6 top Vulnerability Management Tools und wie sie helfen, Bedrohungen zu priorisieren
Die Wissenschaft und Technologie hinter dem Vulnerability Management hat sich in kurzer Zeit stark verändert. Bei der ursprünglichen Bereitstellung agierten Schwachstellenmanagementunternehmen fast wie Antivirenanbieter, indem sie versuchten, ihre Scanner dazu zu bringen, so viele potenzielle Bedrohungen wie möglich aufzudecken. Sie würden sogar damit prahlen, mehr Schwachstellen in Testbeds entdecken zu können als ihre Konkurrenten.
Das Problem mit dieser Logik ist, dass Schwachstellen im Gegensatz zu Viren und anderen Arten von Malware nur potenziell ein Problem darstellen. Damit eine Sicherheitsanfälligkeit wirklich gefährlich ist, muss sie für einen Angreifer zugänglich und relativ einfach auszunutzen sein. Eine Sicherheitsanfälligkeit in einer internen Ressource ist also keine große potenzielle Bedrohung und erfordert auch keine zusätzlichen Komponenten wie den sicheren Zugriff auf andere Netzwerkdienste. Zu wissen, was wirklich gefährlich ist, ist wichtig, damit Sie planen können, was Sie jetzt beheben und was Sie auf später verschieben oder sogar ignorieren sollten.
Es ist auch hilfreich, Schwachstellen nach ihren potenziellen Auswirkungen zu kategorisieren, sollten sie ausgenutzt werden. Dazu gehören der potenzielle Schweregrad des Exploits wie das Löschen einer gesamten Datenbank im Vergleich zum Sperren eines einzelnen Benutzers und der Wert der betroffenen Ressourcen. Die Verunstaltung Ihrer öffentlich zugänglichen Website ist peinlich, aber der Diebstahl vertraulicher Daten kann kritisch sein.
Die besten Schwachstellenmanagementprogramme sollten Scans Kontext hinzufügen. Einige bieten sogar automatische Korrekturen, Schulungen oder vorbeugende Unterstützung mithilfe künstlicher Intelligenz (KI) an. Es ist auch wichtig, Compliance-Standards, rechtliche Mandate und Best Practices zu verstehen, die für die Organisation gelten, die den Scan startet. Da sich in jedem großen Unternehmensnetzwerk potenziell Tausende von Schwachstellen verbergen, können Korrekturen nur so zuverlässig priorisiert werden.
Die folgenden sechs Produkte setzen neue Maßstäbe für mindestens einen Aspekt des Schwachstellenmanagements.
Kenna Security Vulnerability Management
Die Kenna Security Vulnerability Management Platform war vor einigen Jahren eine der ersten, die Echtzeit-Bedrohungsdaten in das Schwachstellenmanagement integrierte. Seitdem wurde die Plattform um weitere Bedrohungsfeeds erweitert, darunter einen, den das Unternehmen speziell basierend auf den Netzwerken seiner Kunden verwaltet. Es hat auch Unterstützung für mehr Schwachstellenscanner hinzugefügt und funktioniert heute mit fast jedem auf dem Markt.
Kenna macht selbst keine Scans. Stattdessen bietet es Konnektorprogramme, mit denen Daten von fast jedem Schwachstellenscanner aufgenommen werden können, einschließlich der von Tripwire, Qualys, McAfee und CheckMarx. Kunden melden sich bei einem Cloud-Portal an, um ihre Informationen zu überprüfen und Kenna die Erlaubnis zu erteilen, mehr über das Netzwerk zu erfahren, das es schützt.
Die Idee hinter Kenna ist, dass es die vielen Verwundbarkeitswarnungen sammelt, die von Scannern gesendet werden, und diese dann in Echtzeit mit Bedrohungsdaten vergleicht. Es kann eine entdeckte Sicherheitsanfälligkeit mit einer aktiven Bedrohungskampagne verknüpfen, die sie ausnutzt, und eine schnelle Lösung priorisieren. Alle Schwachstellen, die in der Welt ausgenutzt werden, werden automatisch in der Priorität erhöht, so dass Verteidiger die gefährlichsten Probleme beheben können, bevor Angreifer sie entdecken und ausnutzen.
