Ein Vulnerability Assessment, auch Security Vulnerability Assessment genannt, ist eine ganzheitliche Bewertung von schwachstellenbezogenen Risiken innerhalb einer IT- und Hybridumgebung. Für Cloud-Umgebungen würde Ihre Schwachstellenbewertung Ressourcen wie KI-Workloads, VMs, Container, Datenbanken, PaaS-Dienste und Daten abdecken.
Es gibt Zehntausende von Schwachstellen, die sich in Ihrer Cloud-Umgebung einnisten könnten, während Sie dies lesen. (Hier sind einige Beispiele aus jüngster Zeit.) Dazu gehören Fehlkonfigurationen, Schatten-IT, schlechte Zugriffskontrollen, unvollständige Transparenz, unsichere APIs, Netzwerkgefährdung und vieles mehr. Schwachstellen sind überall. Beängstigend, oder?
Die gute Nachricht ist, dass nicht alle Schwachstellen gleich gefährlich sind. In der Tat spielen einige von ihnen für Ihr Unternehmen möglicherweise überhaupt keine Rolle. Das ist das größte Problem beim Schwachstellenmanagement und bei der Bewertung von Schwachstellen heute – zu viele Warnungen und zu viel Rauschen, was zu einer Überlastung und Frustration von CloudSec, Schwachstellenanalysten und SOC-Teams. Das Problem bei zu vielen Warnungen besteht darin, dass Schwachstellen, die für Ihr Unternehmen tatsächlich gefährlich sind, in einer langen Liste verloren gehen.
Aus diesem Grund werfen wir in diesem Blogbeitrag einen Blick auf Schwachstellenbewertungen, die Ihnen helfen können, kritische Schwachstellen zu finden und zu beheben – speziell für die Cloud.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download NowSo führen Sie eine Schwachstellenbewertung durch
Hier finden Sie eine umsetzbare Schritt-für-Schritt-Anleitung zur Durchführung von Schwachstellenbewertungen. Denken Sie daran, dass der Schwerpunkt hier darauf liegt, das Rauschen zu durchbrechen, um geschäftskritische Risiken oder Schwachstellen zu identifizieren, die tatsächlich wichtig sind.
Schritt 1: Legen Sie den Grundstein
Wenn Sie gute Schwachstellenbewertungen durchführen möchten, müssen Sie mit ein wenig Vorbereitung und Strategieentwicklung beginnen. Andernfalls kann es bei Ihren Schwachstellenbewertungen an Klarheit und Fokus zwischen Ihren wachsenden Stakeholdern in Entwicklung und IT mangeln.
Hier sind einige einfache Möglichkeiten, wie Sie eine solide Grundlage legen können:
Listen Sie die Hauptziele Ihrer Schwachstellenbewertung auf.
Ordnen Sie Ihre CSPs, Cloud-Dienste und Modelle der geteilten Verantwortung Vom Code in die Cloud.
Überprüfen Sie Ihre Cloud-Compliance-Verpflichtungen.
Notieren Sie sich Ihre (geschäftskritischen) Kronjuwelendaten.
Arbeiten Sie mit anderen Teams zusammen, um die Bewertung und Behebung kollaborativer zu gestalten.
Wählen Sie die richtigen Tools und Frameworks für Ihre Assessments aus (mehr dazu in Kürze).
