Was bedeutet die kritische KAG-Richtlinie und wie sollten Sie darauf reagieren?

Seien wir ehrlich - jeder hat die Nase gestrichen voll. Exploits sind allgegenwärtig, und es ist fast unmöglich, das Problem wasserdicht zu lösen.

Einige Unternehmen bemühen sich sehr, indem sie modernste Lösungen zur Verwaltung von Schwachstellen und Live-Patching einsetzen, um die Auswirkungen von Schwachstellen zu minimieren, aber viele andere tun sich schwer, und einige unternehmen überhaupt keine Anstrengungen.

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hatte so viele erfolgreiche Angriffe gesehen, dass sie sich gezwungen sah, einen Schlussstrich zu ziehen und die Behörden, denen sie untersteht, zum Handeln zu zwingen.

Aus diesem Grund hat die CISA am 3. November eine neue Richtlinie herausgegeben, die zivile Bundesbehörden dazu verpflichtet, 306 kritische Schwachstellen zu beseitigen, die laut CISA häufig zu erfolgreichen Angriffen führen.

Wer ist die KAG, und was ist eine KAG-Richtlinie?

Die Agentur für Cybersicherheit und Infrastruktursicherheit ist eine Bundesbehörde, die unter der Aufsicht des US-Ministeriums für Innere Sicherheit eingerichtet wurde, um die Cybersicherheitsrisiken der US-Bundesbehörden zu überwachen und zu verwalten.

CISA gibt verbindliche Richtlinien zu wichtigen aktuellen Themen der Cybersicherheit heraus, und die Bundesbehörden sind gezwungen, auf diese Richtlinien zu reagieren. Mit anderen Worten: Wenn das CISA eine Richtlinie herausgibt, sind zahlreiche Regierungsorganisationen verpflichtet, zu handeln - zum Beispiel, indem sie eine Schwachstelle beheben.

Es ist auch erwähnenswert, dass eine von der CISA erlassene Richtlinie für alle betroffene Software und Hardware gilt, die in Informationssystemen des Bundes verwendet wird: unabhängig davon, ob diese Systeme von der Behörde gehostet oder von einem Drittanbieter bereitgestellt werden - was den impliziten Geltungsbereich einer CISA-Richtlinie erweitert.

Was besagt die neueste KAG-Richtlinie?

Wie wir bereits zu Beginn dieses Artikels sagten, hat jeder die Nase voll von den Folgen der komplexen Cybersicherheitslandschaft. Und die Folgen der Untätigkeit werden jeden Tag größer. Aus diesem Grund hat die CISA in ihrer jüngsten Richtlinie eine Liste von 306 Schwachstellen veröffentlicht, die die Bundesbehörden innerhalb einer bestimmten Frist beheben müssen.

Die CISA veröffentlichte diese Liste, weil sie feststellte, dass eine bestimmte Gruppe von Schwachstellen für einen großen Teil der erfolgreichen Cyberangriffe verantwortlich ist. Damit sollte sichergestellt werden, dass Bundesbehörden diese Schwachstellen beheben, um die Gesamtzahl erfolgreicher Cyberangriffe auf Regierungsbehörden deutlich zu verringern.

Die Richtlinie enthält auch eine Reihe von Validierungs- und Meldeanforderungen, die über den Rahmen dieses Artikels hinausgehen, die aber zeigen, wie ernst die CISA das Problem nimmt, um das es geht. Die jüngste CISA-Richtlinie ist ein Versuch, eine unvollkommene Situation so weit wie möglich zu verbessern, indem die gefährlichsten Schwachstellen angegangen werden.

Beispiele für Schwachstellen, die in der CISA-Richtlinie aufgeführt sind

Nachdem wir nun wissen, was eine CISA-Richtlinie ist, wollen wir uns die abgedeckten Schwachstellen ansehen - und warum sie wichtig sind. Es handelt sich um ein breites Spektrum von Schwachstellen - von der Server-Infrastruktur (z. B. Linux und Apache) bis hin zu Anwendungen von Microsoft und SAP, und es umfasst sogar Schwachstellen in den beiden gängigen mobilen Betriebssystemen. Alles, was dazwischen liegt, wird ebenfalls abgedeckt - die Liste geht sogar auf Sicherheitstools von Sophos, SonicWall und Trend Micro ein.

Ein Beispiel ist die Makro-Schwachstelle Widget Connector in Atlassian Confluence, einem beliebten Tool für die Zusammenarbeit, das sowohl von Unternehmen als auch von Behörden genutzt wird. Diese Schwachstelle ermöglicht es Angreifern, durch serverseitige Vorlageninjektion eine Remotecodeausführung und einen Pfadumgehungsangriff aus der Ferne durchzuführen.

