Kennen Sie die Punktzahl: Die Gefährdung von Schwachstellen erklärt

In this post, I explain the various factors in calculating the Illumio Vulnerability Exposure Score (VES), which allows organizations to combine industry-standard vulnerability scoring measurements with context from their own unique environment. The VES also helps security professionals prioritize security controls to minimize the exposure of the attack surface and potential impact of vulnerabilities.

Was ist Exposure?

Exposure in the context of cybersecurity is typically defined by the "attack surface." Here is a definition that OWASP uses:

Die Angriffsfläche beschreibt all die verschiedenen Punkte, an denen ein Angreifer in ein System eindringen und an denen er Daten herausholen kann.

Das Illumio VES ist direkt an dieser Definition ausgerichtet. Einfach ausgedrückt ist die Gefährdung ein Versuch, die Summe der "Löcher" oder der verschiedenen Punkte zu quantifizieren, von denen aus ein Angreifer versuchen kann, in ein System über das Netzwerk einzudringen.

Let’s say, for example, you have a Partner Portal – a workload running a web application on port 443. Following the principle of least privilege, you may have limited access to that web application to only three external partners. In this example, the exposure score for that application is 3. While this seems obvious, very often organizations do not have this level of awareness or visibility into their east-west exposure on an application-by-application basis, let alone the ramifications of the aggregate of these exposures across their environment.

Was ist ein Vulnerability Score?

The Illumio VES employs the open industry standard, community-accepted Common Vulnerability Scoring System (CVSS) originally pioneered by the National Infrastructure Advisory Council (NIAC). Adopting an industry standard allows us to interoperate with many existing security solutions, including vulnerability management vendors, as well as provide a score that is accepted by the widest range of security practitioners.

Schwachstellenbewertungen sind in den meisten Schwachstellenmanagementlösungen üblich und werden in der Regel pro Workload bewertet und zugewiesen. Beispiel: Workload A weist fünf Schwachstellen auf. Der Vulnerability Score könnte der kombinierte Durchschnitt der CVSS-Scores dieser fünf sein. Dies ist zwar eine wertvolle Metrik, um die potenzielle Schwachstelle einer einzelnen Workload isoliert zu verstehen, aber es fehlen einige wichtige Details, um zu verstehen, wie anfällig diese Workload in einer Live-Umgebung ist.

Implementierung von Mikrosegmentierung, um das mit Schwachstellen verbundene Risiko zu mindern

Um zu verstehen, wie verletzlich etwas ist, müssen Sie sich mehrere Faktoren ansehen. Eine Schwachstelle ist nur dann ein wirkliches Risiko, wenn sie in Ihrer Umgebung offengelegt wird und ausgenutzt werden kann.

Betrachten wir als einfaches Beispiel eine einzelne Workload mit einer einzigen kritischen Schwachstelle. Da er als "kritischer" Schweregrad eingestuft wird, kann er in hohem Maße ausgenutzt werden können. Die typische Empfehlung eines Sicherheitsteams könnte lauten: "Wir müssen es patchen!". Betrachten wir jedoch, wie viele andere Workloads eine Verbindung mit dieser Workload herstellen und diese Sicherheitsanfälligkeit möglicherweise ausnutzen können. Sehen wir uns auch die Netzwerkports an, die im Rahmen dieser Sicherheitsanfälligkeit verfügbar gemacht werden. Wie so oft in flachen Netzwerken wird der Workload gut mit vielen anderen Workloads verbunden sein.

Das Patchen dieser speziellen Schwachstelle ist möglicherweise nicht möglich, entweder weil noch kein Patch vorhanden ist oder aufgrund von Anforderungen und Einschränkungen in Bezug auf die Produktionsverfügbarkeit, Änderungsfenster und SLAs. In solchen Fällen können wir die Mikrosegmentierung verwenden, um die Anzahl der Workloads zu reduzieren, die eine Verbindung zu dieser anfälligen Workload und zu dem spezifischen anfälligen Port herstellen können.