Schritt 2: Erstellen Sie ein umfassendes Asset-Inventar
Sie können nicht jede kritische Schwachstelle in Ihrer Cloud-Umgebung entdecken, wenn Sie nicht wissen, welche Assets Sie haben. Beginnen Sie mit dem Aufbau eines vollständigen Bestands Ihrer Cloud-Assets, von Datenbanken und Containern bis hin zu VMs und Appliances. Entwickeln Sie außerdem einen Prozess, um Ihren Asset-Bestand immer auf dem neuesten Stand zu halten. Stellen Sie schließlich sicher, dass Sie jeden Benutzer (Mensch und Maschine), Endpunkt, jede Abhängigkeit, jede API und jedes Netzwerk berücksichtigen. Lassen Sie bei diesem Prozess nichts unversucht, denn selbst ein scheinbar unwichtiges Cloud-Asset kann einen Angriffspfad auf sensible Daten haben.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
Schritt 3: Schwachstellen regelmäßig scannen und wo möglich automatisieren
Jetzt, da Sie ein klares Bild von Ihren Cloud-Umgebungen haben, ist es an der Zeit, aufzuzeigen, wo Schwachstellen lauern. Beginnen Sie damit, die Parameter Ihrer Tools zur Schwachstellenbewertung festzulegen, um den Umfang Ihrer Bewertung festzulegen. (Profi-Tipp: Verwenden Sie niemals die Standardeinstellungen!) Mit Parametern meinen wir, dass Sie vielleicht an den von Ihnen verwendeten Techniken herumbasteln möchten, z. B. aktiv oder passiv Schwachstellen-Scansund automatisieren Sie Scans entsprechend, um Zeit zu sparen. Möglicherweise möchten Sie eine bestimmte Gruppe von Assets oder IP-Adressen einschließen, um Ihre eigenen Filter oder Abfragen zu scannen und zu entwickeln.
Starten Sie als Nächstes Ihre Tools zum Scannen von Schwachstellen. Stellen Sie sicher, dass Sie über Tools für die Überprüfung von Datenbank-Schwachstellen, Netzwerk-Schwachstellen-Scans und Webanwendungs-Schwachstellen-Scans verfügen. Stellen Sie außerdem sicher, dass Ihre Tools und Scanner zur Schwachstellenbewertung auf mehreren bekannten Schwachstellendatenbanken und -katalogen basieren. Denken Sie nach dem Motto CISA KEV Katalog, die NVDUnd die GEHRUNGS-ATT&CK-Wissensdatenbank.
In einigen Fällen möchten Sie Ihre Schwachstellenscans möglicherweise mit spezifischeren Penetrationstests unterstützen. Diese Tests können dabei helfen, komplexe oder versteckte Schwachstellen in Ihrer Cloud auszumerzen.
Schwachstellenbewertung vs. Penetrationstests
Schwachstellenbewertungen sind eine umfassendere und umfassendere Bewertung von Risiken und Schwachstellen, während sich Penetrationstests auf sehr spezifische Komponenten oder Situationen konzentrieren. Möglicherweise möchten Sie beide verwenden, um alle Grundlagen abzudecken.
Im Gegensatz zu Schwachstellenbewertungen, bei denen Schwachstellen in Ihrer Umgebung erkannt und Ihre Angriffsfläche abgebildet werden, simulieren Penetrationstests einen Angriff in der realen Welt, um spezifische Schwachstellen und Angriffsvektoren (Einstiegsmöglichkeiten) aufzudecken. Penetrationstests können eine gute Möglichkeit sein, Ihre Schwachstellenbewertungen abzurunden.
Schritt 4: Priorisieren Sie Schwachstellen
Ihre Schwachstellenscans können eine lange Liste von Schwachstellen in Ihrer Umgebung aufdecken, aber denken Sie daran, was wir bereits gesagt haben: Nicht alle davon sind wichtig. Kein Unternehmen verfügt über die Ressourcen, um jede gefundene Schwachstelle zu beseitigen, daher müssen Sie damit beginnen, Schwachstellen auf der Grundlage von Risikostufen von hoch bis niedrig zu priorisieren.