Ein weiteres Beispiel betrifft den beliebten Apache HTTP Server - mehrere Apache Release 2.4 Versionen enthalten eine Schwachstelle im Scoreboard. Angreifer können Code in weniger privilegierten Kindprozessen ausführen und die Ausführung von beliebigem Code auf Elternprozesse mit vollen Systemrechten ausweiten. Diese Apache-Schwachstelle ist aufgeführt als CVE-2019-0211 und wurde von der CISA in die Liste aufgenommen, da es sich um eine gefährliche Sicherheitslücke handelt, die häufig in freier Wildbahn genutzt wird.

Dies zeigt, wie breit das Spektrum der Schwachstellen ist, die von der CISA-Richtlinie abgedeckt werden, was wiederum zeigt, wie weit verbreitet die Bedrohung der Cybersicherheit ist - Bedrohungen verstecken sich überall, und es ist zweifellos eine Herausforderung, diese Bedrohungen umfassend zu bewältigen.

Moment mal, was hat die KAG mit uns zu tun?

Die CISA-Richtlinie richtet sich an Bundesbehörden in ganz Amerika. Sie werden sich vielleicht fragen, was eine Richtlinie der US-Regierung mit Wirtschaftsunternehmen zu tun hat - geschweige denn mit Unternehmen in anderen Ländern?

Auch wenn die jüngste CISA-Richtlinie keine Befugnisse für Organisationen außerhalb der US-Bundesregierung vorsieht, bringt sie doch einige wertvolle Erkenntnisse.

Zunächst hat die CISA Daten zu Cybersicherheitsvorfällen zusammengetragen und die Schwachstellen aufgelistet, die am häufigsten zu Schäden führen. Ihr Unternehmen sollte diese Liste, die sich laufend ändern wird, daraufhin überprüfen, ob Sie auf eine der in der Kurzbeschreibung aufgeführten Anwendungen, Dienste oder Geräte angewiesen sind. Falls ja, sollten Sie diese so schnell wie möglich mit Patches versehen oder auf alternative Lösungen umsteigen. Es ist wichtig, darauf hinzuweisen, dass es sich nach der Beschreibung der CISA um Schwachstellen handelt, von denen bekannt ist , dass sie derzeit ausgenutzt werden - es geht also nicht nur darum, etwas zu patchen, das möglicherweise ausgenutzt wird, sondern diese Fehler werden aktiv ausgenutzt.

Aber es geht um ein umfassenderes Problem. Wie wir zu Beginn dieses Artikels dargelegt haben, sind Schwachstellen und die damit verbundenen Cyberangriffe so allgegenwärtig, dass alle langsam die Nase voll davon haben. Schadensbegrenzung funktioniert, aber nur bis zu einem gewissen Punkt.

Diese von der CISA erstellte gezielte Liste ist ein Versuch, die Aufmerksamkeit auf die gefährlichsten Schwachstellen zu lenken - doch damit wird auch eingeräumt, dass die üblichen Maßnahmen zum Schwachstellenmanagement einfach nicht ausreichen. Es muss sich etwas ändern.

Bestehende Strategien sind eine Herausforderung

Die der CISA-Richtlinie beigefügte Liste weist zwar auf kritische, sofort zu behebende Schwachstellen hin, ist aber nur aufgrund unzureichender Risikomanagementstrategien vorhanden. Genauer gesagt zeigt sie, wie unvollständig das typische Patching-System ist - viele der Schwachstellen auf der CISA-Liste könnten schließlich leicht mit einfachen Patches behoben werden.

Die CISA-Liste ist keineswegs eine Alternative zu kontinuierlicher Schwachstellenbewertung und Patching - sie ist lediglich eine Reaktion auf die Tatsache, dass Strategien für Cybersicherheitsrisiken einfach nicht perfekt sind. Die zugrundeliegende Botschaft ist, dass Unternehmen ihr Cybersecurity-Risikomanagement verbessern müssen, unabhängig davon, ob sie in den Zuständigkeitsbereich von CISA fallen oder nicht.

Dies ist natürlich aufgrund der begrenzten Zeit und der begrenzten Ressourcen sowie der praktischen Auswirkungen der Abhilfestrategien nicht einfach. Nehmen wir zum Beispiel das Patching. Ja, jeder weiß, dass Patches wichtig sind, aber in der Realität werden sie oft vernachlässigt. Patches werden vernachlässigt, weil Sysadmins nicht die Zeit haben, sie gründlich zu patchen - und weil Patches störend sein können, was zu Ausfallzeiten führt, die die Beteiligten frustrieren.

In den unter finanziellem Druck stehenden Ministerien sind die Mittel und Ressourcen möglicherweise nicht vorhanden, und es gibt möglicherweise niemanden, der die letzte Verantwortung trägt. Aber das gilt auch für kommerzielle Organisationen.

Die Verbesserung der Patch-Verwaltung ist ein Anfang

Patches sind eine schwierige Angelegenheit: Selbst wenn Sie die Ressourcen für Patches haben, können die damit verbundenen Unterbrechungen ein Hindernis sein. Es gibt Möglichkeiten, die Unterbrechung zu umgehen - eine umfassende Planung kann helfen, während lastverteilte, redundante Systeme ebenfalls dazu beitragen können, die Auswirkungen des Patchings zu minimieren. Aber selbst bei den besten Bemühungen bleibt das Patchen unvollkommen und bietet Angreifern Möglichkeiten.

Zum Glück hilft uns modernste Technik immer wieder aus schwierigen Situationen heraus. Das ist auch beim Patching der Fall. Dank des so genannten Live-Patching können Systemadministratoren sicherstellen, dass Patches auf kritische Dienste angewendet werden, ohne dass diese neu gestartet werden müssen.

Live-Patching ist ein einfaches, automatisiertes Verfahren zum Patchen häufig genutzter, kritischer Dienste, mit Patching on the fly. Live-Patching reduziert den Zeitaufwand für das Patchen, so dass Sysadmins gründlicher patchen können und mehr Zeit für andere wichtige Aufgaben haben.

Begrenzung der Unterbrechungen - und Verbesserung der Sicherheit

Am wichtigsten ist jedoch, dass Live-Patching Unterbrechungen vermeidet. Mit anderen Worten: Dank Live-Patching können die technischen Teams sicherstellen, dass die Patches konsistent und effizient durchgeführt werden, ohne dass Dienste unterbrochen, Wartungsfenster geplant oder die Zusammenarbeit der Beteiligten koordiniert werden müssen. Mit anderen Worten: Dem Patching stehen weniger Dinge im Weg.

Und wir alle wissen um die Vorteile eines konsequenten Patchings: Wenn Patches etwa so schnell aufgespielt werden, wie sie veröffentlicht werden, wird das Zeitfenster für Angreifer minimiert. Man kann nicht schneller patchen, als Patches veröffentlicht werden, und zwischen Zero-Day und der Veröffentlichung eines Patches liegt immer ein Zeitfenster.

Angreifer brauchen jedoch Zeit, um eine Schwachstelle zu entdecken und ein Ziel zu finden, und im Großen und Ganzen werden Patches schnell genug veröffentlicht, um die meisten Angreifer in ihren Bemühungen zu stoppen. Wenn Sie es versäumen, den Patch aufzuspielen, besteht eine größere Chance für einen Angriff. Wird der Patch jedoch sofort nach seiner Veröffentlichung aufgespielt, ist das Zeitfenster für einen Angriff minimal.

Die wichtigste Lehre aus der KAG-Richtlinie

Patches und andere Methoden zur Abschwächung der Cybersicherheit werden nicht so konsequent angewandt, wie es sein sollte. Dies lässt Angreifern ein weites - manchmal unbestimmtes - Zeitfenster, in dem sie böswillige Akteure angreifen können. Aus diesem Grund sah sich die CISA veranlasst, eine Richtlinie zu veröffentlichen. Die CISA-Liste enthält häufig angegriffene Schwachstellen, von denen die CISA weiß, dass die Bundesbehörden nicht dazu gekommen sind, sie zu patchen.

Die Moral von der Geschicht ist natürlich, dass das Patching verbessert werden sollte, und das gilt auch für andere Cybersicherheitsmaßnahmen. Es sollte nicht nötig sein, dass die CISA oder irgendjemand anders eine Erinnerung an Patches veröffentlicht, die behoben werden müssen.

So sieht es also aus - unvollkommenes Patching, das in der Praxis so schlecht wird, dass eine US-Bundesbehörde eine Richtlinie erlassen muss. Die Antwort? Eine bessere Patch-Verwaltung und ein besseres Sicherheitsmanagement im Allgemeinen. Glücklicherweise werden die erforderlichen Tools langsam entwickelt - und wenn es um das Patchen geht, ist Live-Patching ein schneller Gewinn - es gibt keine Möglichkeit, Systeme schneller zu patchen als so.