Am ersten November hat das OpenSSL-Team die OpenSSL-Version 3.0.7 veröffentlicht. Diese Version enthält Korrekturen für zwei Sicherheitslücken mit einer als ‚hoch‘ eingestuften Risikobewertung, die alle Versionen von OpenSSL 3.0.0 bis 3.0.6 betreffen. OpenSSL ist ein Toolkit, das die sichere Kommunikation in Webservern und Anwendungen unterstützt. Als solches ist es ein wichtiger Bestandteil des TLS-Protokolls (Transport Layer Security), das für den sicheren Datentransfer verantwortlich ist. Die letzte ernsthafte Sicherheitslücke in OpenSSL war der Heartbleed-Bug vor acht Jahren.
Finden und handeln
Werden betroffene Implementierungen schnell gefunden und gepatcht, sinkt das Risiko. Die Herausforderung beim Patchen von Open-Source-Bibliotheken von Drittanbietern wie OpenSSL besteht darin, alle Stellen im Unternehmen zu finden, an denen das Problem auftritt. Denn bei OpenSSL handelt es sich um einen bestimmten Quellcode vom Softwareanbieter. Dieser ist oft auf verschiedene Speicherorte verteilt. So kann ein Teil des Codes sich statisch innerhalb eines bestimmten Programms befinden, ein anderer Teil liegt in dynamisch verlinkten Ressourcen. Diese Abhängigkeiten sind für Schwachstellen-Scanner oft schwer zu erkennen. Ein mehrschichtiger Ansatz kann helfen, verstreute Sicherheitslücken zu identifizieren.
Überblick per SBOM
Die isolierte Betrachtung einer Applikation reicht in vielen Fällen nicht für eine abschließende Risikoanalyse aus, da sich Zero Day Sicherheitslücken auch in nachgelagerten Anwendungen befinden können. Ein SBOM-Tool kann Drittanbieter-Bibliotheken identifizieren, die mit schwachstellenbehafteten Softwarepaketen verbunden sind. Tanium SBOM nutzt etwa einen einzigen Agenten, um komplexe Softwareumgebungen transparenter zu machen. Die Konsolidierung von sicherheitsrelevanten Informationen in einem zentralen Tool ermöglicht es Unternehmen, besser informierte Entscheidungen beim Risikomanagement zu treffen und Sicherheitslücken zu schließen. Nach der Konfiguration des SBOM sieht die IT-Abteilung die Details zu jeder Softwareanwendung im Unternehmensnetz – also auch, wo sich anfällige Pakete befinden. Durch Abfragen lassen sich darüber hinaus auch weitere Metriken einer Anwendung (Patchstatus, betroffene Endgeräte etc.) nahezu in Echtzeit und über die gesamte IT-Infrastruktur hinweg überwachen.
Schnelle Antworten auf viele Fragen
Wird eine Zero-Day-Schwachstelle bekannt, kann das Aufspüren aller auf Endpunkten installierten Instanzen mit bis zu zwei Wochen oder länger dauern. Diese Aufgabe lässt sich jedoch auf einige wenige zentrale Fragen herunterbrechen: