Decken Sie kritische Schwachstellen in Ihren Umgebungen auf

Decken Sie die kritischen Probleme mit dem Schweregrad in Ihren Cloud-Umgebungen auf und beheben Sie sie, ohne Ihr Team in Warnungen zu überschwemmen.

Schwachstellenbewertungen: Tipps, Tools und Vorlagen

In diesem Artikel sehen wir uns Schwachstellenbewertungen an, die Ihnen helfen können, kritische Schwachstellen zu finden und zu beheben – speziell für die Cloud.

7 Minuten Lesezeit

Ein Vulnerability Assessment, auch Security Vulnerability Assessment genannt, ist eine ganzheitliche Bewertung von schwachstellenbezogenen Risiken innerhalb einer IT- und Hybridumgebung. Für Cloud-Umgebungen würde Ihre Schwachstellenbewertung Ressourcen wie KI-Workloads, VMs, Container, Datenbanken, PaaS-Dienste und Daten abdecken.

Es gibt Zehntausende von Schwachstellen, die sich in Ihrer Cloud-Umgebung einnisten könnten, während Sie dies lesen. (Hier sind einige Beispiele aus jüngster Zeit.) Dazu gehören Fehlkonfigurationen, Schatten-IT, schlechte Zugriffskontrollen, unvollständige Transparenz, unsichere APIs, Netzwerkgefährdung und vieles mehr. Schwachstellen sind überall. Beängstigend, oder?

Figure 1: A topology of cloud vulnerabilities

Die gute Nachricht ist, dass nicht alle Schwachstellen gleich gefährlich sind. In der Tat spielen einige von ihnen für Ihr Unternehmen möglicherweise überhaupt keine Rolle. Das ist das größte Problem beim Schwachstellenmanagement und bei der Bewertung von Schwachstellen heute – zu viele Warnungen und zu viel Rauschen, was zu einer Überlastung und Frustration von CloudSec, Schwachstellenanalysten und SOC-Teams. Das Problem bei zu vielen Warnungen besteht darin, dass Schwachstellen, die für Ihr Unternehmen tatsächlich gefährlich sind, in einer langen Liste verloren gehen.

Aus diesem Grund werfen wir in diesem Blogbeitrag einen Blick auf Schwachstellenbewertungen, die Ihnen helfen können, kritische Schwachstellen zu finden und zu beheben – speziell für die Cloud.

So führen Sie eine Schwachstellenbewertung durch 

Hier finden Sie eine umsetzbare Schritt-für-Schritt-Anleitung zur Durchführung von Schwachstellenbewertungen. Denken Sie daran, dass der Schwerpunkt hier darauf liegt, das Rauschen zu durchbrechen, um geschäftskritische Risiken oder Schwachstellen zu identifizieren, die tatsächlich wichtig sind. 

Schritt 1: Legen Sie den Grundstein

Wenn Sie gute Schwachstellenbewertungen durchführen möchten, müssen Sie mit ein wenig Vorbereitung und Strategieentwicklung beginnen. Andernfalls kann es bei Ihren Schwachstellenbewertungen an Klarheit und Fokus zwischen Ihren wachsenden Stakeholdern in Entwicklung und IT mangeln. 

Hier sind einige einfache Möglichkeiten, wie Sie eine solide Grundlage legen können:

  • Listen Sie die Hauptziele Ihrer Schwachstellenbewertung auf.

  • Ordnen Sie Ihre CSPs, Cloud-Dienste und Modelle der geteilten Verantwortung Vom Code in die Cloud.

  • Überprüfen Sie Ihre Cloud-Compliance-Verpflichtungen. 

  • Notieren Sie sich Ihre (geschäftskritischen) Kronjuwelendaten.

  • Arbeiten Sie mit anderen Teams zusammen, um die Bewertung und Behebung kollaborativer zu gestalten.

  • Wählen Sie die richtigen Tools und Frameworks für Ihre Assessments aus (mehr dazu in Kürze). 

