Waarom Enterprise Threat Mitigation Geautomatiseerde, Single-Purpose Tools vereist

Enterprise Threat Mitigation Nachrichten

Hoewel dreigingsbeperking tot op zekere hoogte een specialistische taak is waarbij cyberbeveiligingsexperts betrokken zijn, komt de dagelijkse dreigingsbeperking vaak nog steeds neer op systeembeheerders. Voor deze systeembeheerders is het echter geen gemakkelijke taak. In enterprise-IT hebben sysadmins-teams een brede taak maar beperkte middelen.

Voor systeembeheerders is het een uitdaging om de tijd en middelen te vinden om een ​​groeiende en constant bewegende dreiging het hoofd te bieden. In dit artikel schetsen we de moeilijkheden die gepaard gaan met het beperken van bedrijfsbedreigingen en leggen we uit waarom geautomatiseerde, speciaal gebouwde risicobeperkingstools de weg vooruit zijn.

Bedreigingsbeheer is een overweldigende taak

Er is een scala aan specialisten die werken binnen bedreigingsbeheer, maar de praktische implementatie van bedreigingsbeheerstrategieën komt vaak neer op systeembeheerders. Of het nu gaat om patchbeheer, inbraakdetectie of herstel na een aanval, systeembeheerders dragen doorgaans de dupe van het werk.

Het is een onmogelijke taak, gezien de groeiende aard van de dreiging. Alleen al in 2021 28.000 kwetsbaarheden werden onthuld. Het is zo’n groot aantal dat een groot deel zelfs nooit zo ver is gekomen als een CVE. Dit is met name relevant in een branche die lasergericht is op het volgen van CVE’s, het testen op hun aanwezigheid op onze systemen en het implementeren van patches met specifieke CVE-nummers. Je kunt je niet beschermen tegen iets waarvan je niet weet dat je er kwetsbaar voor bent. Als aan een bepaalde kwetsbaarheid geen CVE is gekoppeld en al uw tools/mindset/processen zijn gericht op CVE’s, zal er iets mislukken. De redenen om geen CVE toe te wijzen aan een kwetsbaarheid zijn: veel en buiten het bestek van dit artikel, maar geen van deze zal het werk dat gedaan moet worden op het gebied van beveiliging verminderen.

Zelfs als een organisatie een driecijferig team van systeembeheerders zou hebben, zou het moeilijk zijn om deze voortdurend groeiende lijst van kwetsbaarheden bij te houden. We hebben het niet eens over interacties waarbij een kwetsbaarheid een secundair systeem kan aantasten dat op uw infrastructuur draait op een manier die niet zo voor de hand liggend is.

Na verloop van tijd smelt het gewoon in een „achtergrondgeluid“ van kwetsbaarheden. Er is een aanname dat het patchen methodisch, wekelijks of misschien dagelijks gebeurt, maar in werkelijkheid bereikt de relevante, gedetailleerde informatie in CVE-aankondigingen nooit top-of-mind.

Overweldigd teams nemen risico’s

Met beveiligingstaken, waaronder patchen, die zo’n overweldigende oefening worden, is het geen wonder dat systeembeheerders een aantal snelkoppelingen gaan nemen. Misschien mist een systeembeheerder die interactie tussen een nieuwe exploit en een secundair systeem, of verzuimt hij om patches goed te testen voordat de nieuwste fix wordt geïmplementeerd – die allemaal een netwerkbrede meltdown niet kunnen voorkomen.

Onzorgvuldig behandeld, kunnen beveiligingsbeheertaken zoals patchen gevolgen hebben. Een kleine verandering zal terugkomen en beveiligingsteams een paar dagen, weken of maanden achtervolgen door iets anders te breken dat ze niet hadden verwacht.

Het ‚gat sluiten‘ is in deze context evenzeer een probleem. Neem bijvoorbeeld de Log4j-kwetsbaarheid, waarbij het wijzigen van de standaardconfiguratie van Log4j gemakkelijk een aanzienlijke beperking kan opleveren. Het is een voor de hand liggende, verstandige stap, maar de echte vraag is: heeft het systeembeheerdersteam de middelen om de taak te voltooien? Het is niet dat het moeilijk is om uit te voeren per se – maar het is moeilijk om elk gebruik van log4j in een hele systeemvloot op te sporen, en het benodigde werk is Daarnaast voor alle andere reguliere activiteiten.

En nogmaals, wijzend op patching, de middelen die nodig zijn om het consequent te doen, zijn er vaak niet. Patchen is bijzonder moeilijk gezien het feit dat het toepassen van een patch inhoudt dat de onderliggende service opnieuw moet worden opgestart. Opnieuw opstarten is tijdrovend en storend, en als het om kritieke componenten gaat, kan opnieuw opstarten simpelweg niet realistisch zijn.

Het netto resultaat is dat essentiële beveiligingstaken gewoon niet worden uitgevoerd, waardoor systeembeheerders het knagende gevoel hebben dat beveiliging gewoon niet is wat het zou moeten zijn. Het geldt ook voor beveiligingsmonitoring, inclusief penetratietesten en het scannen van kwetsbaarheden. Ja, sommige organisaties hebben specialisten om deze taak te volbrengen – zelfs zo ver dat ze rode teams en blauwe teams hebben.

Maar in veel gevallen is het bewaken van de beveiliging nog een andere taak voor systeembeheerders, die onvermijdelijk overbelast zullen raken en uiteindelijk zullen overnemen.

En het wordt erger

Je zou kunnen denken dat het enige dat moet gebeuren, is dat systeembeheerders de last voor zijn – spierkracht verminderen en het gewoon voor elkaar krijgen. Door de achterstand weg te werken en misschien wat extra hulp te krijgen, konden sysadmins de werklast beheren en alles gedaan krijgen.

Maar er is hier een klein probleem. Het aantal kwetsbaarheden groeit snel – als het team eenmaal bekende problemen heeft aangepakt, zal het ongetwijfeld met nog meer te maken krijgen. En het tempo van kwetsbaarheden versnelt, er worden er elk jaar meer en meer gemeld.

Proberen bij te blijven zou betekenen dat teams jaar op jaar met bijvoorbeeld 30% worden vergroot. Het is gewoon geen strijd die een menselijk team met handmatige benaderingen zal winnen. Het is duidelijk dat er alternatieven nodig zijn, want een voortdurende strijd van deze aard zal eenvoudigweg niet worden gewonnen door de teamgroottes jaar na jaar op een bijna exponentiële manier te vergroten.

Automatisering van bedreigingsbeheer is de sleutel

Het goede aan computergebruik is natuurlijk dat automatisering vaak een uitweg biedt uit de kleverige resourcebeperkingen – en dat is ook het geval met dreigingsbeheer. Als u enige kans wilt maken om vooruitgang te boeken tegen de groeiende bedreigingsomgeving, is het van cruciaal belang om automatisering voor taken in het beheer van kwetsbaarheden in te zetten. Van monitoring op nieuwe kwetsbaarheden tot patching en rapportage.

Sommige tools helpen bij specifieke aspecten, andere helpen bij al die aspecten, maar de effectiviteit van tools neemt meestal af naarmate de tool meer omvattend wordt. Meer gespecialiseerde tools zijn over het algemeen beter in hun specifieke functie dan tools die beweren alles in één keer te doen. Zie het als de Unix-toolfilosofie: doe één ding en doe het goed, in plaats van alles tegelijk te doen.

Bijvoorbeeld, patchen kan en moet geautomatiseerd worden. Maar patchen is een van die beveiligingstaken waarvoor een speciale tool nodig is die systeembeheerders kan helpen door consistent en met minimale onderbreking te patchen.

Een halfslachtige aanpak zal niet werken omdat patchen nog steeds gehinderd wordt door de acceptatie van onderhoudsvensters. Dat zou IT-teams de flexibiliteit ontnemen om in bijna realtime te reageren op nieuwe bedreigingen, zonder de bedrijfsvoering van de organisatie te beïnvloeden. Een perfecte pasvorm voor deze vereisten is live patchen via tools zoals TuxCare’s KernelCare Enterprise-tool die automatische, niet-storende, live patching voor Linux-distributies levert.

Het is natuurlijk niet alleen het patchen dat geautomatiseerd moet worden. Net zoals cybercriminelen automatisering gebruiken om te zoeken naar kwetsbaarheden, moeten technische teams vertrouwen op geautomatiseerde, continue kwetsbaarheidsscans en penetratietesten. Binnen dit gebied van automatisering zouden ook firewalls, geavanceerde bescherming tegen bedreigingen, eindpuntbescherming, enzovoort moeten vallen.

Er is geen veilige plek om je te verstoppen

Het is duidelijk dat het dreigingsprobleem erger wordt, en wel snel – veel sneller dan organisaties ooit zouden kunnen hopen om hun beveiligingsteams uit te breiden als ze deze problemen inderdaad handmatig zouden willen aanpakken. In een bepaalde hoek zitten met betrekking tot de gebruikte oplossingen biedt ook geen soelaas, deels omdat oplossingen nu zo geïntegreerd zijn met code die op zoveel platforms wordt gedeeld dat een enkele kwetsbaarheid een bijna universele impact kan hebben.

Bovendien, zoals recent onderzoek aantoonde, sloot de top tien van de meest kwetsbare producten enkele opmerkelijke producten uit. Zo staat Microsoft Windows, dat voorheen werd gezien als een van de meest kwetsbare besturingssystemen, niet eens in de top tien – die in plaats daarvan wordt gedomineerd door op Linux gebaseerde besturingssystemen. Vertrouwen op wat als veiligere alternatieven wordt beschouwd, is geen goed idee.

Het onderstreept dat de enige echte veiligheid te vinden is in beveiligingsautomatisering. Van het scannen van kwetsbaarheden tot het patchen, automatisering is echt de enige route die overweldigde systeembeheerders kan helpen een zekere mate van controle te krijgen over een exploderende situatie – in feite is het de enige beheersbaar oplossing.

David
Rate author
Hackarizona