Die Plattform erklärt gut, warum Schwachstellen in einem geschützten Netzwerk existieren und gibt Tipps, wie sie behoben werden können. Die IT kann entdeckte Fehler basierend auf den Assets, die sie betreffen könnten, und der Schwere des Problems priorisieren. Das ist eine gute Funktion, aber die Priorisierung von Schwachstellen basierend auf aktiven Bedrohungskampagnen ist das Ass im Loch, das Kennas Plattform zu einer der besten macht, um kritische Probleme hervorzuheben, die unbedingt zuerst behoben werden müssen.
Flexera Vulnerability Manager
Während sich viele Schwachstellenmanager auf Apps und Code konzentrieren, die ein Unternehmen selbst entwickelt, befasst sich die Flexera-Plattform mehr mit Softwareprogrammen von Drittanbietern, die fast jedes Unternehmen für seine Geschäfte verwendet. In den meisten Fällen erfolgt die Behebung einer Sicherheitsanfälligkeit in gekaufter oder lizenzierter Software durch Anwenden eines Patches. Für ein Unternehmen kann dies zu einer großen Sache werden, insbesondere wenn Tausende von Systemen oder kritischen Diensten offline geschaltet werden müssen, um den Patch anzuwenden. Es ist sogar möglich, dass aufgrund der engen Integration der Software heutzutage durch die Behebung eines Problems einige andere Probleme entstehen können.
Die Flexera Software Vulnerability Management Software hilft bei diesem Problem, indem sie einen sicheren Patch-Management-Prozess im gesamten Unternehmen erstellt. Es kann Schwachstellen in Software von Drittanbietern finden und Administratoren über den Schweregrad der potenziellen Bedrohung informieren. Es kann wenig bringen, einen massiven Patch für Tausende von Benutzern zu veröffentlichen, um eine kleinere Sicherheitsanfälligkeit zu beheben oder eine Funktion zu patchen, die von der geschützten Organisation nicht installiert oder verwendet wird. Flexera kann Ihnen helfen, diese Entscheidungen zu treffen, indem es den Kontext bereitstellt und den Patch dann bei Bedarf bereitstellt.
Es kann auch verwendet werden, um ein automatisiertes Patch-Management-System zu verankern, indem Schwachstellen bei Bedarf auf eine Weise behoben werden, die den Betrieb nicht beeinträchtigt. Schließlich kann es benutzerdefinierte Berichte über das Schwachstellen- und Patch-Management erstellen und auch darüber, wie eine Organisation relevante Frameworks, Gesetze und Best Practices einhält.
Tenable.io
Tenable ist in der Branche für die Erstellung von Sicherheits-Dashboards für jede Umgebung bekannt. Sie bringen dieselbe Diagnosetechnologie in ihr Schwachstellenmanagementprogramm ein, Tenable.io . Diese Plattform wird in der Cloud verwaltet und hat daher einen geringen Platzbedarf in einer geschützten Organisation. Es verwendet eine Kombination aus aktiven Scan-Agenten, passiver Überwachung und Cloud-Konnektoren, um nach Schwachstellen zu suchen. Tenable.io wendet dann maschinelles Lernen, Datenwissenschaft und KI an, um vorherzusagen, welche Korrekturen zuerst vorgenommen werden müssen, bevor ein Angreifer sie ausnutzen kann.
Eine der größten Stärken von Tenable.io ist die Tatsache, dass es sowohl das Dashboard als auch seine benutzerdefinierten Berichte verwendet, um Schwachstellen auf eine Weise anzuzeigen, die jeder verstehen kann. Unabhängig davon, ob jemand Entwickler, Teil des Betriebsteams oder Mitglied der IT-Sicherheit ist, kann er die von Tenable.io. In gewisser Weise, Tenable.io bietet Schwachstellenmanagement für alle, ohne dass spezielle Schulungen oder Fachkenntnisse erforderlich sind.
ZeroNorth
ZeroNorth in eine Zusammenfassung von Schwachstellenmanagementprogrammen aufzunehmen, mag etwas seltsam erscheinen, da die Plattform selbst nichts scannt. Stattdessen wurde es entwickelt, um andere Schwachstellenscanner zu konsolidieren und deren Defizite auszugleichen. Angesichts der unmöglichen Anzahl von Schwachstellen, mit denen die meisten großen Unternehmen konfrontiert sind, ist dies ein Tool, das seine Nützlichkeit schnell unter Beweis stellen wird.ZeroNorth wird als Dienst bereitgestellt, wobei sich Benutzer bei einer sicheren Webplattform anmelden, um ihre Umgebung zu überwachen. Die Anbindung verschiedener Scanner in unserem Testnetzwerk an die ZeroNorth-Plattform war einfach und wir waren in kürzester Zeit einsatzbereit. Natürlich benötigen Sie Schwachstellenscanner in Ihrer Umgebung, um Daten mit ZeroNorth abzurufen, aber es kann Daten verarbeiten, die aus jedem Teil des Netzwerks stammen, von der Entwicklungsumgebung bis zur Produktion. Wenn Sie keine Scanner haben, bietet die Plattform eine einfache Möglichkeit, Ihrer Umgebung Open-Source- oder kommerzielle Scanner hinzuzufügen, die dann automatisch mit der Plattform verbunden werden.
Die ZeroNorth-Plattform leistet viel Arbeit bei der Konsolidierung und Analyse von Daten, die von Scannern stammen. Ein nettes Feature ist, dass es zeigen kann, wie Schwachstellen zusammenhängen und sogar voneinander abhängig sind. Zum Beispiel, während ein Raw-Scan 20 neue Schwachstellen aufdecken könnte, Die meiste Zeit wird es Ihnen nicht sagen, dass 19 von ihnen wegen des ersten Fehlers existieren. ZeroNorth wird. Wenn Sie dann nur eine Sicherheitsanfälligkeit beheben, können Sie 20 andere aus Ihrem Netzwerk entfernen. In unserem Testnetzwerk beseitigte jede von ZeroNorth empfohlene Schwachstelle durchschnittlich 14 andere.
Es macht auch einen tollen Job zu verfolgen, wer anfällige Ressourcen erstellt hat und wer sie verwaltet. Es kann natürlich alle seine Ergebnisse an Administratoren und seine zentrale Konsole melden, aber auch Warnungen und empfohlene Korrekturen an Anwendungsbesitzer senden. Auf diese Weise können die Personen, die am meisten für eine anfällige Anwendung verantwortlich sind und wahrscheinlich am meisten mit der Behebung von Problemen befasst sind, sofort mit der Arbeit an einer Lösung beginnen.
Es macht auch einen guten Job, die Schwachstellenscanner selbst zu überwachen. Beispielsweise erfahren Sie, ob einem Scanner eine kritische Sicherheitsanfälligkeit fehlt, die andere entdecken. Auf diese Weise können Sie feststellen, ob sich Ihre Investition in bestimmte Schwachstellenscanner auszahlt. Als solches wäre ZeroNorth eine sehr wertvolle Ergänzung für jede Organisation, die versucht, die Flut von Scanner-Warnungen zu zähmen oder ihre Scangenauigkeit mit neuen Richtlinien oder Tools zu verbessern.
ThreadFix
ThreadFix ist eine der bekanntesten Schwachstellenmanagement-Plattformen und zentralisiert Testdaten aus einer Vielzahl von Quellen an einem Ort und mit einem Dashboard. Es kann Scan-Ergebnisse in Formaten wie SAST, DAST, IAST und Software Composition Analysis (SCA) aufnehmen.