Schritt 2: Erstellen Sie ein umfassendes Asset-Inventar

Sie können nicht jede kritische Schwachstelle in Ihrer Cloud-Umgebung entdecken, wenn Sie nicht wissen, welche Assets Sie haben. Beginnen Sie mit dem Aufbau eines vollständigen Bestands Ihrer Cloud-Assets, von Datenbanken und Containern bis hin zu VMs und Appliances. Entwickeln Sie außerdem einen Prozess, um Ihren Asset-Bestand immer auf dem neuesten Stand zu halten. Stellen Sie schließlich sicher, dass Sie jeden Benutzer (Mensch und Maschine), Endpunkt, jede Abhängigkeit, jede API und jedes Netzwerk berücksichtigen. Lassen Sie bei diesem Prozess nichts unversucht, denn selbst ein scheinbar unwichtiges Cloud-Asset kann einen Angriffspfad auf sensible Daten haben.

Profi-Tipp

During this step, remember two things:

  1. Cover your AI infrastructure and assets because they can be full of vulnerabilities.

  2. Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.

Schritt 3: Schwachstellen regelmäßig scannen und wo möglich automatisieren 

Jetzt, da Sie ein klares Bild von Ihren Cloud-Umgebungen haben, ist es an der Zeit, aufzuzeigen, wo Schwachstellen lauern. Beginnen Sie damit, die Parameter Ihrer Tools zur Schwachstellenbewertung festzulegen, um den Umfang Ihrer Bewertung festzulegen. (Profi-Tipp: Verwenden Sie niemals die Standardeinstellungen!) Mit Parametern meinen wir, dass Sie vielleicht an den von Ihnen verwendeten Techniken herumbasteln möchten, z. B. aktiv oder passiv Schwachstellen-Scansund automatisieren Sie Scans entsprechend, um Zeit zu sparen. Möglicherweise möchten Sie eine bestimmte Gruppe von Assets oder IP-Adressen einschließen, um Ihre eigenen Filter oder Abfragen zu scannen und zu entwickeln.

Starten Sie als Nächstes Ihre Tools zum Scannen von Schwachstellen. Stellen Sie sicher, dass Sie über Tools für die Überprüfung von Datenbank-Schwachstellen, Netzwerk-Schwachstellen-Scans und Webanwendungs-Schwachstellen-Scans verfügen. Stellen Sie außerdem sicher, dass Ihre Tools und Scanner zur Schwachstellenbewertung auf mehreren bekannten Schwachstellendatenbanken und -katalogen basieren. Denken Sie nach dem Motto CISA KEV Katalog, die NVDUnd die GEHRUNGS-ATT&CK-Wissensdatenbank.

Figure 2: Wiz's vulnerability management dashboard details CISA KEV exploits

In einigen Fällen möchten Sie Ihre Schwachstellenscans möglicherweise mit spezifischeren Penetrationstests unterstützen. Diese Tests können dabei helfen, komplexe oder versteckte Schwachstellen in Ihrer Cloud auszumerzen. 

Schwachstellenbewertung vs. Penetrationstests 

Schwachstellenbewertungen sind eine umfassendere und umfassendere Bewertung von Risiken und Schwachstellen, während sich Penetrationstests auf sehr spezifische Komponenten oder Situationen konzentrieren. Möglicherweise möchten Sie beide verwenden, um alle Grundlagen abzudecken.

Im Gegensatz zu Schwachstellenbewertungen, bei denen Schwachstellen in Ihrer Umgebung erkannt und Ihre Angriffsfläche abgebildet werden, simulieren Penetrationstests einen Angriff in der realen Welt, um spezifische Schwachstellen und Angriffsvektoren (Einstiegsmöglichkeiten) aufzudecken. Penetrationstests können eine gute Möglichkeit sein, Ihre Schwachstellenbewertungen abzurunden.

Schritt 4: Priorisieren Sie Schwachstellen 

Ihre Schwachstellenscans können eine lange Liste von Schwachstellen in Ihrer Umgebung aufdecken, aber denken Sie daran, was wir bereits gesagt haben: Nicht alle davon sind wichtig. Kein Unternehmen verfügt über die Ressourcen, um jede gefundene Schwachstelle zu beseitigen, daher müssen Sie damit beginnen, Schwachstellen auf der Grundlage von Risikostufen von hoch bis niedrig zu priorisieren.

