Das Risiko von Schwachstellen richtig einordnen

Analyse von Angriffswegen

| Autor / Redakteur: Andreas Kietzmann* / Stephan Augsten

Eine umfassende Analyse von Angriffswegen umfasst drei Schritte, die im Einklang mit dem grundlegenden Zyklus im Schwachstellen-Management sind: entdecken/bewerten, analysieren und reagieren.

Schritt 1: Datenermittlung

Traditionellen Tools zur Analyse von Schwachstellen fehlen die erforderlichen Daten, um offene Angriffswege zu erkennen. Sie können kritische Informationen, wie etwa eine Bestandsaufnahme der installierten Software oder Patch-Daten nur erlangen, indem sie sich in die Systeme einloggen. Normalerweise betrachten Schwachstellen-Scanner externe Services, die auf einem Port gelistet sind – und übersehen damit Client- Software wie Chrome, Firefox und Internet Explorer, um nur einige zu nennen.

Traditionelle Schwachstellen-Scanner untersuchen keine Datenübermittlungen im Netzwerk, um spezielle Host-Aktivitäten zu identifizieren. Zudem untersuchen sie nicht, welche Hosts miteinander kommunizieren und über welche Ports und Protokolle sie dies tun. Doch gerade diese Informationen können überaus wichtig sein. Der Ermittlungsprozess sollte mögliche Angriffswege aufdecken, wie z.B.:

  • eine Maschine, die sich zunächst mit Facebook oder Twitter und später mit einem High-Value-Host verbindet,
  • einen internen Server, der eine ausgehende Verbindung zum Internet aufbaut,
  • einen Rechner, der sich mit einem bekannten Botnet verbindet,
  • Malware auf einem Rechner oder auch
  • falsch konfigurierte oder fehlende Anti-Virus Software.

Schritt 2: Analyse der Angriffswege

Analysen sind der Kern bei der Erkennung von Angriffswegen. Effektive Analysen kombinieren manuelle und automatisierte Techniken, um die Daten, die im vorherigen Schritt erfasst wurden, auf gängige Angriffswege zu überprüfen, z.B. Internet-Dienste, die für ihre Gefährdung bekannt sind, Browser-Clients, die eine Gefährdung sind und Server, die gefährdeten Clients vertrauen.

Zuerst empfiehlt es sich, mit einer Reihe von Asset-Listen schrittweise auf die gewünschten Resultate zu kommen. Zum Beispiel sollte sich zu Beginn diese Frage gestellt werden: „Welche Server im Unternehmensnetzwerk akzeptieren direkte Verbindungen aus dem Internet und wo befinden sich diese?“

Die Beantwortung dieser Frage erfordert eine Kombination von externem Scannen, interner Systemanalyse sowie der Überwachung des Netzwerkverkehrs auf Systeme, die externe Verbindungen erlauben. Stellen Sie dann weitere Fragen bezüglich des realen Risikos:

  • Welche internen Systeme verbinden sich mit dem Internet? (Sie können diese Frage auch verfeinern und nach speziellen Internet-Zielen wie YouTube, Facebook etc. fragen.)
  • Welche der obigen Systeme verwenden Client-Software, die leicht ausgenutzt werden kann?
  • Welche Internet Server haben Client-Applikationen mit gefährlichen Schwachstellen? (Diese Frage zielt auf viele moderne, komplexe Web-Applikationen mit externen Kommunikationsfähigkeiten ab, z.B. für den Erhalt von Content-Updates.)
  • Welche internen Systeme sind bzw. nutzen Clients, denen wichtige Server vertrauen?
  • Welche der obigen Systeme haben Sicherheitsprobleme, die einfach ausgenutzt werden können?
  • Welche der obigen Systeme sind zudem mit dem Internet verbunden?

Diese Fragen sind nur ein Ausgangspunkt. Detaillierte Analysen können nicht unterstützte oder illegale Software sowie andere Geschäftsrisiken identifizieren.

Schritt 3: Reaktion auf Angriffswege und Schadensminderung

Der letzte Schritt beschäftigt sich mit der Schließung der entdeckten Angriffswege. Verwenden Sie die Informationen aus der vorangegangenen Analyse, um Ihre Reaktionen entsprechend der zu Grunde liegenden Schwachstellen zu priorisieren.

Ohne den Kontext des Angriffsweges ist die Erkennung einer Schwachstelle für ein einzelnes System ein Low-Level-Event. Sie können die Klassifizierung verfeinern, indem Sie Faktoren wie den Wert eines zugehörigen Systems, die Schwere der Sicherheitslücke und Existenz eines entsprechenden Exploits mit in Betracht ziehen.

Die Analyse von Angriffswegen fügt einen weiteren geschäftskritischen Faktor für die Klassifizierung von Schwachstellen und die Priorisierung der Remediation-Maßnahmen hinzu: das Potenzial eines gefährdeten Systems, möglicherweise als Sprungbrett genutzt zu werden, um an hochwertige Ressourcen zu kommen.

Fazit

Die Analyse der Angriffswege kann Unternehmen helfen, den Bedrohungen durch moderne Malware und der zunehmenden Verbreitung gezielter Attacken effizienter entgegenzutreten. I Eine umfassende Datenanalyse kann alle Schwachstellen, Sicherheitsvorfälle und Compliance-Management-Aktivitäten vereinheitlichen – und nicht nur diejenigen, die mit der Erkennung und Eindämmung von Angriffswegen verbunden sind.

Überlastete Netzwerkadministratoren können unerlaubte/ unbeabsichtigte Kommunikationswege einfach identifizieren, falsch konfigurierte Boundary-Geräte erkennen und ihre Remediation- Maßnahmen bezüglich der Schwachstellen besser priorisieren.

Nicht zuletzt hilft die Angriffswege-Analyse dabei, die Notwendigkeit für zusätzliche Tools und Prozesse zu verdeutlichen, z.B. Next Generation Firewalls, die eine granulare Zugriffskontrolle bieten, Host Intrusion Prevention sowie verbesserte Lösungen zum Security Information and Event Management (SIEM).

* Andreas Kietzmann arbeitet bei Tenable Network Security.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43085661 / Schwachstellen-Management)