Berichte über Schwachstellen-Scans: Müde von der Kennzeichnung falscher Positivmeldungen?

Die gefürchtete False-Positive-Erschöpfung bei Analysten bringt zahlreiche Probleme mit sich. Analysten fangen an, Berichte zu ignorieren, die Überprüfung eines False Positives kostet Zeit und Geld, und die Reaktion auf Vorfälle und die Suche nach Bedrohungen wird beeinträchtigt. Scanning-Anbieter verbessern ihre Verfahren kontinuierlich, um False Positives besser zu verhindern, aber sie haben immer noch Auswirkungen auf den IT-Betrieb. Die Auswirkungen von False Positives können schwerwiegend sein, wenn gutartige Berichte einen erschöpfenden Overhead für Ihre Analysten verursachen. Noch schlimmer ist, dass es schwierig sein kann, den Prüfern zu erklären, warum einige Objekte markiert wurden.

Inhalte:

1. Die Auswirkungen von Fehlalarmen auf die Organisation
2. Warum treten beim Scannen des Linux-Kernels falsch positive Ergebnisse auf?
3. Wie geht KernelCare Enterprise mit dem Problem der False-Positives beim CVE-Scannen des Linux-Kernels um?
4. Was ist im Lieferumfang von KernelCare Enterprise enthalten, damit das Schwachstellenmanagement im Unternehmen reibungslos funktioniert?

Die Auswirkungen von Fehlalarmen auf die Organisation

Der erste Schritt bei der Patch-Verwaltung ist das Scannen von Servern und Geräten nach Informationen über die aktuell installierten Betriebssystem- und Softwareversionen. Im Idealfall verfügt der Scanner über die richtigen Berechtigungen, die den Bannern sagen, dass sie die für den Abschluss des Scans erforderlichen Informationen zurückgeben sollen, aber Fehlkonfigurationen können zu unvollständigen oder falsch zurückgegebenen Daten führen.

Die Scanner verwenden eine Datenbank mit CVEs (Common Vulnerabilities and Exposures) und vergleichen die Ergebnisse mit den gemeldeten Versionen eines Servers. Wenn eine veraltete Version gefunden wird, wird der Server zum Patchen markiert und als anfällig eingestuft. Für eine große Organisation verbessert dieses automatisierte System die Cybersicherheitslage des Unternehmens erheblich, reduziert den Aufwand für die Administratoren und sorgt dafür, dass das Unternehmen die gesetzlichen Vorschriften einhält.

Probleme entstehen, wenn der Scanner das Betriebssystem nicht vollständig abfragen kann. Wenn Scanner keine genauen Informationen zurückgeben oder das Betriebssystem selbst nicht an den Scanner zurückgegeben wird, meldet dieser den Server als potenziell gefährdet. Dies führt zu einem falsch positiven Ergebnis und erfordert ein Eingreifen des Administrators. In einem Unternehmen mit Hunderten von Servern, die Fehlalarme melden, führt dieses Problem zu einer Alarmmüdigkeit, die bei Analysten ein häufiges Phänomen ist, wenn Schwachstellen-Scanner ineffizient mit Fehlalarmen umgehen.

In einem kürzlich erschienenen Ponemon-Bericht gaben 58 % der Befragten an, dass ihr Security Operations Center (SOC) ineffektiv ist, und 49 % dieser Befragten gaben an, dass der Grund für die Ineffizienz in zu vielen Fehlalarmen liegt. Zusätzlich zu den Fehlalarmen, die zu Ineffizienzen führen, gaben 42 % der Befragten an, dass Fehlalarme die Arbeit der Teams bei der Bedrohungsjagd beeinträchtigen. Die wichtigste Empfehlung der Befragten war die Verbesserung der Automatisierungstools und der Arbeitsabläufe der Analysten.

Warum treten beim Scannen des Linux-Kernels falsch positive Ergebnisse auf?

Der häufigste Grund für Fehlalarme sind Authentifizierungs- oder Autorisierungsprobleme. Einem Schwachstellen-Scanner offenen Zugang zum Netzwerk mit vollen Rechten zu gewähren, hat auch seine eigenen Probleme. Unauthentifizierte Scans sind ebenfalls eine Option, aber dies vergrößert die Angriffsfläche im Netzwerk, da jeder Zugang zu ausführlichen Serverinformationen erhält. Unauthentifizierte Scans liefern Angreifern genügend Informationen, um Server-Software mit bekannten Schwachstellen auszunutzen.

Scanner führen Banner-Grabbing durch, um aktuelle Software-Versionen zu erhalten. Systembanner enthalten den Namen und die Version der Software, und Scanner benötigen Zugriff auf diese Informationen, um genaue Daten zu melden. Diese Informationen können kritisch sein und Schwachstellen auf dem Server aufdecken, weshalb sie oft durch Authentifizierungsregeln geschützt werden. Wenn die Scanner jedoch keinen Zugriff haben, könnte ein Banner vage oder falsche Informationen zurückgeben. So könnte ein Banner beispielsweise "Unbekanntes Linux" an einen Scanner zurückgeben und ein falsches positives Ergebnis auslösen, da der Scanner nicht feststellen kann, ob das Betriebssystem vollständig gepatcht ist.

