Veröffentlichungen

Mondoo Feuerwache

Dominik Richter

April 17, 2024

Lesedauer: 4 Minuten

Wir freuen uns, die nächste Hauptversion von Mondoo ankündigen zu können, die eine effektive neue Methode zur Priorisierung von Risiken einführt. Bei diesem Ansatz werden Bedrohungen und Risiken berücksichtigt, um die Ergebnisse hervorzuheben, die die größten tatsächlichen Risiken darstellen. Das Ergebnis ist, dass Sie nicht in Problemen und Warnmeldungen ertrinken. Stattdessen können Sie sich auf die besten Maßnahmen konzentrieren, die Ihre Sicherheit erhöhen.

Probleme mit der Priorisierung

Traditionell werden Ergebnisse anhand ihrer Auswirkungen bewertet. Bei Sicherheitslücken erfolgt dies über CVSS. Mondoo hat alle Richtlinien und Prüfungen priorisiert und auch eine Bewertung ihrer Auswirkungen vorgenommen. Dieser Ansatz ist einfach zu starten, übertönt unser Dashboard jedoch schnell in kritischen Ergebnissen.

Die meisten Sicherheitstools sind für die Berichterstattung optimiert. Am längsten wurden diese Apps anhand der Anzahl der Ergebnisse gemessen, die sie in ihrer Zielumgebung erzielten. Im Laufe der Zeit fügten wir immer mehr Technologien hinzu, was zu einem Bedarf an weiteren Sicherheitstools führte und somit zu mehr Ergebnissen führte. Wir haben darauf geachtet, Fehlalarme so weit wie möglich zu eliminieren und eine lokalisierte Priorisierung anzubieten.

Leider werden die Dinge trotz einer Menge Ergebnisse nicht annähernd so schnell behoben, wie wir es uns wünschen. Als wir Zeit mit Plattform- und Entwicklungsteams verbrachten, erfuhren wir viel über ihre Frustrationen.

Zwei Dinge tauchten immer wieder auf:

Erstens: Klare und umsetzbare Ergebnisse sind Voraussetzung. Wenn Sie ein Problem melden, müssen Sie auch Anleitungen zur Lösung des Problems bereitstellen.

Zweitens: Das größte Problem ist immer noch die Priorisierung.

In einigen Fällen verursachen Sicherheitstools Probleme mit hoher Priorität, die sich schnell als nur geringfügige Probleme herausstellen. Manchmal gehen wichtige Erkenntnisse in einer langen Liste ähnlich gemeldeter Probleme verloren. Bestimmte Pakete dürfen nur für Entwicklungszwecke verwendet und niemals in einer Produktionsumgebung ausgeführt werden.

Sicherheitsteams spüren diesen Schmerz ebenfalls. Die heutigen Umgebungen sind komplex und schwer zu verstehen. Sie umfassen Clouds, Workloads und Services. Es ist leicht, ein Ergebnis zu übersehen, das Ihr Unternehmen tatsächlich gefährdet. Diese Unsicherheit wird durch Komplexität verursacht.

Eine effektive Priorisierung reduziert die Komplexität und macht die Ergebnisse sowohl für Sicherheits- als auch für Plattformteams leichter verständlich. Letztlich können wir die Akzeptanz von Sicherheitslösungen in einem Unternehmen erhöhen, indem wir sie zugänglich machen und leicht umsetzbar machen.‍

Risiken und Exposition

Wenn Sie sich mit Ihrer ersten Tasse Kaffee hinsetzen, möchten Sie wissen, welche Erkenntnisse Sie zuerst angehen werden. Welche Sicherheitslücke hat die größte Auswirkung? Welches Problem birgt das größte tatsächliche Risiko einer Sicherheitsverletzung? Welches Paket hat, wenn es aktualisiert wird, den größten Einfluss auf Ihre Körperhaltung?

