffs wie ein Puzzle zusammenzufügen. Das Resultat ist eine fehlerhafte Auswertung der Risiken, falsche Prioritäten bei Schadensminderung und -Behebung und eine größere Bedrohung durch Malware, Gelegenheits- und gezielte Angriffe.

Potenzielle Reizüberflutung

Um diese Mängel zu überwinden, verwenden die meisten Unternehmen zusätzliche, eigenständige Tools zur Analyse von Angriffswegen und für Penetrationstests. Dieser Ansatz hat jedoch Grenzen. Solche Analyse-Tools verlassen sich auf das so genannte Modeling, welches ungenauer ist als Penetrationstests.

Die Tools nehmen üblicherweise die Konfiguration wichtiger Infrastrukturkomponenten – wie Router, Switches oder Firewalls – einer Organisation zu einem bestimmten Zeitpunkt als Grundlage. Sie überlagern diese mit den Schwachstellendaten dieses Zeitpunkts und ermöglichen eine manuelle und/oder automatisierte Analyse des entstehenden Netzwerkmodells, um mögliche Angriffswege offenzulegen.

Auf der anderen Seite skalieren Penetrationstests nicht gut. Es ist in der Regel nicht praktikabel (oder möglich), jede mögliche Kombination von Angriffswegen zu testen. Ein anderes Problem des multiplen Tool-Ansatzes ist die Herausforderung, die Tools in ein zusammenhängendes Programm zum Risikomanagement zu integrieren.

Jedes einzelne Tool produziert eine große Anzahl potenziell nützlicher Daten. Aber es braucht menschliche Intelligenz, um die aus diesen Datenerhebungen basierenden Bedrohungen zu identifizieren und zu priorisieren. Selbst wenn die kritischen Systeme alle auf vollständig gepatchten Servern laufen, die durch Firewalls und andere Sicherheitslösungen geschützt sind, können sie immer noch anfällig für Malware oder gezielte Angriffe über verbundene Systeme sein.

Systemadministratoren nutzen beispielsweise oft ihre eigenen Desktop-Systeme, um auf wichtige Server zuzugreifen. Sie neigen auch dazu, die gleichen Desktop-Systeme beim normalen Surfen im Internet oder für andere Aktivitäten, die zu einer Malware-Infektion führen können, zu verwenden. Das Desktop-System des Administrators wird so zur Startrampe für einen Angriff auf kritische Server. Wenn Sie nur auf Schwachstellendaten und Konfigurationsprobleme der kritischen Server achten, übersehen Sie Gefahren wie diese, die verheerende Auswirkungen haben können.

Attack Path Analytics vereinen Echtzeitdaten von Schwachstellen, Ereignissen und Compliance Monitoring für Administratoren, Auditoren und Risikomanager. Sie helfen diesen bei der Bewertung, Kommunikation und Weitergabe der Informationen, die für effektive Entscheidungen und das System-Management notwendig sind.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43085661 / Schwachstellen-Management)