Wenn alte Schwachstellen kritisch werden

Einige von Ihnen kennen vielleicht den traditionellen Hochzeitsreim darüber, was eine Braut an ihrem Hochzeitstag als Glücksbringer tragen sollte … etwas Altes, etwas Neues usw. Um auf alte Schwachstellen aufmerksam zu machen, warum sie nie wirklich „alt“ sind, „Und um Ihnen viel Glück zu wünschen, habe ich es so ausgedrückt. Auch wenn es sich nicht ganz reimt, werden Sie verstehen, worauf es ankommt:

  • Etwas Altes: Schwachstellen und Fehlkonfigurationen
  • Etwas Neues: öffentlich verfügbare Exploits
  • Something Borrowed: Zeit
  • Etwas blau: du, wenn du ausgebeutet wirst

Tatsache ist, dass alle Systeme Schwachstellen aufweisen, zu denen Störungen, Fehler oder Schwächen gehören. Wir alle wissen und verstehen das. Wie Sie diese Schwachstellen und das damit verbundene Risiko angehen, bestimmt, wie sie sich jetzt und in Zukunft auf die Sicherheit Ihrer Systeme auswirken.

Eine Ihrer größten Herausforderungen besteht darin, mit allen Systemaktualisierungen und Patches Schritt zu halten, die die Anbieter regelmäßig veröffentlichen. Zu dieser Herausforderung kommt noch hinzu, dass einige Ihrer Systeme, wie z. B. ERP, recht groß, komplex und individuell sein können. Dies kann die Anwendung von Patches und Updates noch schwieriger machen, wenn Ausfallzeiten keine Option sind und die Wartungsfenster begrenzt sind.

Ihre ERP-Systeme wie SAP und Oracle E-Business Suite (EBS) sind für Ihr Unternehmen äußerst wichtig und unterstützen viele der geschäftskritischsten Anwendungen Ihres Unternehmens. Jeder ERP-Systemanbieter veröffentlicht seine Patches und Updates regelmäßig, um identifizierte Probleme und Schwachstellen zu beheben.

Letztlich liegt es dann in Ihrer Verantwortung, Ihre Systeme auf dem neuesten Stand und mit Patches zu halten, und oft müssen Entscheidungen getroffen werden, bei denen das Risiko gegenüber den Auswirkungen auf das Unternehmen abgewogen wird. Wenn beispielsweise das Schwachstellenrisiko gering ist (keine bekannten Exploits), aber die geschäftlichen Auswirkungen der Anwendung des Patches hoch sind (z. B. erhebliche erforderliche Ressourcen, umfangreiche Systemneukonfiguration, längere Ausfallzeiten), können Sie sich dafür entscheiden, das Risiko zu akzeptieren und nicht anzuwenden der Patch. Diese Entscheidung mag heute durchaus sinnvoll sein, aber was passiert später, wenn ein Exploit öffentlich wird und auf die Schwachstelle abzielt, für die Sie das Risiko in Kauf genommen haben? Sie haben es erraten ... es liegt jetzt auf einem hohen Risikoniveau und eine sofortige Abhilfe ist erforderlich.

Dies ist genau das Szenario, das mit der öffentlichen Veröffentlichung hervorgehoben wurde 10KBLAZE-Exploits. Bei den anvisierten Schwachstellen handelte es sich um Benutzerfehlkonfigurationen in SAP-Anwendungen, die SAP über einen Zeitraum von 10 Jahren mit drei separaten Sicherheitshinweisen behoben hatte. Warum waren schätzungsweise 90 % der SAP-Kunden, die diese Anwendungen nutzen, dennoch potenziell betroffen? Viele SAP-Kunden entschieden sich dafür, das Risiko in Kauf zu nehmen, weil es zu diesem Zeitpunkt gering und der Aufwand für das Einspielen der Korrekturen hoch war. Obwohl die potenziellen Auswirkungen auf das Unternehmen immer vorhanden waren, erhöhte die öffentliche Verfügbarkeit dieser Exploits das Angriffspotenzial exponentiell. Jetzt erreicht das ursprünglich niedrige Risikoniveau dieser alten Schwachstelle ein nukleares Maß an Kritikalität.

Was ist die Moral der Geschichte? Sie müssen bei der Anwendung von SAP-Sicherheitshinweisen und Oracle-CPUs sorgfältig vorgehen. Diese Anbieter versuchen, Sie zu schützen. Und obwohl es in Ordnung sein mag, das Risiko für bestimmte Schwachstellen für einen bestimmten Zeitraum in Kauf zu nehmen, dürfen Sie diese nicht vergessen. Wie die 10KBLAZE-Exploits zeigten, können alte Schwachstellen ohne oder ohne Vorankündigung kritisch werden. Darüber hinaus kann die Verwendung einer Lösung wie der Onapsis-Sicherheitsplattform Das System überwacht und bewertet Ihre ERP-Systeme kontinuierlich, hilft Ihnen dabei, Schwachstellen besser zu verwalten und zeigt Ihnen genau, welche Patches installiert sind oder fehlen. Besuchen Sie uns auf der Gartner Security and Risk Management-Konferenz im Juni, kommen Sie an unserem Stand vorbei und erfahren Sie mehr!