"Hohes Risiko" kann für verschiedene Unternehmen unterschiedliche Bedeutungen haben, also konzentrieren Sie sich auf Risiken, die zu sensiblen Daten wie PHI, PCI, PII und Geschäftsgeheimnissen führen können. Berücksichtigen Sie außerdem Faktoren wie Schweregrad, Ausnutzbarkeit, Explosionsradius, Eigentum und ob die kompromittierte Ressource für die Mission unerlässlich ist. Hier sind einige öffentliche Ressourcen und Standards, die helfen können:

Schritt 5: Analysieren Sie Schwachstellen und entwickeln Sie Abhilfestrategien

Obwohl die Behebung technisch gesehen nicht Teil der Sicherheitsrisikobewertung ist, ist es wichtig, mit der Planung der Behebung entdeckter Sicherheitsrisiken zu beginnen. Wie wir gesehen haben, müssen Sie mit den kritischsten Schwachstellen beginnen. Untersuchen Sie den Schweregrad jeder Schwachstelle und verstehen Sie ihre Auswirkungen auf Ihre geschäftskritische Infrastruktur. Um CloudSec-Teams das Leben zu erleichtern, sollten Sie in diesem Schritt Fehlalarme aussortieren.

Stellen Sie für jede kritische Sicherheitsanfälligkeit sicher, dass praktikable Abhilfeoptionen verfügbar sind. Dies kann das Patchen veralteter Anwendungen, das Ändern der Einstellungen für falsch konfigurierte Ressourcen und das Anpassen der Größe von Berechtigungen umfassen. 

Wenn CloudSec-Teams mit der Behebung kritischer Schwachstellen beginnen, ist es wichtig, nachfolgende Schwachstellenscans durchzuführen, um die Behebung zu validieren. Während der Behebung können neue Sicherheitsrisiken eingeführt werden, und es ist wichtig, diese frühzeitig zu erkennen.

Schritt 6: Berichten, bewerten und verbessern

Sie haben die letzte Etappe des Prozesses erreicht. So beenden Sie es mit einer guten Note: Stellen Sie die gesamte Dokumentation aus den Schwachstellenbewertungen zusammen. Verwenden Sie Ihre Tools für das Schwachstellenmanagement, um umfassende Berichte zu erstellen, da sie für Audits, Bedrohungsinformationen und Compliancezwecke sehr wichtig sein können. Wie bei jeder anderen Cloud-Sicherheitspraxis müssen Sie auch Ihren Prozess der Schwachstellenbewertung kontinuierlich iterieren. Denken Sie daran: Beim Cloud-Schwachstellenmanagement gibt es immer Raum für Verbesserungen.

Tools zur Schwachstellenbewertung 

Sie sind sich nicht sicher, welche Tools zur Schwachstellenbewertung Sie verwenden sollen? Hier sind 15, um Ihnen den Einstieg zu erleichtern. 

  1. OpenVAS: Ein Open-Source-Tool zum Scannen von Schwachstellen

  2. Aircrack-ng: Eine Suite zur Erkennung von Netzwerkschwachstellen

  3. Nmap: Ein Scanner zum Aufspüren von Netzwerkschwachstellen 

  4. Masscan: Ein weiterer Scanner zur Entdeckung von Netzwerkschwachstellen 

  5. Clair: Ein Container-Schwachstellenscanner

  6. Wapiti: Ein Schwachstellen-Scanner für Webanwendungen

  7. Nikto: Ein Webserver-Schwachstellenscanner 

  8. sqlmap: Ein Tool für Penetrationstests

  9. Spinnentiere: Ein Schwachstellenscanner für Webanwendungen

  10. KICS: Ein Code-Schwachstellenscanner

  11. Lynis: Ein Endpoint Vulnerability Scanner

  12. Amazon-Inspektor: Ein AWS-Workload-Schwachstellenscanner

  13. SecuBat: Ein Web-Schwachstellenscanner

  14. Retire.js: Ein JavaScript-Schwachstellenscanner 

  15. W3AF: Ein Schwachstellenscanner für Webanwendungen 

Um mehr über diese und andere Tools zur Schwachstellenbewertung zu erfahren, lesen Sie unsere Blogbeiträge auf OSS-Tools für das Schwachstellenmanagement und OSS-Schwachstellen-Scanner.