Es kann nicht nur Ergebnisse sammeln und sortieren, es bricht sie auch auf und bietet Hilfe bei der Analyse von Schwachstellen und der Priorisierung von Korrekturen. Dies geschieht auf fortschrittliche Weise, die für Schwachstellenmanager selten sind. So kann die IT beispielsweise Schwachstellen auf Anwendungsebene und Sicherheitslücken, die in der Infrastruktur selbst tief verwurzelt sind, entschlüsseln und korrelieren. Die Möglichkeit, kritische Unterscheidungen wie diese zu trennen, kann IT-Teams dabei helfen, bestimmte Schwachstellen zu beheben, ohne dabei etwas Neues zu brechen.Neben dem Ausgleich und der Koordinierung der Ergebnisse mehrerer kommerzieller und Open-Source-Schwachstellenscanner kann ThreadFix auch dazu beitragen, den Prozess des Scannens und Behebens von Schwachstellen zu automatisieren, indem der Backend-Fluss zwischen Sicherheits- und Entwicklungsteams rationalisiert wird. Die Tatsache, dass es in Echtzeit agieren kann, macht es zu einem perfekten Werkzeug für die Implementierung in einer DevSecOps-Umgebung, in der Entwickler von Anfang an die Verantwortung für die Erstellung von sicherem Code übernehmen können. ThreadFix kann Schwachstellen finden, während sie generiert werden, und Entwicklern helfen, sie zu beheben, bevor sie sich einer Produktionsumgebung nähern.
ThreadFix kann auch Aktivitäten zur Behebung von Sicherheitslücken und die Zeit, die zur Behebung entdeckter Fehler benötigt wird, quantifizieren. Bewaffnet mit diesen Daten können Sicherheitsteams eine bessere Vorstellung von ihrer wahren Sicherheitslücke Fenster bekommen, während das Management sehen kann, ob und wie sich die Situation im Laufe der Zeit verbessert.
Infection Monkey
Das Infection Monkey-Programm von Guardicore könnte als eine weitere seltsame Wahl für eine Schwachstellenübersicht angesehen werden, aber der Detaillierungsgrad, den es in Bezug auf Sicherheitslücken und Schwachstellen bietet, macht es für fast jede Organisation wertvoll. Es ist auch kostenlos, mit modifizierbarem Quellcode, so dass Sie nichts zu verlieren haben, wenn Sie es versuchen.
Infection Monkey ist ein großartiges Tool, da es nicht nur Schwachstellen identifiziert, sondern auch genau zeigt, wie ein Angreifer sie möglicherweise ausnutzen könnte. Sie können das Programm verwenden, um nach Sicherheitslücken in Windows-, Linux-, OpenStack-, vSphere-, Amazon Web Services-, Azure-, OpenStack- und Google Cloud Platform-Umgebungen zu suchen. Da der Python-basierte Quellcode ebenfalls bereitgestellt wird, können Benutzer ihn auch so konfigurieren, dass er in jeder proprietären oder einzigartigen Umgebung funktioniert.
Das Programm verwendet echte Angriffe und Techniken, die von Guardicore ständig aktualisiert und aktualisiert werden. Tatsächlich ist es technisch gesehen keine Simulation, da es tatsächlich ein Netzwerk angreift. Es hat einfach keine bösartige Nutzlast. Wenn Ihre vorhandenen Sicherheitstools Infektion Affen stoppen können, umso besser, weil es bedeutet, dass jede Schwachstelle hinter dieser Verteidigung versteckt könnte eine niedrige Priorität in Betracht gezogen werden.
Der wirkliche Wert kommt, wenn Infektion Affe erfolgreich einbricht, die überall von ein paar Minuten bis zu vielen Stunden dauern kann, abhängig von der Komplexität des angegriffenen Netzwerks. Sobald es eine Schwachstelle gefunden und ausgenutzt hat, zeichnet das Programm jeden Schritt auf, den es auf dem Weg unternommen hat, einschließlich der Schwachstellen, die es ausgenutzt hat und welche Abwehrmechanismen umgangen oder ausgetrickst wurden.
Wenn Sie auf eine Liste von Tausenden von Schwachstellen starren, verwenden Sie Infection Monkey, um herauszufinden, welche von Angreifern ausgenutzt werden können. Dann patchen Sie diese zuerst und stellen Sie den Affen erneut bereit, um Ihre Arbeit zu überprüfen.