Scanner benötigen einen authentifizierten Zugriff, aber die Authentifizierung könnte Probleme verursachen. Was sollten Administratoren also tun? Hier sind einige bewährte Verfahren zur Vermeidung von Fehlalarmen:

• Geben Sie bei unauthentifizierten Scans keine kritischen Informationen wie Software- oder Kernel-Versionen an.
• Wissen, welche Informationen von authentifizierten und unauthentifizierten Scans zurückgegeben werden. Überprüfen Sie die Bannerinformationen anhand erster Tests.
• Trainieren Sie Schwachstellen-Scanner, indem Sie Fehlalarme in der Software markieren, damit sie in Zukunft unterdrückt werden.
• Optimieren Sie die Scanner, indem Sie sie so konfigurieren und testen, dass sie Bannerinformationen nach den Standards der geringsten Privilegien zurückgeben.

Wie geht KernelCare Enterprise mit dem Problem der False-Positives beim CVE-Scannen des Linux-Kernels um?

KernelCare arbeitet mit Automatisierungs- und Scansoftware, um Linux ohne riskante Neustartanforderungen zu patchen. Das rebootlose Linux-Patching kommt großen Unternehmensnetzwerken mit kritischen Servern zugute, die nicht wahllos neu gebootet werden können. KernelCare führt Patches durch, indem es Sicherheitsprobleme im Quellcode behebt, binäre Blobs mit sicherem Code generiert und unsicheren binären Code in einem laufenden Kernel durch die sichere Version ersetzt.

Während die Sicherheitsschwachstellen gepatcht werden, ändert KernelCare die Kernelversion nicht. Das Endergebnis ist, dass der aktuell laufende Kernel aus der Sicherheitsperspektive vollständig im Speicher gepatcht ist, aber /proc/version weiterhin die verwundbare Version des Kernels anzeigt.

Qualys und andere Schwachstellen-Scanner überprüfen nicht das tatsächliche Vorhandensein einer Schwachstelle im Kernel, indem sie versuchen, diese auszunutzen. Stattdessen ermitteln sie die laufende Kernelversion, indem sie Serverinformationen aus der Datei /proc/version sammeln. Nach der Erkennung der Kernel-Version gleichen die Schwachstellen-Scanner ihre eigene Datenbank mit der gemeldeten Kernel-Version ab. Infolgedessen sieht Qualys auch nach dem KernelCare-Patching die verwundbare Version des Kernels und geht davon aus, dass diese Version immer noch Sicherheitslücken aufweist, auch wenn sie zur Laufzeit im Speicher behoben wurden.

Um dieses Problem zu lösen, stellt KernelCare den Anbietern das Befehlszeilen-Dienstprogramm kcarectl -uname zur Verfügung, das die gepatchte Version des Kernels anzeigt und die Sicherheitsstufe des Kernels bis zur gemeldeten gepatchten Version darstellt. Darüber hinaus stellt KernelCare einen Bericht zur Verfügung, indem es kcarectl -patch-info (und über die API) ausführt, der die CVEs anzeigt, die im aktuell laufenden Kernel von KernelCare gepatcht wurden.

Was ist im Lieferumfang von KernelCare Enterprise enthalten, damit das Schwachstellenmanagement im Unternehmen reibungslos funktioniert?

KernelCare Enterprise wurde für große Unternehmen mit 1000 oder mehr Servern entwickelt. Ohne Automatisierungstools würden diese Unternehmen unter dem kostspieligen Overhead leiden, der mit dem manuellen Patchen und Scannen verbunden ist. Die Überwachung von Servern auf Patch-Updates, das Testen und die Durchführung des eigentlichen Patchings wäre eine Vollzeitbeschäftigung für Mitarbeiter mehrerer Teams.

Um ein schnelleres und effizienteres Patchen zu ermöglichen, integriert sich KernelCare Enterprise direkt mit Scannern und Automatisierungstools, bietet eine bessere Kontrolle über Ihren Patching-Server und bietet Ihnen einen besseren Support rund um die Uhr.

KernelCare Enterprise (KCE) bietet:

• Integration: KCE ist für alle gängigen Automatisierungstools wie Ansible, Chef und Puppet vorbereitet. Es lässt sich auch mit Schwachstellen-Scannern wie Nessus, Qualys und Rapid7 sowie mit Cloud-Überwachungstools wie DataDog integrieren.
• Erstklassiger Support: Wir bieten unseren Unternehmenskunden 24 Stunden am Tag, 365 Tage im Jahr vorrangigen Support, einschließlich einer Live-Chat-Option
• Mehr Kontrolle: KernelCare Enterprise umfasst unseren sicheren ePortal-Server, einen konfigurierbaren Patch-Server, der hinter Ihrer Firewall läuft. Sie übernehmen die Kontrolle über den ePortal-Server, verwalten und überprüfen ihn, wann immer Sie es wünschen.

Schlussfolgerung

Ermüdungserscheinungen bei Alarmen und das Ausbrennen von Analysten sind reale Probleme, die zu Mitarbeiterfluktuation, erheblichem Aufwand für Administratoren und kostspieliger Ineffizienz führen. KernelCare Enterprise kann dazu beitragen, übermäßige Fehlalarme zu reduzieren und Patching ohne Neustart durchzuführen, damit kritische Server immer mit den neuesten CVEs gepatcht sind.

Erfahren Sie mehr über das KernelCare Enterprise-Angebot.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare