Schwachstellen-Management
Wenn das Management von Netzwerk-Schwachstellen überfordert ist
Zu viele Schwachstellen – zu wenig Zeit
Die Angriffsfläche für Cyber-Angriffe wächst bei den Unternehmen kontinuierlich an. Schuld daran ist die rasante und variantenreiche Zunahme der Bedrohungslandschaft. Trotz des Einsatzes von Schwachstellenmanagement-Lösungen stoßen viele Organisationen an die Grenzen des Machbaren. Die Größe und Komplexität der Netzwerkinfrastrukturen macht es schier unmöglich, die Menge aller potentiellen Bedrohungsarten zu jeder Zeit im Griff zu haben. In der Realität können große Netzwerke, Tausende von Schwachstellen besitzen. Hier „die Nadel im Heuhaufen“ zu finden, verschleißt enorm viele Ressourcen und führt oft zu mehr Problemen, als zu Erkenntissen, da meist nur eine Handvoll Bedrohungen aktiv ausgenutzt werden.
Effektiver wäre daher eine priorisierte Adressierung der wichtigsten Risiken, die individuell auf das Unternehmen zugeschnitten sind. Genau zu wissen, welche Exploits aktuell im Umlauf und aktiv sind, auf welche Anwendungen diese beispielsweise abzielen und welche Bedrohungen für das eigene Unternehmen eigentlich gar nicht gefährlich sind, würden die spezifischen Sicherheitskontrollen erheblich verbessern.
Zu dieser Problematik möchten wir Ihnen einen hoch interessanten Lösungsansatz der NSS-Labs vorstellen.
CAWS – Cyber Threat Protection Platform
CAWS ist eine SaaS-basierte Lösung, die in Echtzeit, kontinuierlich, kontextbezogene Bedrohungen erfasst, analysiert und validiert. Die gewonnen Ergebnisse werden mit dem aktuellen und spezifischen Sicherheitsstand des Unternehmens verglichen und eine Risikobewertung der vorhandenen Schwachstellen abgegeben. Bei der Bewertung werden sowohl die Effektivität der eingesetzten Sicherheitslösungen, als auch alle neuralgischen Netzwerkkomponenten einbezogen.
CAWS sucht, filtert und analysiert alle relevanten Live-Exploits im Internet, rund um die Uhr und bietet zudem an, die kundenspezifischen URL`s und Daten für die Echtzeit-Analyse in das System mit einzuspeisen.
Im Gegensatz zu anderen Lösungen untersucht CAWS sowohl den Exploit als auch den Payload und erreicht dadurch eine lückenlose „End-to-End Kill Chain“-Sichtbarkeit für den Kunden
Dadurch erhält das Unternehmen einen vollständigen Überblick über alle Ablaufereignisse der Bedrohung und deren Zielsysteme. Zudem werden alle Bedrohungsinteraktionen, vom Start bis zum Ende, lückenlos gespeichert. Das Ergebnis beinhaltet die potentiell gefährdeten Komponenten wie: spezifische Versionen der Applikationen, Betriebssysteme, gefährdete Browser, aber auch weitere Malware-Einzelheiten wie: Quell-URLs und IPs, schädliche Dateien, Hashes, Malware-Klassifikation, Prozesse, Kommandoabläufe, C&C Kommunikation, sowie den vollständigen PCAP, SAZ und Shellcode. Gerade durch die Erfassung des Shellcodes kann CAWS auch die zunehmend gefährlichen, versteckten, „dateilosen“ Malware-Bedrohungen identifizieren.
Präventives Testen der kundenspezifischen Sicherheitslösungen
Die so „geernteten“ Exploits werden anschließend in einer modellierten Kopie der Kundenumgebung, durch die NSS-Labs getestet, um Bedrohungen zu identifizieren, die in der Lage sind, die eingesetzten Sicherheitsprodukte des Kunden zu umgehen. Dadurch werden die spezifischen Risikopositionen einer Organisation konkret in Echtzeit aufgedeckt.
Ausgestattet mit der nun beispiellosen Sichtbarkeit des aktiven Bedrohungsverhaltens, können die Sicherheitsteams sofort spezifische Maßnahmen im Unternehmen ergreifen, um diesen potentiellen Angriff im Vorfeld zu unterbinden. Beispielsweise durch die Änderung der Sicherheitsrichtlinien bei Devices, das Ändern von Produktkonfigurationen oder die Aktualisierung bzw. Neuerstellung von entsprechenden Filtern.
Darüber hinaus analysiert die CAWS API automatisch die spezifischen Indikatoren des Angriffs, damit diese problemlos in bestehende Sicherheitstools wie SIEM und Endpoint-Lösungen eingeführt werden können. Somit lässt sich auch eine traditionelle Bedrohungsanalyse mit einer echten kontextbezogenen Bedrohungsintelligenz erweitern.
Fazit
Diese einmalige Capture- und Replay-Technologie liefert somit eine wirkliche kontextbezogene Bedrohungsintelligenz mit nahezu Null „false positive“ Ergebnissen. Organisationen erfahren somit sofort welche Bedrohungen in der Lage sind ihre Sicherheitslösungen zu umgehen und welche Vermögenswerte tatsächlich gefährdet sind.