Die „Days of Risk“ -Strategie in der Praxis

Entdeckung der Sicherheitsanfälligkeit: Dies ist der Zeitpunkt, zu dem ein einzelner Benutzer oder eine kleine Benutzergruppe erstmals eine Sicherheitsanfälligkeit in der Software feststellt.

Bekanntmachung der Sicherheitsanfälligkeit: Die Sicherheitsanfälligkeit wird allgemein bekannt gegeben – in der Regel durch Newsgroups oder die Presse. Die allgemeine Bekanntgabe der Sicherheitsanfälligkeit steigert die Wahrscheinlichkeit möglicher Angriffe, bei denen versucht wird, sich diese Sicherheitsanfälligkeit zunutze zu machen. Software zum Schutz vor Angriffen, wie z. B. eine persönliche Firewall, kann das Angriffsrisiko mindern, bis eine Fehlerbehebung verfügbar ist.

Verfügbarkeit einer Fehlerbehebung: Zu diesem Zeitpunkt stellt ein Softwareanbieter (oder ein Distributor wie Red Hat) einen getesteten Patch bereit. Während einige Anbieter ihre Fehlerbehebungen sehr offen und transparent verbreiten, z. B. in Form von allgemeinen Sicherheitsmitteilungen oder Bulletins, gehen andere nur zögerlich an die Öffentlichkeit. Benutzer sollten verfügbare Patches sofort installieren, um das Risiko der erkannten Sicherheitsanfälligkeit zu verringern.

Verfügbarkeit des Angriffscodes: Zu diesem Zeitpunkt wird der Code eines Beispielangriffs veröffentlicht. Damit können sowohl professionelle Codeschreiber als auch eher unerfahrene Benutzer, so genannte „Script Kiddies“, den Angriffscode einfacher nachbilden oder weiterentwickeln. Dies führt wieder zu einem erhöhten Sicherheitsrisiko für Kunden.

Bereitstellung der Fehlerbehebung (oder Verringerung des Schweregrades der Sicherheitsanfälligkeit). Die Software wird aktualisiert, um die Sicherheitsanfälligkeit zu beheben. Das Sicherheitsrisiko geht auf den normalen Schweregrad zurück. Diese Maßnahme zur Schadensbegrenzung kann als separater Schritt gesehen werden und in einigen Fällen schon vor der Verfügbarkeit des Angriffscodes erfolgen.

Relativer Schweregrad (Forrester-Messdaten) – Produkte mit weniger Sicherheitsanfälligkeiten und geringerem Schweregrad.

Reaktionsfähigkeit (Forrester-Messdaten) – Fehlerbehebungen, die nach der Bekanntgabe einer Sicherheitsanfälligkeit schnell verfügbar sind, reduzieren das Risiko.

Gründlichkeit (Forrester-Messdaten) – Alle Sicherheitsanfälligkeiten werden beseitigt.

Verantwortungsbewusstes Verhalten bei der Veröffentlichung – Die Veröffentlichung einer Sicherheitsanfälligkeit ohne Bereitstellung einer geeigneten Fehlerbehebung erhöht das Risiko.

Würmer/Viren – Bedrohung. Mobile Angriffsarten zielen auf maximale Verbreitung, größtmöglichen Schaden und weltweite Bekanntheit ab.

Root-Angriffe – Bedrohung. Diese heimlichen Angriffe sind auf Datendiebstahl oder dauerhaften Zugriff ausgerichtet.

Patchverwaltung – Durch Fehlerbehebung für Sicherheitsanfälligkeiten kann das Angriffsrisiko beseitigt werden.

Schadenbegrenzende Maßnahmen – Durch die Behebung einer Sicherheitsanfälligkeit (blockieren eines Ports oder beenden eines Dienstes) wird das Angriffsrisiko beseitigt.

Benutzerprozesse zur Verringerung der Risikotage anpassen.

Anbieterleistung im "Vulnerability Life Cycle"-Modell verbessern

Sicherheitsexperten auffordern, die Risikotage zu verringern.

Angreifer auffordern, ihre unerlaubten Aktionen einzustellen.

Netzwerkarchitektur: Können einzelne Systembereiche isoliert und so vor möglichen Bedrohungen geschützt werden? Gibt es bereits vertrauenswürdige Netzwerkdomänen, die durch optimal kontrollierte Gateways voneinander getrennt sind?

Systemabsicherung und Schutzsoftware: Sind Ihre Systeme ausreichend geschützt? Wurden beispielsweise alle unbenötigten Ports der Datenbankserver blockiert? Verfügen Ihre Arbeitsstationen über Antivirensoftware und persönliche Firewalls, die zentral verwaltet werden können? Sind Sie sicher, dass dabei sämtliche Ihrer Richtlinien erfüllt werden?

Richtlinien und Prozesse für Softwareupdates: Arbeiten private Benutzer und Kleinunternehmen mit AutoUpdate-Funktionen? Verfügt Ihr Unternehmen über erstklassige Tools für effiziente Updates? Haben Sie geeignete Testverfahren für Updates entwickelt? Können Sie die Relevanz für Ihre Umgebung messen?

Verantwortungsbewusstes Verhalten von Sicherheitsexperten bei der Veröffentlichung: Wird Ihr Unternehmen durch Marketing- und PR-Aktionen unnötigen Risiken ausgesetzt? Sprechen Sie sich deutlich genug gegen schädliche Verhaltensformen aus?

Ergreifung von Angreifern: Arbeiten Sie in geeigneter Form mit Behörden und anderen Unternehmen zusammen, um die Verursacher von Angriffen zu identifizieren und zu fassen?

Wie gut ist Ihre Reaktionsfähigkeit für Produkt X (gemessen am "Vulnerability Life Cycle"-Modell)?

Wie viele Sicherheitsanfälligkeiten mit einem ernsten Schweregrad gab es für Produkt X in einem bestimmten Zeitraum (gemessen an einem allgemein anerkannten Bewertungssystem eines Drittanbieters wie ICAT)?

Wie viele Sicherheitsanfälligkeiten von Produkt X sind nach einem bestimmten Zeitraum noch nicht behoben?

Welche Detailaspekte des Softwareentwicklungsprozesses tragen dazu bei, die Gesamtzahl der Sicherheitsanfälligkeiten zu reduzieren?

Welche Verbesserungen haben Sie am Softwareentwicklungsprozess vorgenommen, um die Zahl der Sicherheitsanfälligkeiten zu reduzieren? Wann haben Sie diese Verbesserungen vorgenommen? Gelten sie für alle Komponenten von Produkt X?

Welche Maßnahmen haben Sie getroffen, um bestimmte Arten von Sicherheitsanfälligkeiten für Produkt X zu mindern oder zu beheben?

Welche Funktionen und Tools bieten Sie, um mir die Verwaltung von Updatepaketen zu erleichtern? Kann ich Ihre Updates deinstallieren? Wenn ja, welche Folgen hätte dies?

Habe ich die Möglichkeit, die Bereitstellung einzelner Updates jeweils zu bestätigen? Bieten Sie einen einheitlichen Updateprozess? Ist ein Neustart (oder eine Neukompilierung) erforderlich? Kann ich das Systemverwaltungstool eines Drittanbieters weiterhin nutzen?

Wie fördern Sie das verantwortungsbewusste Verhalten von Sicherheitsexperten in der Branche?

Was unternehmen Sie, um unerlaubte Aktionen von Angreifern zu unterbinden?