Cyberbedrohungen
Der immer aktuelle IT Security Evergreen
Verweise auf die Bedeutung des Patch-Prozesses sowie Vulnerability Scanning & Co. kommen in schöner Regelmäßigkeit wieder – eben ein Security Evergreen. Dennoch ist ein „echter“ Prozess in den meisten Unternehmen nicht vorhanden. Gründe und Abhilfe
Save to Folio
Die zur Five Eyes Allianz gehörenden Länder (Australien, Canada, Neu Zeeland, das Vereinigte Königreich und die Vereinigten Staaten) haben in einem gemeinsamen Positionspapier wieder das Thema Schwachstellen und Patching zur Sprache gebracht. Das Ergebnis ist der ewig junge IT-Security Evergreen: Die am meisten von Cyberkriminellen verwendeten Sicherheitslücken sind älterer Bauart. Routinemäßig wird auch auf den Patch-Prozess sowie Vulnerability Scanning & Co. verwiesen. Und natürlich sollte nicht vergessen werden, veraltete Systeme auszutauschen, denn für die gibt es kein Update mehr.
Es ist jedes Jahr dieselbe Geschichte, die vermutlich jeder damit betraute Profi kennt. Sie fehlt in keinem Compliance Update und natürlich auch in keiner IT-Gesetzesvorlage: So gibt es seit kurzem die EU-Direktive für die Sicherheit von Netzwerk- und Informationssystemen (NIS 2), die dann bis Oktober 2024 ins deutsche Gesetz übernommen wird – das NIS2 Umsetzungs- und Cybersicherheits-Stärkungsgesetz.
Trotzdem funktionieren die entsprechenden Prozesse immer noch nicht reibungslos, und Kriminelle sind mit Angriffen über diese Schwachstellen erfolgreich.
Warum?
Wieso ist eine so bekannte Problematik immer noch nicht gelöst? Warum ist es wieder ein Thema welche Komplikation sich durch Microsofts Abkündigung des Windows 2012 Betriebssystems im Oktober dieses Jahres ergeben? Die Herausforderungen sind immer die gleichen, und rein statistisch gesehen gibt es eine 86%ige Chance, dass es in Ihrem Unternehmen auch das eine oder andere dieser Probleme gibt.
Nicht nur Microsoft, sondern auch …
Die Antwort jedes Unternehmens auf die Frage nach der Existenz eines Patch-Prozesses ist immer: Ja! Natürlich, denn er ist gesetzlich und auch aus Compliance Gesichtspunkten vorgeschrieben. Hinterfragt man diese Aussage, wird schnell klar, dass sich dieser Patch-Prozess meist ausschließlich auf den Hersteller Microsoft bezieht. Schon bei anderen Betriebssystemen wird es schwierig, und dafür bedarf es häufig der Spezialisten. Bei Applikationen sieht es noch düsterer aus. Hier ist oft nicht klar, was überhaupt im Einsatz ist. Und selbst wenn dies bekannt ist, besonders bei kritischen Applikationen ist ein echter Prozess oft schwierig umzusetzen, da das Fachwissen teuer eingekauft werden muss.
Microsoft zu patchen ist auch grundsätzlich ein absolutes „Muss“. Bedingt durch seinen Quasi-Monopol Charakter ist der Hersteller traditionell im Fokus von Kriminellen. Vor allem Massenangriffe können wirksam durch entsprechende Prozesse gestoppt werden. Eine Größenordnung für die Einschätzung: In der ersten Hälfte dieses Jahres hat die ZDI bereits mehr als 1000 Hinweise („Advisories“) auf einzelne Schwachstellen in IT-Produkten veröffentlicht. Darüber hinaus sind aktuell - kaufmännisch gerundet - 1000 Sicherheitslücken bekannt, die aktiv von Kriminellen ausgenutzt werden. Microsoft sind dabei 286 (Stand 16.08.2023) zugeordnet. Wenn ein Patch-Prozess nur Windows & Co. betrachtet, dann hat er nur knapp 30% des Problems abgedeckt.
Aktualisieren würden wir gerne, aber…
Die Komplexität von Software und Infrastruktur und die Angriffe darauf haben zugenommen. Hersteller sind deshalb oft gezwungen, schnell zu patchen, vor allem, wenn schon Angriffe bekannt werden (Zero Days). Geht man von einem normalen Patchzyklus von ca. 90 Tagen aus, (mit Qualitätssicherung) ist der Druck deutlich größer, wenn ein Angriff schon unterwegs ist. Gleichzeitig kennt man dadurch auch die vermeintliche Vorgehensweise der Täter und kann gezielter „patchen“. Das Problem dabei ist, dass die Qualität der Updates darunter leidet. Ein Patch deckt oft nicht alle Verwundbarkeiten ab und muss ständig nachgebessert werden.
Auf der anderen Seite bedeutet eine verkürzte Qualitätssicherung auch, dass Kompatibilität sogar mit Standardsoftware nicht garantiert ist. Kunden erleben dadurch eine Flut an Patches und zu allem Überfluss laufen diese dann nicht immer problemlos. Die Frage, was zu tun ist, wenn ein Patch hakt, ist formaljuristisch etwas für das Risikomanagement des Unternehmens aber in der Realität entscheidet die IT-Abteilung. Und sie entscheidet meist gegen die Installation und für den Regelbetrieb, der ansonsten unterbrochen werden müsste.
