Das Risiko von Schwachstellen richtig einordnen Analyse von Angriffswegen

Autor / Redakteur: Andreas Kietzmann* / Stephan Augsten

Sicherheitsrelevante Informationen liefert die IT zuhauf. Die Herausforderung besteht darin, diese Daten zu durchsuchen, die größten Risiken zu identifizieren und die dringendsten korrigierenden Maßnahmen zu definieren. Als risikoorientierter Ansatz empfiehlt sich die Analyse der Angriffswege, auch Attack Path Analytics.

Firmen zum Thema

Attack Path Analytics erlauben Rückschlüsse darauf, über welche Wege Gefahren am ehesten ins Firmennetz vordringen könnten.
Attack Path Analytics erlauben Rückschlüsse darauf, über welche Wege Gefahren am ehesten ins Firmennetz vordringen könnten.
(Bild: Archiv)

Die meisten Risikobewertungen kombinieren großflächige Schwachstellen-Scans mit detaillierten Konfigurations-Audits geschäftskritischer Geräte. Attack Path Analytics filtern diese Daten zusätzlich mit Informationen über Host-Rollen, Aktivitäten und Vertrauensbeziehungen zu anderen Systemen. Auf diese Weise lassen sich die Pfade identifizieren, über die Malware und Angreifer Zugriff auf wertvolle Daten und Ressourcen erlangen können.

Angreifer starten normalerweise damit, einen mit dem Internet verbundenen Rechner mit schwachem Schutzniveau zu kompromittieren. Ist dies gelungen, verwenden sie diesen, um Vertrauensbeziehungen auszunutzen. Sie kompromittieren andere, geschäftskritischere Systeme, bis sie die sensiblen Daten gefunden haben, nach denen sie suchen. Ein System ist nur so sicher wie die Systeme, denen es vertraut.

Vulnerability Scanner identifizieren einzelne Schwachstellen, die Angreifer nutzen, um sich Zugriff auf interne, sensible Ressourcen zu verschaffen. Jedoch können sie vertrauensvolle Beziehungen generell nicht identifizieren. Da Scanner diesen essentiellen Kontext nicht zu den Schwachstelleninformationen hinzufügen, können sie das tatsächliche Risiko einer Schwachstelle nicht präzise darstellen. Das Problem hat zwei Seiten

Zum Einen haben Schwachstellen-Scanner normalerweise keinen Zugriff auf die richtigen Daten. Obwohl sie einzelne Schwachstellen identifizieren können, fehlt es ihnen an einem grundlegenden Einblick in Host-Aktivitäten wie die Bereitstellung oder Nutzung von Inhalten im Internet sowie Vertrauensverhältnisse und Kommunikationswege zwischen verschiedenen Hosts.

Zweitens verfügen nur wenige dieser Tools über die Mittel, die vorhandenen Daten adäquat zu analysieren. Ihnen fehlen flexible und effiziente Filtermöglichkeiten, die Unterstützung dynamischer Asset-Listen, robuste Datenvisualisierung und die Fähigkeit, über das gesamte Spektrum von Security-Events zu korrelieren.

Ohne diese analytischen Fähigkeiten ist es unmöglich, alle Bestandteile eines Angriffs wie ein Puzzle zusammenzufügen. Das Resultat ist eine fehlerhafte Auswertung der Risiken, falsche Prioritäten bei Schadensminderung und -Behebung und eine größere Bedrohung durch Malware, Gelegenheits- und gezielte Angriffe.

Potenzielle Reizüberflutung

Um diese Mängel zu überwinden, verwenden die meisten Unternehmen zusätzliche, eigenständige Tools zur Analyse von Angriffswegen und für Penetrationstests. Dieser Ansatz hat jedoch Grenzen. Solche Analyse-Tools verlassen sich auf das so genannte Modeling, welches ungenauer ist als Penetrationstests.

