Cyberbedrohungen
Der geeignete Umgang mit Softwarelücken
Softwarelücken sind fraglos bedrohlich und sollten möglichst geschlossen werden. Doch wie wählt man die gefährlichsten und dringlichsten aus? Es gilt, mit einem risikobasierten Ansatz zu priorisieren und eventuelle Engpässe zu überbrücken.
Schwachstellen in der Software nehmen stetig zu. 2024 könnte bereits die historische Marke von 40.000 Schwachstellen/Jahr erreicht werden. Das ist nicht nur quantitativ ein Meilenstein, auch steht bereits fest, dass die prozentuale Zunahme der gefundenen Softwarelücken deutlich über das hinausgeht, was wir in den vergangenen Jahren beobachtet haben. Nicht alle Schwachstellen sind aus IT-Sicherheitssicht relevant, sondern eigentlich nur solche, die auch von Angreifern verwendet werden. Da kommen pro Jahr etwa 130 bis 150 neue zusammen. Die Schwierigkeit dabei, zum Zeitpunkt der Veröffentlichung einer Lücke weiß man meistens noch nicht, ob sie von Angreifern ausgenutzt wird, und wenn ja, wann dies der Fall sein wird (die Ausnahmen dazu nennt man Zero Days).
CVSS -- Bewertung nach Kritikalität
Die Schwachstellen werden deshalb nach Kritikalität bewertet und im CVSS (Common Vulnerability Scoring System) auf einer Skala von 0 (niedrig) und 10 (kritisch) „benotet“. Bei dieser vom betroffenen Hersteller vorgenommenen Einschätzung, die sich im Laufe der Zeit anpassen kann, werden verschiedene Kriterien berücksichtigt. Dazu gehört beispielsweise, wie einfach es ist, sie auszunutzen, und was ein Angreifer dadurch erreichen kann.
Am kritischsten sind dabei Lücken, die ohne fundierte technische Kenntnisse und ohne menschliche Interaktion Zugriff auf wichtige Computersysteme mit dem Ziel der Ausführung von Schadcode (so genanntes Remote Code Execution, RCE) erlauben. Diese Sicherheitslücken kommen verhältnismäßig selten vor und stehen dann praktisch in allen Nachrichten. Ein solcher Fall war die berüchtigte Log4Shell-Sicherheitslücke. Innerhalb von 24 Stunden nach ihrem Bekanntwerden, registrierte die Security-Branche bereits millionenfache Angriffe auf Unternehmen.
Alarm bei RCE-Lücken
RCE Lücken, auch schwer zu missbrauchende, werden daher allgemein und zu Recht gefürchtet. Sie erhalten in der Regel einen CVSS von 8 oder höher. Dies hat vor allem zwei Konsequenzen: Zum einen schreiben unternehmenseigene Sicherheitsrichtlinien häufig vor, Lücken ab CVSS 8 schnellstmöglich zu patchen, mitunter auch in Notfall-Patch-Prozessen. Das kann für die betroffenen Teams Nacht- oder Wochenendarbeit bedeuten. Zum zweiten gibt es gerade für RCE–Schwachstellen sehr oft vernünftige alternative Optionen aus dem Bereich Intrusion Prevention (IPS). Trend Micro bietet hier beispielsweise die Option des „Virtual Patching“. Diese Alternativen sind als Notfallmaßnahmen dafür gedacht, so schnell wie möglich einen Schutz zu liefern, ohne die Konfiguration und damit die Funktionsweise betroffener Systeme zu beeinträchtigen.
Grundsätzlich ist es also richtig, Lücken ab CVSS 8 zu schließen, denn natürlich nutzen Cyberangreifer RCE-Lücken aus, wenn sie diese finden können. Aber dieses Geschäftsmodell wäre in hohem Maße abhängig vom Zufall und der Unfähigkeit der Opfer, schneller Sicherheitslösungen zu implementieren, als es den Angreifern gelingt, entsprechende Exploits zu erstellen. Die „normalen“ Cyberkriminellen verlassen sich nicht darauf, dass ihnen dieses Glück in den Schoß fällt. Sie nutzen wenn möglich RCEs, verwenden aber Sicherheitslücken größtenteils, nachdem sie in ein Unternehmen eingedrungen sind und es nun darum geht, sich lateral weiterzubewegen.
Hier sind verschiedene Kategorien interessant. Unternehmen patchen RCE-Lücken so schnell wie möglich nach außen gerichtet. Im Innenverhältnis sind diese Schwachstellen dagegen oft sträflich vernachlässigt. Cyberangreifer nutzen diese dann um sich intern auszubreiten. Dazu braucht man allerdings sehr oft Privilegien, die einfache Nutzer nicht haben. Beliebt sind deshalb „Elevation/Escalation of Privilege“ (EoP)-Schwachstellen. Sie erlauben es dem Angreifer Zugriffe zu erlangen. Das ultimative Ziel sind administrative Berechtigungen, mit denen dann das Netzwerk kontrolliert werden kann.
EoP-Schwachstellen werden selten als kritisch eingeschätzt und zumeist mit CVSS 5 – 7.9 als wichtig (important) eingestuft. Der Hauptgrund ist, dass ein Angreifer sie nicht von außerhalb ansteuern kann, sondern immer eine Person innerhalb eines Unternehmens eine Aktion durchführen muss. Auch hier ist die Einstufung völlig korrekt, doch bedeutet sie häufig, dass viele Unternehmen diese Lücken, wenn überhaupt, erst mit einem Regel-Patchzyklus schließen. Cyberangreifer haben eine gute Chance, dass sie auch Monate und Jahre nach Bekanntwerden noch ausnutzbar sind. Entsprechende Exploits sind zudem oft kostenlos verfügbar.
Konsequenz
2023 wurden laut CVEdetails.com von 29.066 insgesamt registrierten Schwachstellen (CVE) knapp 9.400 mit einem CVSS 8 oder höher registriert. Im selben Zeitraum nutzten Angreifer 150 CVEs neu aus, davon etwas weniger als die Hälfte (70) solche mit einem CVSS Score von 7.9 oder niedriger. Fokussieren sich Unternehmen auf Lücken mit hohem CVSS ab 8, werden somit nur etwas mehr als die Hälfte derjenigen geschlossen, die Cyberangreifer tatsächlich ausnutzen.
Darüber hinaus besteht eine hohe Wahrscheinlichkeit, dass Ressourcen für Lücken gebunden werden, die Täter gar nicht verwenden. Dies hat oft zur Folge, dass auch brandgefährliche Schwachstellen wie Log4Shell „nur“ nach außen geschlossen werden, um die Gefährdung einer „Remote Code Execution“ auszuschließen. Für die Schließung nach innen fehlt die Zeit – die braucht man für die nächste nach außen offene Schwachstelle. Mit zunehmenden Einsatz von Software in Unternehmen verschärft sich die Situation entsprechend. Umdenken ist gefordert!
Risiko- und Patch-Management
Das eigentliche Kriterium für das Schließen einer Lücke ist die tatsächliche oder wahrscheinliche Ausnutzung (EPSS – Exploit Prediction Scoring System) durch Kriminelle sowie das Risiko, das dadurch zu erwarten ist. Diese Einschätzung kann allerdings nur durch Security-Experten und den betroffenen Kunden erfolgen. Bei ausgenutzten Lücken ist dies verhältnismäßig einfach. Die Sicherheitsexperten betrachten die Vorgehensweise der Angreifer und können das daraus resultierende Risiko verrechnen mit der Exponiertheit des betroffenen Systems und seiner Kritikalität. Daraus lassen sich das Risiko sowie mögliche Minderungsmaßnahmen ermitteln.
Bei noch nicht ausgenutzten Schwachstellen besteht die Herausforderung, dass das bestehende Risiko infolge der Lücken mittels EPSS nur tendenziell festzustellen ist. Auch hier erfolgt eine Bewertung, die ebenfalls die Kritikalität des betroffenen Systems mit einbezieht. Ob und wie Sicherheitslücken von Kriminellen verwendet werden, kann sich jederzeit ändern. Die Überwachung sowie der Informationsaustausch dazu sind industrieweit gesteuert. Das individuelle Risiko für Kunden kann sich natürlich auch jederzeit ändern. Auch dies ist bei der Berechnung von Minderungsmaßnahmen zu berücksichtigen.
Trend Micros Ansatz für Patch-Management
Mit der gegenwärtigen Flut an Sicherheitslücken, die alle auch noch verschieden relevant für ein Unternehmen sind, gilt es, vernünftig zu priorisieren und Engpässe mit Minderungsmaßnahmen zu überbrücken. Dies ist das Ziel unserer Technologie. Mittels so genanntem Attack Surface Risk Management erstellen wir eine Risikoübersicht, bei der Sicherheitslücken aber auch andere Security-Metriken darstellen, an welchen Stellen ein Unternehmen besonders gefährdet ist und welche Maßnahmen die Gefährdung reduzieren können.
Die Technologie ist eng verzahnt mit Extended Detection & Response oder, wie es der Gesetzgeber ausdrückt, dem Werkzeug zur Angriffserkennung. So lässt sich auch feststellen, ob nur eine theoretische Gefährdung existiert, oder ob bereits Anzeichen einer solchen festzustellen sind. Für die besonders gefährlichen RCE-Schwachstellen bieten wir „Virtual Patching“ an. Die Technologie kann entweder host- oder netzwerkbasiert eingerichtet werden und schirmt die dahinterstehende Umgebung gegen Angriffe auf diese Schwachstellen ab. Trend Micro betreibt zudem mit der Zero Day Initiative das weltweit größte herstellerunabhängige Bug Bounty Programm mit dem Ziel, Schwachstellen nicht nur zu schließen, sondern auch vor Cyberkriminellen zu finden, um eine Gefährdung möglichst einzudämmen.
Der Mehrwert für Kunden besteht darin, dass die Aufwände für Patch-Management deutlich besser gesteuert werden können und sie sich auf die größten Herausforderungen zuerst konzentrieren können. Minderungsmaßnahmen wie virtuelles Patchen reduzieren den Aufwand vor allem im Bereich des Patchens im Notfall drastisch. Durch die Technologie wird sowohl die Sicherheit des Unternehmens gesteigert als auch unnötige Ressourceneinsätze reduziert. Gleichzeitig können Ergebnisse sowie Risikoeinschätzungen faktenbasiert dem Unternehmensmanagement vorgestellt werden, damit diese beispielsweise ihrer NIS 2 basierten Pflicht zur Entscheidung über das Cybersecurity Risiko Management nachkommen können. Nähere Informationen finden Sie hier: https://www.trendmicro.com/de_de/business/products/detection-response/attack-surface-management.html