Software Bill of Materials

Mit SBOM gegen Zero Day-Schwachstellen

Werden Zero Day-Schwachstellen bekannt, ist schnelles Handeln gefragt. Doch welche Systeme sind überhaupt betroffen und wie spüren IT-Sicherheitsverantwortliche sie auf? Ein SBOM-Tool hilft, indem es firmenweit verwendete Software-Bibliotheken inventarisiert.

Bild: ©Oscar/stock.adobe.com
Bild: ©Oscar/stock.adobe.com

Am ersten November hat das OpenSSL-Team die OpenSSL-Version 3.0.7 veröffentlicht. Diese Version enthält Korrekturen für zwei Sicherheitslücken mit einer als ‚hoch‘ eingestuften Risikobewertung, die alle Versionen von OpenSSL 3.0.0 bis 3.0.6 betreffen. OpenSSL ist ein Toolkit, das die sichere Kommunikation in Webservern und Anwendungen unterstützt. Als solches ist es ein wichtiger Bestandteil des TLS-Protokolls (Transport Layer Security), das für den sicheren Datentransfer verantwortlich ist. Die letzte ernsthafte Sicherheitslücke in OpenSSL war der Heartbleed-Bug vor acht Jahren.

Finden und handeln

Werden betroffene Implementierungen schnell gefunden und gepatcht, sinkt das Risiko. Die Herausforderung beim Patchen von Open-Source-Bibliotheken von Drittanbietern wie OpenSSL besteht darin, alle Stellen im Unternehmen zu finden, an denen das Problem auftritt. Denn bei OpenSSL handelt es sich um einen bestimmten Quellcode vom Softwareanbieter. Dieser ist oft auf verschiedene Speicherorte verteilt. So kann ein Teil des Codes sich statisch innerhalb eines bestimmten Programms befinden, ein anderer Teil liegt in dynamisch verlinkten Ressourcen. Diese Abhängigkeiten sind für Schwachstellen-Scanner oft schwer zu erkennen. Ein mehrschichtiger Ansatz kann helfen, verstreute Sicherheitslücken zu identifizieren.

Überblick per SBOM

Die isolierte Betrachtung einer Applikation reicht in vielen Fällen nicht für eine abschließende Risikoanalyse aus, da sich Zero Day Sicherheitslücken auch in nachgelagerten Anwendungen befinden können. Ein SBOM-Tool kann Drittanbieter-Bibliotheken identifizieren, die mit schwachstellenbehafteten Softwarepaketen verbunden sind. Tanium SBOM nutzt etwa einen einzigen Agenten, um komplexe Softwareumgebungen transparenter zu machen. Die Konsolidierung von sicherheitsrelevanten Informationen in einem zentralen Tool ermöglicht es Unternehmen, besser informierte Entscheidungen beim Risikomanagement zu treffen und Sicherheitslücken zu schließen. Nach der Konfiguration des SBOM sieht die IT-Abteilung die Details zu jeder Softwareanwendung im Unternehmensnetz – also auch, wo sich anfällige Pakete befinden. Durch Abfragen lassen sich darüber hinaus auch weitere Metriken einer Anwendung (Patchstatus, betroffene Endgeräte etc.) nahezu in Echtzeit und über die gesamte IT-Infrastruktur hinweg überwachen.

Schnelle Antworten auf viele Fragen

Wird eine Zero-Day-Schwachstelle bekannt, kann das Aufspüren aller auf Endpunkten installierten Instanzen mit bis zu zwei Wochen oder länger dauern. Diese Aufgabe lässt sich jedoch auf einige wenige zentrale Fragen herunterbrechen:

  • • Wo befindet sich das Softwarepaket?
  • • Welche Open-Source-Abhängigkeiten bestehen?
  • • Welche Version des Softwarepakets wird ausgeführt?
  • • Verwenden andere Anwendungen dieses Softwarepaket?
  • • Wie aktuell sind meine Informationen?

Und auch von Seiten der Führungsebene werden IT-Sicherheitsverantwortliche mit Fragen konfrontiert, die es schnell zu beantworten gilt.

50 Sicherheitslücken

Ein durchschnittliches Anwendungsentwicklungsprojekt enthält fast 50 Sicherheitslücken, die sich nach Angaben der Linux Foundation auf 80 direkte Abhängigkeiten erstrecken. Während indirekte Abhängigkeiten noch schwieriger zu finden sind, verstecken sich genau dort 40 Prozent aller Sicherheitslücken. Um die genaue Gefahrenlage für das eigene Unternehmen einschätzen zu können, müssen viele verschiedene Software-Komponenten unter die Lupe genommen werden: Java, JavaScript, Python, PHP, Ruby, GoLang-Binaries sowie OpenSSL. Auch der Blick in Shared Libraries ist wichtig, um feststellen zu können, welche Pakete vorhanden sind. Haben IT-Verantwortliche etwa Log4j- oder OpenSSL-Instanzen in der eigenen IT-Infrastruktur identifiziert, können sie mit verschiedenen Suchmethoden der Tanium-Software feststellen, auf welchen Endgeräten diese im Einsatz sind.

Checkliste für den Notfall

Es ist unmöglich zu prognostizieren, wann und wo die nächste Schwachstelle in der Lieferkette auftreten wird. Eine Sicherheitsstrategie kann jedoch die Voraussetzungen für ein schnelles Eingreifen im Notfall schaffen. Dafür können Unternehmen die folgende Checkliste abarbeiten:

  • • Erstellen einer Liste aller Geräte, die betroffen sein könnten.
  • • Muss die Nutzung eines Geräts eingestellt werden?
  • • Müssen spezifische Prozesse, wie z.B. Druckspooler, beendet werden?
  • • Patchen der entsprechenden Anwendung auf allen Endgeräten.
  • • Bereitstellung der neuesten Version der Anwendung für zukünftige Installationen.

Unabhängig davon, wo ein akutes Problem liegen mag: Am Anfang jeder Maßnahme steht die Sichtbarkeit der gesamten IT-Infrastruktur. Ohne einen Einblick in die Stellschrauben der Sytseme können sich Probleme unbemerkt im System verstecken, festsetzen oder sogar auf weitere Geräte und Systeme ausbreiten. Endpunktmanagement in Verbindung mit SBOM bildet daher eine Basis für eine IT-Sicherheitsstrategie.