Eine weitere Woche, eine weitere schwerwiegende Sicherheitslücke in einer beliebten Open-Source-Komponente. Bei dieser von der Qualys Threat Research Unit entdeckten Schwachstelle handelt es sich um eine RCE-Schwachstelle (Remote Code Execution) in OpenSSH.
Die gute Nachricht: Es ist nicht trivial, diese Schwachstelle auszunutzen, da es sich um ein Race-Condition-Problem handelt.
Die schlechte Nachricht: Qualys behauptet, sie hätten „über 14 Millionen potenziell verwundbare OpenSSH-Server-Instanzen identifiziert, die im Internet sichtbar sind“.
Die schlechte Nachricht: Jede betroffene Organisation muss die nächsten Wochen damit verbringen, Schwachstellen-Scans in ihrer gesamten Umgebung durchzuführen, um herauszufinden, ob sie eine gefährdete Instanz verbaut hat.
Jedes Mal, wenn eine neue Sicherheitslücke bekannt wird, erstellen wir eine Regel, geben sie in einen Scanner ein und scannen dann unsere gesamte IT-Umgebung, um nach einer anfälligen Komponente zu suchen. Am nächsten Tag wiederholen wir das Ganze für die neuesten Schwachstellen.
Stellen Sie sich vor, die Automobilhersteller würden so vorgehen wie wir. Wenn ein Airbag einen Defekt hätte (nennen wir es eine Schwachstelle), müsste jedes Fahrzeug auf der Welt in eine Werkstatt gebracht und an einen Scanner angeschlossen werden (nennen wir es einen Schwachstellen-Scanner), um zu sehen, ob das defekte Teil vorhanden ist. Wenn am nächsten Tag festgestellt wurde, dass ein Anlasser ein Problem hatte, begann derselbe Prozess erneut.
Die Automobilhersteller haben dieses Problem vor 100 Jahren mit einer Stückliste gelöst. Heute wissen sie genau, welche Bauteile von welchen Herstellern in einem bestimmten Fahrzeug verbaut sind, bis hin zur Seriennummer des Bauteils und der Fahrgestellnummer des Autos. Wenn ein defektes Teil identifiziert wird, können sie schnell feststellen, welche Fahrzeuge genau betroffen sind, und die einzelnen Verbraucher über die Notwendigkeit eines Rückrufs informieren.
Die Softwarebranche hat große Fortschritte bei der Erstellung und Veröffentlichung von Software-Stücklisten (SBOM) gemacht. Diese ermöglichen es Unternehmen und Software-Nutzern zu wissen, aus welchen Komponenten die von ihnen verwendeten Anwendungen bestehen, und bieten der gesamten Software-Lieferkette Risiken zu erkennen und zu reduzieren.
Die Erstellung und Verwaltung von SBOMs erfordert die Unterstützung durch automatisierte Tools, um zu erkennen, was tatsächlich auf Ihren Servern installiert ist und läuft. Die herkömmlichen SCA-Tools, die in der Regel in die CI/CD-Pipeline integriert sind und für die Verwaltung von SBOMs für die entwickelte Software konzipiert wurden, sind bei diesem Unterfangen jedoch nicht sehr hilfreich. Unser Technologiepartner Insignary hat Clarity entwickelt, um SBOMs für kompilierte Anwendungen zu erstellen, einschließlich Software und Firmware, die auf Ihrer IT-Infrastruktur laufen. Clarity erstellt schnell und kontinuierlich SBOMs, ohne dass Sie den Quellcode benötigen oder Ihren Betrieb unterbrechen müssen. Es warnt sie, wenn neue Schwachstellen für eine Komponente in einer Ihrer SBOMs aufgedeckt werden, ohne dass ein erneuter Scan erforderlich ist.
Beginnen Sie jetzt damit, Ihre IT-Infrastruktur proaktiv zu sichern. Wenn Sie es leid sind, jedes Mal aufholen zu müssen, wenn eine neue Sicherheitslücke aufgedeckt wird, kontaktieren Sie uns noch heute.
Kontaktieren Sie uns