Dies ist das „Problem mit der ersten Tasse Kaffee“ im Sicherheitsbereich. Es dreht sich um eine effektive Priorisierung der Ergebnisse.

Dazu benötigen wir drei Komponenten: die Auswirkungen des Befundes, sein kontextuelles Risiko und seine nachgelagerte Exposition.

Kontextuelle Risiken sind alles Dinge, die ein Angreifer verwendet, um ein Sicherheitsproblem in einem verteilten System auszunutzen. Zum Beispiel: Wenn Sie eine Sicherheitslücke in Ihrem SSHD-Paket entdecken, brauchen Angreifer immer noch eine Möglichkeit, sie zu erreichen. Dies kann erreicht werden, indem die Binärdatei des anfälligen Pakets auf dem Betriebssystem ausgeführt wird und überprüft wird, ob ein Listening-Port geöffnet wird. In Cloud-Umgebungen stellen wir möglicherweise sogar fest, dass die Instanz über eine öffentliche IP und offene Sicherheitsgruppen zugänglich gemacht wird.

Einige Maßnahmen können auch das Kontextrisiko verringern. Beispielsweise können Benutzer Firewalls, Sicherheitsregeln oder andere Gegenmaßnahmen wie LSMs hinzufügen.

All diese miteinander verketteten Aspekte beschreiben das kontextuelle Risiko einer Sicherheitslücke im Verhältnis zur Rolle des Vermögenswerts im Gesamtsystem.

Downstream-Exposition Konten für alle Dinge, die ein Angreifer verwenden wird, nachdem er ein Sicherheitsproblem ausgenutzt hat. Sie können sich beispielsweise Zugriff auf Benutzerkonten, Anmeldeinformationen, Datenbanken oder andere Systeme im Netzwerk verschaffen. Auf einigen Knoten werden möglicherweise kritische Workloads ausgeführt, z. B. Kubernetes-Cluster oder Datenbanken selbst.

Schließlich können einige Systeme Teil Ihrer kritischen Infrastruktur sein, während andere nur für die Entwicklung verwendet werden. Diese Systeme können gekennzeichnet und anschließend während der Risikobewertung neu priorisiert werden (siehe nächster Abschnitt).

Sowohl die Kontextrisiken als auch die nachgelagerte Exposition werden kombiniert zu Risikofaktoren. Diese Risikofaktoren bieten zusätzlich zu den traditionellen Auswirkungen ein Bewertungssystem, das das Risiko eines Befundes im Kontext des Gesamtsystems zum Ausdruck bringt.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Maßgeschneiderte Priorisierung

Plattformteams wissen oft, welche Systeme für den Betrieb des Unternehmens am wichtigsten sind. Zum Beispiel: Zahlungssysteme müssen jederzeit betriebsbereit und so sicher wie möglich sein. Die Dienste für Entwickler sind möglicherweise nachsichtiger und können häufige wichtige Änderungen unterstützen.

Um Unternehmen mit diesen individuellen Bedürfnissen zu unterstützen, ist Mondoo die erste Lösung auf dem Markt, die eine vollständig anpassbare Risikopriorisierung bietet.

Sie können die Risikopriorität in der Mondoo-Konsole über eine einfache Konfiguration anpassen. (Diese Funktion wird diesen Monat allgemein verfügbar sein.) Verwenden Sie einen einfachen Schieberegler, um den Einfluss einzelner Risikofaktoren zu erhöhen oder zu verringern.

Ein Beispiel: Einige Teams legen großen Wert auf Systeme an ihrem Perimeter, während andere die Ergebnisse gleichermaßen zwischen internetfähigen und internen Systemen priorisieren. Für letztere gelten möglicherweise Prüfanforderungen wie schnelle Lösungszeiten für Sicherheitslücken auf allen Geräten.