Die Tools nehmen üblicherweise die Konfiguration wichtiger Infrastrukturkomponenten – wie Router, Switches oder Firewalls – einer Organisation zu einem bestimmten Zeitpunkt als Grundlage. Sie überlagern diese mit den Schwachstellendaten dieses Zeitpunkts und ermöglichen eine manuelle und/oder automatisierte Analyse des entstehenden Netzwerkmodells, um mögliche Angriffswege offenzulegen.

Auf der anderen Seite skalieren Penetrationstests nicht gut. Es ist in der Regel nicht praktikabel (oder möglich), jede mögliche Kombination von Angriffswegen zu testen. Ein anderes Problem des multiplen Tool-Ansatzes ist die Herausforderung, die Tools in ein zusammenhängendes Programm zum Risikomanagement zu integrieren.

Jedes einzelne Tool produziert eine große Anzahl potenziell nützlicher Daten. Aber es braucht menschliche Intelligenz, um die aus diesen Datenerhebungen basierenden Bedrohungen zu identifizieren und zu priorisieren. Selbst wenn die kritischen Systeme alle auf vollständig gepatchten Servern laufen, die durch Firewalls und andere Sicherheitslösungen geschützt sind, können sie immer noch anfällig für Malware oder gezielte Angriffe über verbundene Systeme sein.

Systemadministratoren nutzen beispielsweise oft ihre eigenen Desktop-Systeme, um auf wichtige Server zuzugreifen. Sie neigen auch dazu, die gleichen Desktop-Systeme beim normalen Surfen im Internet oder für andere Aktivitäten, die zu einer Malware-Infektion führen können, zu verwenden. Das Desktop-System des Administrators wird so zur Startrampe für einen Angriff auf kritische Server. Wenn Sie nur auf Schwachstellendaten und Konfigurationsprobleme der kritischen Server achten, übersehen Sie Gefahren wie diese, die verheerende Auswirkungen haben können.

Attack Path Analytics vereinen Echtzeitdaten von Schwachstellen, Ereignissen und Compliance Monitoring für Administratoren, Auditoren und Risikomanager. Sie helfen diesen bei der Bewertung, Kommunikation und Weitergabe der Informationen, die für effektive Entscheidungen und das System-Management notwendig sind.

Eine umfassende Analyse von Angriffswegen umfasst drei Schritte, die im Einklang mit dem grundlegenden Zyklus im Schwachstellen-Management sind: entdecken/bewerten, analysieren und reagieren.

Schritt 1: Datenermittlung

Traditionellen Tools zur Analyse von Schwachstellen fehlen die erforderlichen Daten, um offene Angriffswege zu erkennen. Sie können kritische Informationen, wie etwa eine Bestandsaufnahme der installierten Software oder Patch-Daten nur erlangen, indem sie sich in die Systeme einloggen. Normalerweise betrachten Schwachstellen-Scanner externe Services, die auf einem Port gelistet sind – und übersehen damit Client- Software wie Chrome, Firefox und Internet Explorer, um nur einige zu nennen.

Traditionelle Schwachstellen-Scanner untersuchen keine Datenübermittlungen im Netzwerk, um spezielle Host-Aktivitäten zu identifizieren. Zudem untersuchen sie nicht, welche Hosts miteinander kommunizieren und über welche Ports und Protokolle sie dies tun. Doch gerade diese Informationen können überaus wichtig sein. Der Ermittlungsprozess sollte mögliche Angriffswege aufdecken, wie z.B.:

  • eine Maschine, die sich zunächst mit Facebook oder Twitter und später mit einem High-Value-Host verbindet,
  • einen internen Server, der eine ausgehende Verbindung zum Internet aufbaut,
  • einen Rechner, der sich mit einem bekannten Botnet verbindet,
  • Malware auf einem Rechner oder auch
  • falsch konfigurierte oder fehlende Anti-Virus Software.

Schritt 2: Analyse der Angriffswege

Analysen sind der Kern bei der Erkennung von Angriffswegen. Effektive Analysen kombinieren manuelle und automatisierte Techniken, um die Daten, die im vorherigen Schritt erfasst wurden, auf gängige Angriffswege zu überprüfen, z.B. Internet-Dienste, die für ihre Gefährdung bekannt sind, Browser-Clients, die eine Gefährdung sind und Server, die gefährdeten Clients vertrauen.