Microsegmentation becomes a risk-mitigating control by:

• Reduzierung der Angriffsvektoren auf die Arbeitslast.
• Reduzierung der "Exposition" der Arbeitsbelastung.
• Verringern des Risikos, dass die Schwachstelle für diese Workload tatsächlich ausgenutzt werden kann, obwohl die Schwachstelle sowohl "kritisch" ist als auch derzeit nicht gepatcht werden kann.
  

Was ist der Vulnerability Exposure Score?

Das Illumio VES ist ein Mittel, um sowohl die "Ausnutzbarkeit" einer Schwachstelle (in der Regel dargestellt durch den CVSS-Score) als auch die tatsächliche "Erreichbarkeit" der verwundbaren Arbeitslast über Angriffsvektoren in Ihrer Umgebung in den Griff zu bekommen – was wir als "Exposure" bezeichnen.

Nun zur eigentlichen Mathematik. Der VES wird berechnet, indem ein skalierter Vulnerabilitätswert (CVSS) mit einer skalierten Expositionsmessung für einen bestimmten Dienst multipliziert wird, wobei s und p Skalierungsfaktoren sind, um den Logarithmus bei der Skalierung dieser Messungen zu unterstützen, was eine gängige mathematische Technik ist, wenn es einen großen Wertebereich gibt:

VES = s(CVSS) * p(Belichtungsmessung)

As I mentioned in my Forbes article on enterprise security lessons garnered from NBA MVP Steph Curry, this measurement provides a way for a security professional to understand vulnerability and related threat information in the context of segmented environments.

Herkömmliche Lösungen für das Schwachstellenmanagement verwenden insbesondere Bewertungen von "Kritisch", "Hoch", "Mittel", "Niedrig" und "Info", um Schwachstellen zu kategorisieren und die Priorisierung von Maßnahmen zur Risikominderung zu unterstützen. Kritische und hohe Werte erhalten sofortige Aufmerksamkeit, wie sie es sollten. Es gibt jedoch eine große Anzahl mittlerer Schwachstellen, die nicht priorisiert werden und sich schließlich zu einem erheblichen Rückstand aufbauen, der von Malware-Autoren nicht unbemerkt geblieben ist.  

Kritische Schwachstellen sind oft in hohem Maße ausnutzbar (geringe Kosten für den Angreifer), aber nur für einen kurzen Zeitraum, da die Sicherheitsteams schnell Patches vornehmen oder andere Wege finden, um die Gefährdung zu beseitigen. Angreifer, die immer auf der Suche nach einem neuen Blickwinkel sind, zielen zunehmend auf mittlere Schwachstellen ab, die oft im Rauschen untergehen und über längere Zeiträume nicht gepatcht werden – ein viel effektiveres Ziel für Verletzungen. Sie mögen als etwas "teurer" in der Ausnutzung angesehen werden (höhere Einstiegshürde, wenn Sie so wollen), aber die Tatsache, dass sie länger verfügbar sind als die kritischen und hohen Schwachstellen, macht sie viel attraktiver, wenn der Angreifer den ROI gegen seine Investition berechnet.

Der Zweck und die Auszahlung

The VES makes it much easier for an organization to combine the industry best practice CVSS scoring with factors that are unique to each customer’s environment. Security teams can better prioritize their mitigation strategy based on the exposure of the vulnerability in their unique environment. For example, a high severity vulnerability could be deprioritized because the exposure has been greatly reduced by microsegmentation controls. Or there could be a medium vulnerability that should be prioritized to the top of the list given the exposure with a massive number of potential attack paths into that vulnerable service.

The VES is possible because we uniquely understand the map – how your environment is connected and communicating – and overlay vulnerability information on top of the map to help security teams visualize and prioritize mitigation of the risk of vulnerabilities in their environment. This becomes an extremely powerful tool, not only for security teams but for others like application owners and executives who need to understand that risk and mitigate or accept it in the context of broader business risk.