"Hohes Risiko" kann für verschiedene Unternehmen unterschiedliche Bedeutungen haben, also konzentrieren Sie sich auf Risiken, die zu sensiblen Daten wie PHI, PCI, PII und Geschäftsgeheimnissen führen können. Berücksichtigen Sie außerdem Faktoren wie Schweregrad, Ausnutzbarkeit, Explosionsradius, Eigentum und ob die kompromittierte Ressource für die Mission unerlässlich ist. Hier sind einige öffentliche Ressourcen und Standards, die helfen können:
CVE (Häufige Schwachstellen und Gefährdungen): Lokalisiert Schwachstellen
Allgemeines Vulnerability Scoring System (CVSS): Bewertet den Schweregrad von Schwachstellen
Exploit Prediction Scoring System (EPSS): Bewertet, wie wahrscheinlich es ist, dass Schwachstellen ausgenutzt werden
Schritt 5: Analysieren Sie Schwachstellen und entwickeln Sie Abhilfestrategien
Obwohl die Behebung technisch gesehen nicht Teil der Sicherheitsrisikobewertung ist, ist es wichtig, mit der Planung der Behebung entdeckter Sicherheitsrisiken zu beginnen. Wie wir gesehen haben, müssen Sie mit den kritischsten Schwachstellen beginnen. Untersuchen Sie den Schweregrad jeder Schwachstelle und verstehen Sie ihre Auswirkungen auf Ihre geschäftskritische Infrastruktur. Um CloudSec-Teams das Leben zu erleichtern, sollten Sie in diesem Schritt Fehlalarme aussortieren.
Stellen Sie für jede kritische Sicherheitsanfälligkeit sicher, dass praktikable Abhilfeoptionen verfügbar sind. Dies kann das Patchen veralteter Anwendungen, das Ändern der Einstellungen für falsch konfigurierte Ressourcen und das Anpassen der Größe von Berechtigungen umfassen.
Wenn CloudSec-Teams mit der Behebung kritischer Schwachstellen beginnen, ist es wichtig, nachfolgende Schwachstellenscans durchzuführen, um die Behebung zu validieren. Während der Behebung können neue Sicherheitsrisiken eingeführt werden, und es ist wichtig, diese frühzeitig zu erkennen.
Schritt 6: Berichten, bewerten und verbessern
Sie haben die letzte Etappe des Prozesses erreicht. So beenden Sie es mit einer guten Note: Stellen Sie die gesamte Dokumentation aus den Schwachstellenbewertungen zusammen. Verwenden Sie Ihre Tools für das Schwachstellenmanagement, um umfassende Berichte zu erstellen, da sie für Audits, Bedrohungsinformationen und Compliancezwecke sehr wichtig sein können. Wie bei jeder anderen Cloud-Sicherheitspraxis müssen Sie auch Ihren Prozess der Schwachstellenbewertung kontinuierlich iterieren. Denken Sie daran: Beim Cloud-Schwachstellenmanagement gibt es immer Raum für Verbesserungen.
Tools zur Schwachstellenbewertung
Sie sind sich nicht sicher, welche Tools zur Schwachstellenbewertung Sie verwenden sollen? Hier sind 15, um Ihnen den Einstieg zu erleichtern.
OpenVAS: Ein Open-Source-Tool zum Scannen von Schwachstellen
Aircrack-ng: Eine Suite zur Erkennung von Netzwerkschwachstellen
Nmap: Ein Scanner zum Aufspüren von Netzwerkschwachstellen
Masscan: Ein weiterer Scanner zur Entdeckung von Netzwerkschwachstellen
Clair: Ein Container-Schwachstellenscanner
Wapiti: Ein Schwachstellen-Scanner für Webanwendungen
Nikto: Ein Webserver-Schwachstellenscanner
sqlmap: Ein Tool für Penetrationstests
Spinnentiere: Ein Schwachstellenscanner für Webanwendungen
KICS: Ein Code-Schwachstellenscanner
Lynis: Ein Endpoint Vulnerability Scanner
Amazon-Inspektor: Ein AWS-Workload-Schwachstellenscanner
SecuBat: Ein Web-Schwachstellenscanner
Retire.js: Ein JavaScript-Schwachstellenscanner
W3AF: Ein Schwachstellenscanner für Webanwendungen
Um mehr über diese und andere Tools zur Schwachstellenbewertung zu erfahren, lesen Sie unsere Blogbeiträge auf OSS-Tools für das Schwachstellenmanagement und OSS-Schwachstellen-Scanner.
