LastPass Labs ist der Content-Hub für das „Threat Intelligence, Mitigation, and Escalation“-Team (TIME) bei LastPass. Wir konzentrieren uns dabei auf die genaue Analyse der neuesten Sicherheitsentwicklungen, einen scharfen Blick für zukunftsweisende Technologien und einzigartige Bedrohungsperspektiven.
Ein Cybersicherheitskonzept ist in der Geschäftswelt ein Muss, ganz gleich, ob es sich um einen großen multinationalen Konzern handelt oder ein Ein-Personen-Start-up. Nicht jedes Unternehmen hat aber das Glück, über ein speziell der Cybersicherheit zugewiesenes Budget zu verfügen – viele Unternehmen müssen Prioritäten setzen, um den maximalen Nutzen aus den begrenzten Mitteln zu ziehen. Neben der Einrichtung strenger Kontrollen für E-Mails (z. B. Suche nach und Sperren von schädlichen Mails) sowie der Sensibilisierung und Schulung der Mitarbeiter, um das Risiko von Social-Engineering-Angriffen zu verringern, sollte das Schwachstellenmanagement Grundpfeiler jedes Cybersicherheitsprogramms sein – nicht zuletzt bietet es eine unmittelbare Investitionsrendite. Die Ausnutzung von Schwachstellen ist eine der Hauptursachen für erfolgreiche Hackerangriffe – Im M-Trends-Bericht 2023 von Mandiant werden 36 % der untersuchten Cyberangriffe einer von den Hackern ausgenutzten Sicherheitslücke zugeschrieben.
In mehreren Cybersicherheits-Frameworks, wie dem des US-amerikanischen National Institute of Standards and Technology (NIST), zählt das Bestandsmanagement zu den grundlegenden Elementen, denn es liefert umfassende Informationen zur Technikinfrastruktur und den verwendeten Netzwerkgeräten. Denn nur wenn Unternehmen – egal welcher Größe – genau wissen, welche Technologie sie einsetzen, können sie rasch ermitteln, ob sie von neuen Bedrohungen betroffen sind, und entsprechende Schritte unternehmen. Es ist ganz einfach: Wenn Sie nicht wissen, was Sie haben, können Sie es nicht schützen. Wie wichtig es ist, Schwachstellen rasch zu erkennen und zu beheben, kann nicht oft genug gesagt werden. Laut dem Rapid7 2022 Vulnerability Intelligence Report wurden mehr als die Hälfte der untersuchten Schwachstellen innerhalb von sieben Tagen nach Bekanntgabe für Hackerangriffe ausgenutzt. Im Vergleich zu 2021 ist das ein Anstieg von 12 %, gegenüber 2020 gar 87 %.
Bei IT-Sicherheitslücken denken die meisten von uns an die großen Software-Anbieter. Allerdings wird das Ganze durch Open-Source-Angebote zunehmend verkompliziert. Eine von OpenUK durchgeführte Studie ergab, dass 90 % der befragten Unternehmen Open-Source-Software einsetzen. Damit sind potenzielle Sicherheitsrisiken in der Supply Chain nicht mehr auf Betriebssysteme und/oder eigene Software beschränkt. Zudem geht Gartner davon aus, dass weltweit 45 % aller Unternehmen bis 2025 Opfer eines Hackerangriffs auf ihre Software werden. Die weitreichende Verwendung von Open-Source-Software schafft Abhängigkeiten, die leicht übersehen werden können. Eine der im Jahr 2022 am häufigsten ausgenutzten Sicherheitslücken, die Schwachstelle im Logging-Framework Apache Log4j (CVE-2021-44228), fand sich beispielsweise laut dem Open-Source Security and Risk Analysis Report von Synopsys auch 2023 noch in immerhin 5 % der geprüften Codebases.
Die Zunahme des Homeoffice und verschiedener BYOD-Programme hat die Mehrheit der Unternehmen einem viel größeren Gefahrenspektrum ausgesetzt, als dies bisher im Rahmen einer herkömmlichen Infrastruktur der Fall war. IT-Verantwortliche müssen sich daher jetzt auch über Sicherheitslücken Gedanken machen, die außerhalb ihrer direkten Kontrolle auftreten können. Gegen diese Gefahren helfen nur strikte Patch-Richtlinien sowie regelmäßige Mitarbeiterschulungen und gute Kommunikation.
Wie können Sie sich also schützen?
- Führen Sie Richtlinien für das Management von Sicherheitsschwachstellen und Patches ein, die sowohl die Anforderungen des Unternehmens erfüllen als auch den Best Practices für Ihre Branche entsprechen. Klare Richtlinien für die Handhabung neuer Sicherheitslücken beschleunigen und erleichtern die jeweils notwendigen Abhilfemaßnahmen.
- Investieren Sie möglichst in Tools, die eine automatische Bestandsaufnahme einschließlich Erfassung eventueller relevanter Sicherheitsschwachstellen und/oder Probleme ermöglichen.
- Erstellen Sie ein umfassendes Inventar, das nicht nur die proprietäre Software in Ihrer IT-Umgebung umfasst, sondern auch eventuelle Open-Source-Abhängigkeiten berücksichtigt. Mithilfe einer Software Bill of Materials (SBOM) lässt sich feststellen, welche Open-Source-Komponenten für Ihre Abläufe besonders kritisch sind, und bei neuen Bedrohungen können Sie rasch aktiv werden.
- Aktivieren Sie möglichst immer automatische Software-Updates, damit Sie stets über die aktuelle, sicherste Version verfügen. Sind Tests notwendig, um sicherzustellen, dass das Update den Betrieb nicht beeinträchtigt, sollten diese Tests umgehend ausgeführt werden.
- Die Liste der Jahr für Jahr veröffentlichten Schwachstellen ist immens – allein 2022 umfasste sie 25.000 Einträge. Deshalb muss das Patchen der Schwachstellen anhand ihrer möglichen Auswirkungen und anhand der aktuellen wahrscheinlichen Ausnutzung durch Hacker priorisiert werden. Zu diesem Zweck unterhält die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen Katalog bekannter bereits gehackter Schwachstellen, den sie regelmäßig aktualisiert. Den Katalog finden Sie hier. Er ist öffentlich erhältlich und kostenlos und eine wertvolle Hilfe bei der Priorisierung der wichtigsten Bedrohungen. Zusätzlich hat das Forum of Incident Response and Security Teams (FIRST), ein internationales Forum verschiedener IT-Sicherheitsteams, ein Bewertungssystem für Cyberbedrohungen entwickelt, das sogenannte Exploit Prediction Scoring System (EPSS). Das EPSS kann ebenfalls bei der Kategorisierung der Angriffswahrscheinlichkeit und damit des Patch-Bedarfs helfen.
- Eine individuell entwickelte Priorisierungsmethodik ist auch eine Überlegung wert, da sie zusätzlich bei der raschen und angemessenen Handhabung neuer Schwachstellen helfen kann. Eine solche Methodik würde verschiedene Faktoren berücksichtigen – externe wie die CVSS-Bewertung einer Schwachstelle und nachweisliche aktuelle Hackeraktivitäten ebenso wie interne, z. B. ob die betroffenen Anwendungen geschäftskritisch und/oder für die Außenwelt sichtbar sind.
- Stellen Sie klare Richtlinien für Updates von BYOD-Geräten zusammen und sorgen Sie dafür, dass Ihre Mitarbeiter die Richtlinien kennen. Informieren Sie die Benutzer stets über neue Schwachstellen, die diese Geräte betreffen könnten (einschließlich Smartphones oder Computer zu Hause), damit sie sofort die notwendigen Patches ausführen können.