Zuerst empfiehlt es sich, mit einer Reihe von Asset-Listen schrittweise auf die gewünschten Resultate zu kommen. Zum Beispiel sollte sich zu Beginn diese Frage gestellt werden: „Welche Server im Unternehmensnetzwerk akzeptieren direkte Verbindungen aus dem Internet und wo befinden sich diese?“

Die Beantwortung dieser Frage erfordert eine Kombination von externem Scannen, interner Systemanalyse sowie der Überwachung des Netzwerkverkehrs auf Systeme, die externe Verbindungen erlauben. Stellen Sie dann weitere Fragen bezüglich des realen Risikos:

  • Welche internen Systeme verbinden sich mit dem Internet? (Sie können diese Frage auch verfeinern und nach speziellen Internet-Zielen wie YouTube, Facebook etc. fragen.)
  • Welche der obigen Systeme verwenden Client-Software, die leicht ausgenutzt werden kann?
  • Welche Internet Server haben Client-Applikationen mit gefährlichen Schwachstellen? (Diese Frage zielt auf viele moderne, komplexe Web-Applikationen mit externen Kommunikationsfähigkeiten ab, z.B. für den Erhalt von Content-Updates.)
  • Welche internen Systeme sind bzw. nutzen Clients, denen wichtige Server vertrauen?
  • Welche der obigen Systeme haben Sicherheitsprobleme, die einfach ausgenutzt werden können?
  • Welche der obigen Systeme sind zudem mit dem Internet verbunden?

Diese Fragen sind nur ein Ausgangspunkt. Detaillierte Analysen können nicht unterstützte oder illegale Software sowie andere Geschäftsrisiken identifizieren.

Schritt 3: Reaktion auf Angriffswege und Schadensminderung

Der letzte Schritt beschäftigt sich mit der Schließung der entdeckten Angriffswege. Verwenden Sie die Informationen aus der vorangegangenen Analyse, um Ihre Reaktionen entsprechend der zu Grunde liegenden Schwachstellen zu priorisieren.

Ohne den Kontext des Angriffsweges ist die Erkennung einer Schwachstelle für ein einzelnes System ein Low-Level-Event. Sie können die Klassifizierung verfeinern, indem Sie Faktoren wie den Wert eines zugehörigen Systems, die Schwere der Sicherheitslücke und Existenz eines entsprechenden Exploits mit in Betracht ziehen.

Die Analyse von Angriffswegen fügt einen weiteren geschäftskritischen Faktor für die Klassifizierung von Schwachstellen und die Priorisierung der Remediation-Maßnahmen hinzu: das Potenzial eines gefährdeten Systems, möglicherweise als Sprungbrett genutzt zu werden, um an hochwertige Ressourcen zu kommen.

Fazit

Die Analyse der Angriffswege kann Unternehmen helfen, den Bedrohungen durch moderne Malware und der zunehmenden Verbreitung gezielter Attacken effizienter entgegenzutreten. I Eine umfassende Datenanalyse kann alle Schwachstellen, Sicherheitsvorfälle und Compliance-Management-Aktivitäten vereinheitlichen – und nicht nur diejenigen, die mit der Erkennung und Eindämmung von Angriffswegen verbunden sind.

Überlastete Netzwerkadministratoren können unerlaubte/ unbeabsichtigte Kommunikationswege einfach identifizieren, falsch konfigurierte Boundary-Geräte erkennen und ihre Remediation- Maßnahmen bezüglich der Schwachstellen besser priorisieren.

Nicht zuletzt hilft die Angriffswege-Analyse dabei, die Notwendigkeit für zusätzliche Tools und Prozesse zu verdeutlichen, z.B. Next Generation Firewalls, die eine granulare Zugriffskontrolle bieten, Host Intrusion Prevention sowie verbesserte Lösungen zum Security Information and Event Management (SIEM).

* Andreas Kietzmann arbeitet bei Tenable Network Security.

(ID:43085661)