Vorlage für eine Schwachstellenbewertung
Hier ist ein Beispiel für eine nützliche Vorlage zur Bewertung von Sicherheitslücken, die die Art von Schwachstellen in der realen Welt abdeckt, die Sie bei Ihren Bewertungen finden. Diese Vorlage zur Schwachstellenbewertung gibt Ihnen auch einen kleinen Einblick in die Wunder des Schwachstellenmanagements von Wiz.
Nehmen wir also an, Sie haben die Vorbereitungsphase mit Begeisterung abgeschlossen und befinden sich im Asset Discovery-Prozess. Durch die Bereitstellung von Wiz erhalten Sie eine vollständige Bestandsaufnahme Ihrer IT- und Cloud-Assets, wie hier zu sehen:
Als Nächstes ist es an der Zeit, diese Ressourcen zu scannen, um herauszufinden, welche Schwachstellen unbemerkt bleiben. So sieht das mit Wiz aus.
Wie Sie sehen können, entdeckt Wiz Schwachstellen und priorisiert sie auf der Grundlage unternehmensspezifischer Risikofaktoren, die wir als "toxische Kombinationen" von Risiken bezeichnen und die sich aus Angriffspfadpermutationen, der Gefährdung durch personenbezogene Daten, übermäßigen Administratorberechtigungen usw. ergeben.
Beispiele für kritische Risiken im Zusammenhang mit Sicherheitslücken könnten die folgenden sein:
Öffentlich verfügbar gemachte VMs
Eine verfügbar gemachte API
Eine kritische Schwachstelle in Docker, die durch die Umgehung von Autorisierungen ermöglicht wird
Eine falsch konfigurierte Datenbank, die bis zum Rand mit sensiblen PII gefüllt ist
Für jede dieser Schwachstellen bietet Wiz starke Anleitungen zur Behebung, ermöglicht es Ihnen aber auch, bei Bedarf Korrekturen anzupassen. Wie in Abbildung 5 hervorgehoben, kann manchmal ein einfaches Update auf eine neuere Version eine kritische Schwachstelle in eine sichere Ressource verwandeln.
Und schließlich sollten Sie Ihre Umgebungen erneut scannen, Korrekturen validieren und an Möglichkeiten arbeiten, Ihre Schwachstellenbewertungen effektiver und ganzheitlicher zu gestalten. Dieser Ansatz ermöglicht es, Schwachstellen in der gesamten Code-to-Cloud-Pipeline zu entdecken, zu bewerten und zu beheben.
Wie Wiz Schwachstellenbewertungen unterstützen kann
Wenn Sie ein leistungsstarkes Cloud-natives Tool zur Durchführung von Schwachstellenbewertungen benötigen, sind Sie bei Wiz genau richtig. Mit der Unterstützung von über 120.000 Schwachstellen in 40+ Betriebssystemen nutzt Wiz die Welt's beste Cloud-Schwachstellenkataloge und kombiniert sie mit Threat Intelligence-Feeds und Wiz-Forschung, um versteckte (oder schlecht priorisierte) Schwachstellen basierend auf den Auswirkungen auf das Geschäft aufzudecken.
Mit agentenloser Bereitstellung und kontextbasierter Priorisierung gehört Alarmmüdigkeit mit Wiz der Vergangenheit an. Durch die Fokussierung auf kritische Probleme, die auf den Risikofaktoren Ihres Unternehmens basieren, hilft Wiz dabei, die stärksten Risiken mit einer beeindruckenden MTTR zu finden und zu beheben. Vom Code in die Cloud, Wiz' Schwachstellen-Management Die Fähigkeiten sind wirklich auf höchstem Niveau.
Demo anfordern Erfahren Sie jetzt, wie Wiz das Schwachstellenmanagement durchsetzen kann Bewährte Methoden und führen Sie unübertroffene Bewertungen von Sicherheitslücken durch, um Ihre Cloud sicher zu halten.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.