Im ersten Fall können Benutzer die Auswirkungen des Risikofaktors für Systeme mit Internetzugriff erhöhen, wodurch interne Ressourcen an Bedeutung verlieren. Im letzteren Fall können Benutzer den Risikofaktor so ändern, dass er keinerlei Einfluss auf die Priorisierung hat. Mondoo kennzeichnet immer noch Systeme, die mit dem Internet verbunden sind, in der Benutzeroberfläche, aber interne Systeme werden nicht depriorisiert.

Schließlich können Benutzer auch ihre eigenen Risikofaktoren definieren und bewerten. Weit über das einfache Tagging hinaus, können sie Systeme als kritisch neu priorisieren, wenn bestimmte Workloads auf ihnen ausgeführt werden. Andere Teams können nach Netzwerkzugriff oder Zugangsdaten suchen und alle Ergebnisse neu priorisieren, wenn sie auf diesen Ressourcen gefunden werden.

Prioritätendiagramme

Wir starten eine umfassende Überarbeitung der Mondoo-Konsole mit brandneuen Visualisierungen der Ergebnisse:

Das interaktive Diagramm auf der linken Seite ermöglicht es uns, unsere Umgebungen nach Technologien zu erkunden und schnell die Bereiche zu finden, die am stärksten betroffen sind. In diesem Fall können Sie sehen, dass Kubernetes Aufmerksamkeit benötigt. Sobald Sie sich eingehender damit befasst haben, können Sie sogar die Objekttypen und Assets finden, die korrigiert werden müssen.

Die rechte Seite zeigt neue Ergebnislisten, die nach kontextuellen Risiken priorisiert sind. Sie enthalten sowohl eine Risikobewertung (basierend auf Risiko und Exposition) als auch einen Explosionsradius, der angibt, wie viele Systeme mit unterschiedlichen Kritikalitätsstufen betroffen sind.

Darüber hinaus haben wir die Liste der Sicherheitslücken und Hinweise überarbeitet und eine neue Liste von Prüfungen eingeführt, die nach der Risikobewertung priorisiert sind. Diese enthalten aggregierte Ergebnisse für die Umgebung mit kontextuellen Risikobewertungen, Explosionsradius und Risikofaktoren für jeden Befund. Wir sind auch dabei, Sicherheitslücken zu veröffentlichen, die nach Software in Umgebungen gruppiert sind.

Schließlich fügen wir in Kürze eine Liste von Ergebnissen hinzu, die nach Risikofaktoren für jede Umgebung gruppiert sind. Dies ist nützlich, um Gesamtrisiken, wie z. B. alle Systeme, die mit dem Internet verbunden sind, zu erfassen. Es ermöglicht uns auch, EOL-Systeme nativ zu gruppieren und die aktuelle EOL-Richtlinie zu ersetzen.

Zusammenfassung und Ausblick

Risikofaktoren sind eine hervorragende Möglichkeit, die wirkungsvollsten Maßnahmen zu priorisieren, die Ihre Teams in ihrer Umgebung ergreifen können. Im nächsten Monat werden wir außerdem Risikodiagramme und eine Kontrollkette hinzufügen, damit diese noch einfacher zu verstehen und nachzuvollziehen sind.

Wann immer Sie auf die erste Tasse Kaffee am Morgen warten, werden wir damit beschäftigt sein, Kontextrisiken für all Ihre Ergebnisse zu priorisieren.

Dominik Richter

Dom ist Gründer, Programmierer und Hacker und einer der Schöpfer von Mondoo. Mit Projekten wie InSpec und Dev-Sec.io hat er den DevOps- und Sicherheitsbereich mitgestaltet. Dom arbeitete in den Bereichen Sicherheit und Automatisierung bei Unternehmen wie Google, Chef und der Deutschen Telekom. Neben seiner Arbeit liebt er es, tief in die Hacker- und Nerdkultur, Wissenschaft und den Geist einzutauchen und farbenfrohe Pasta von Grund auf neu zuzubereiten.

Vergleiche

Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen

Deborah Galea

August 4, 2025

Sanierung

Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben

Parag Baxi

July 24, 2025