Vorlage für eine Schwachstellenbewertung

Hier ist ein Beispiel für eine nützliche Vorlage zur Bewertung von Sicherheitslücken, die die Art von Schwachstellen in der realen Welt abdeckt, die Sie bei Ihren Bewertungen finden. Diese Vorlage zur Schwachstellenbewertung gibt Ihnen auch einen kleinen Einblick in die Wunder des Schwachstellenmanagements von Wiz.

Nehmen wir also an, Sie haben die Vorbereitungsphase mit Begeisterung abgeschlossen und befinden sich im Asset Discovery-Prozess. Durch die Bereitstellung von Wiz erhalten Sie eine vollständige Bestandsaufnahme Ihrer IT- und Cloud-Assets, wie hier zu sehen:

Figure 3: The Wiz inventory provides complete visibility across cloud assets

Als Nächstes ist es an der Zeit, diese Ressourcen zu scannen, um herauszufinden, welche Schwachstellen unbemerkt bleiben. So sieht das mit Wiz aus.

Figure 4: Wiz’s vulnerability management dashboard offers a priority-based view of vulnerabilities

Wie Sie sehen können, entdeckt Wiz Schwachstellen und priorisiert sie auf der Grundlage unternehmensspezifischer Risikofaktoren, die wir als "toxische Kombinationen" von Risiken bezeichnen und die sich aus Angriffspfadpermutationen, der Gefährdung durch personenbezogene Daten, übermäßigen Administratorberechtigungen usw. ergeben. 

Beispiele für kritische Risiken im Zusammenhang mit Sicherheitslücken könnten die folgenden sein:

  • Öffentlich verfügbar gemachte VMs

  • Eine verfügbar gemachte API

  • Eine kritische Schwachstelle in Docker, die durch die Umgehung von Autorisierungen ermöglicht wird

  • Eine falsch konfigurierte Datenbank, die bis zum Rand mit sensiblen PII gefüllt ist

Für jede dieser Schwachstellen bietet Wiz starke Anleitungen zur Behebung, ermöglicht es Ihnen aber auch, bei Bedarf Korrekturen anzupassen. Wie in Abbildung 5 hervorgehoben, kann manchmal ein einfaches Update auf eine neuere Version eine kritische Schwachstelle in eine sichere Ressource verwandeln.

Figure 5: Wiz provides remediation guidance for every vulnerability
Figure 6: Wiz allows you to also remediate vulnerabilities across the code-to-cloud pipeline

Und schließlich sollten Sie Ihre Umgebungen erneut scannen, Korrekturen validieren und an Möglichkeiten arbeiten, Ihre Schwachstellenbewertungen effektiver und ganzheitlicher zu gestalten. Dieser Ansatz ermöglicht es, Schwachstellen in der gesamten Code-to-Cloud-Pipeline zu entdecken, zu bewerten und zu beheben. 

Wie Wiz Schwachstellenbewertungen unterstützen kann

Wenn Sie ein leistungsstarkes Cloud-natives Tool zur Durchführung von Schwachstellenbewertungen benötigen, sind Sie bei Wiz genau richtig. Mit der Unterstützung von über 120.000 Schwachstellen in 40+ Betriebssystemen nutzt Wiz die Welt's beste Cloud-Schwachstellenkataloge und kombiniert sie mit Threat Intelligence-Feeds und Wiz-Forschung, um versteckte (oder schlecht priorisierte) Schwachstellen basierend auf den Auswirkungen auf das Geschäft aufzudecken. 

Mit agentenloser Bereitstellung und kontextbasierter Priorisierung gehört Alarmmüdigkeit mit Wiz der Vergangenheit an. Durch die Fokussierung auf kritische Probleme, die auf den Risikofaktoren Ihres Unternehmens basieren, hilft Wiz dabei, die stärksten Risiken mit einer beeindruckenden MTTR zu finden und zu beheben. Vom Code in die Cloud, Wiz' Schwachstellen-Management Die Fähigkeiten sind wirklich auf höchstem Niveau. 

Demo anfordern Erfahren Sie jetzt, wie Wiz das Schwachstellenmanagement durchsetzen kann Bewährte Methoden und führen Sie unübertroffene Bewertungen von Sicherheitslücken durch, um Ihre Cloud sicher zu halten.

Uncover Vulnerabilities Across Your Clouds and Workloads

Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.

Demo anfordern