Gefährlichkeit von Schwachstellen
Für Unternehmen bedeutet dies, dass immer mehr, immer schlechtere Patches auf immer komplexere Umgebungen „losgelassen“ werden. Kein Wunder also, dass es Probleme gibt! Auch das eigentlich hilfreiche „Common Vulnerability Scoring System“ (kurz CVSS) hat ein riesiges Problem. Es kalkuliert die Gefährlichkeit für ein bestimmtes Unternehmen nicht mit ein – wie sollte es auch? Natürlich ist eine Remote Code Execution (RCE)-Schwachstelle per Definition kritischer als eine Elevation of Privilege (EoP). Die eine wird dazu verwendet, von außen anzugreifen, während die andere nur dann relevant ist, wenn der Angreifer bereits Zugang zum System hat.
Nur, Kriminelle sind darauf spezialisiert, sich den Zugang zu Unternehmen zu verschaffen. Dazu reicht eine klassische Phishing Mail. Ist man dann im System drin, entscheidet häufig das Vorhandensein von EoP-Schwachstellen über den Erfolg oder das Scheitern. Aber auch RCEs, die nur gegen Ausnutzung von außen geblockt wurden, nutzen Angreifer gern. Unternehmen, die in Zeitnot oder unter Verfügbarkeitsdruck stehen, müssen sich oft entscheiden, welche Schwachstellen sie priorisieren. Natürlich geht das zu Lasten der deutlich ungefährlicher eingestuften EoPs, so dass die zugehörigen Lücken im Regelfall in Unternehmen weiter existieren. Das wissen auch die Kriminellen. Diese suchen ganz gezielt diese Schwachstellen, die ihnen höhere Privilegien ermöglichen bis, ja bis sie auf der Domain-Admin Ebene angekommen sind.
Was ist zu tun
Auch hier wieder der Security Evergreen: Patchen Sie, ersetzen Sie veraltete Software, etc. Das gehört zur Security Best Practice, daran gibt es nichts zu ändern. Aber was lässt sich außerdem tun?
Da wäre zum einen die Priorisierung von Aufgaben. Die Gefährlichkeit von Sicherheitslücken ändert sich im Laufe der Zeit. Möglicherweise wird eine zunächst als nicht kritisch eingestufte Lücke durch neue Entwicklungen brandgefährlich. Andererseits häufen sich auch die Vorfälle um Schwachstellen in Anwendersoftware (z.B. MoveIT) oder sogar in Unterapplikationen (Log4Shell). Konsequenterweise ist der Überblick über die vorhandenen Lücken wichtig.
Das BSI wirbt dabei für die Einführung von so genannten „Software Bill of Materials“ kurz SBOM. Aber wer schon einmal die SBOM einer größeren Applikation betrachtet hat, versteht vermutlich sehr gut, warum auch dies das grundlegende Problem nicht löst. Dieses besteht darin, herauszufinden welche Lücken innerhalb der verfügbaren Arbeitszeit geschlossen werden können und welche davon die wichtigsten sind. Hierfür braucht es zunächst eine Priorisierung von Aufgaben. Diese kann anhand von Risikoeinschätzungen (Eintrittswahrscheinlichkeit und Schadenspotenzial) vorgenommen werden.
Detection & Response
Aber auch die Lücken, die erst einmal nicht gestopft werden können, müssen unter Beobachtung bleiben. Nicht jede Spezialsoftware, nicht jedes Softwarepaket kann gepatcht werden, und nicht jedes kritische System verträgt Updates problemlos. Für diese Fälle bedarf es einer engmaschigen Überwachung und zeitnaher Reaktionsmöglichkeiten für den Fall, dass sich der Zustand ändert oder Gefahr im Verzug ist. Ein nicht gepatchtes kritisches System mit einer Zugriffsanomalie ist eine größere Bedrohung und muss genauer analysiert werden als die neueste Phishing Mail, die nicht im Spam-Filter hängen geblieben ist. Unter dem sperrigen Begriff „Systeme zur Angriffserkennung“ versteckt der Gesetzgeber, was in der Branche schlicht und ergreifend Detection & Response heißt. Wenn diese umfassend sein soll, spricht man auch von „eXtended Detection & Response“ – XDR.
Wie unterstützt Trend Micro
Trend Micro bietet mit „virtuellem Patching“ eine leichter verträgliche Alternative zur Installation vieler Fixes, denn es gibt viele Industriekunden, die beispielsweise veraltete Systeme verwenden. Wir kennen die Probleme und wissen, dass sie nicht durch gute Ratschläge abgestellt werden können. Unsere neueste Lösung unterstützt deshalb die oben angesprochene Risikoanalyse, die Einschätzung und Priorisierung von Aufgaben sowie die engmaschige Überwachung noch offener Lücken. Hierfür haben wir Lösungen, die auf Endpoints arbeiten aber eben auch solche, die das im Netzwerk tun, für den Fall, dass Endpunkte nicht verändert werden können oder dürfen. Und wir bieten vor allem eine einzige Plattform, auf der all diese Tasks von zentraler Stelle aus verwaltet werden können – Trend Vision One.