Inmitten der sich ständig weiterentwickelnden Landschaft der Cybersicherheit dient die jüngste Enthüllung einer Zero-Day-Schwachstelle in Fortinet FortiOS als deutliche Erinnerung an das ständige Katz-und-Maus-Spiel zwischen Verteidigern und Angreifern.

<drupal-media data-Entity-type="media" data-Entity-uuid="d6241380-583a-47e4-9190-55f1785aa5dc" data-embed-type="popup"></drupal-Entity>

Potenziellen Sicherheitsbedrohungen immer einen Schritt voraus zu sein, ist nicht nur eine Best Practice; es ist eine Notwendigkeit. Für Entwickler:innen besteht die Herausforderung nicht nur darin, Schwachstellen zu identifizieren, sondern dies auch proaktiv zu tun, insbesondere wenn es um Zero-Day-Exploits geht. In diesem Blogbeitrag untersuchen wir, wie New Relic Application Performance Monitoring (APM) Entwickler:innen in die Lage versetzt, Alerts zu Zero-Day-Schwachstellen zu erstellen, und so eine robuste Lösung zur Verbesserung des Sicherheitsstatus ohne umfangreiche Scans bietet.

Entwickler:innen stehen oft vor der Aufgabe, das empfindliche Gleichgewicht zwischen Agilität und Sicherheit zu wahren. New Relic ist sich dieser Herausforderung bewusst und bietet umfassende Tools zur Straffung des Prozesses. Heute befassen wir uns mit zwei Schlüsselfunktionen – Alert-Bedingungen und -Richtlinien innerhalb der New Relic Plattform sowie Integration in Vulnerability Management –, die es Entwickler:innen ermöglichen, gezielte Alert-Regeln zu erstellen und ihre Sicherheitslage mühelos im Griff zu behalten.

Diese Toolsets sehen wir uns nun einmal genauer an und beleuchten, wie sie Entwickler:innen in die Lage versetzen, zeitnahe Benachrichtigungen zu bestimmten häufig vorkommenden Schwachstellen oder CVEs (Common Vulnerabilities and Exposures) zu erhalten und jederzeit über den aktuellen Sicherheitsstatus ihrer Anwendung im Bilde zu bleiben. Darüber hinaus lüften wir den Schleier über den Vorgängen in der New Relic Datenbank (NRDB) und dem Tab „Environment Snapshot“, auf dem alle Änderungen, auch Bibliotheksänderungen, lückenlos aufgezeichnet werden. Begleiten Sie uns auf unserer Reise durch das Reich der Zero-Day-Schwachstellen-Alerts und erschließen Sie das volle Potenzial von New Relic APM für Entwickler:innen.

Was genau sind Zero-Day-Schwachstellen-Alerts?

Bevor wir näher auf die Vorteile von Zero-Day-Alerts eingehen, müssen wir zunächst verstehen, was das eigentlich ist.

Zero-Day-Alerts sind in der Softwareentwicklung von entscheidender Bedeutung. Stellen Sie sich Folgendes vor: Sie sind mitten im Codieren und plötzlich erscheint eine Warnung – eine Zero-Day-Schwachstelle wird erkannt. Es ist nicht irgendwelche Schwachstelle; es ist etwas, von dem bisher niemand etwas wusste. Zero-Day-Alerts sind wie unerwartete Gäste – sie erfordern sofortige Aufmerksamkeit.

Diese Alerts weisen auf das Auftreten bisher unbekannter Schwachstellen oder Sicherheitsbedrohungen hin. Im Gegensatz zu bekannten Patch-Problemen platzen Zero-Day-Schwachstellen unangekündigt herein und erfordern schnelles Handeln und Wachsamkeit.

Einige Entwickler:innen denken möglicherweise, dass ihre Arbeit erledigt ist, sobald ihr Quellcode bei der Kompilierung auf Schwachstellen gescannt wurde. Aber auch nachdem die Anwendung oder der Service in Produktion gebracht wurde, im Durchschnitt bis zu drei Jahre später, wird oft eine Sicherheitslücke offengelegt, die beim ursprünglichen Scannen des Quellcodes nicht bekannt war. Das Auffinden und Beheben dieser Schwachstellen stürzt viele Unternehmen in eine Krise.

Zero-Day-Alerts sind nicht nur Benachrichtigungen; sie sind dringende Handlungsaufforderungen. Sie erinnern uns daran, dass sich die digitale Landschaft ständig verändert, und machen deutlich, dass wir bei unseren Abwehrmaßnahmen wachsam und reaktionsfähig bleiben müssen. Wir müssen den Gefahren stets voraus sein, das Unerwartete erwarten und unsere digitale Welt vor dem Unbekannten schützen. In der Softwareentwicklung sind es die Zero-Day-Alerts, die uns auf Trab halten und erfordern, dass wir jederzeit bereit sind, Überraschungen direkt anzugehen.

Die Vorteile für Entwickler:innen

Für Entwickler:innen ist eine proaktive Sicherheitshaltung nicht nur empfehlenswert, sondern ein strategischer Vorteil. New Relic APM und [Vulnerability Management](https://docs.newrelic.com /docs/vulnerability-management/overview/) bilden ein dynamisches Duo, das Entwicklungsteams mit einer breiten Palette an Vorteilen ausstattet und die Art und Weise revolutioniert, wie wir die Sicherheit im Software-Dev-Lifecycle angehen.

Hier sind einige Vorteile dieses Ansatzes:

  • Echtzeit-Alerts zu Zero-Day-Events: Herkömmliche Scanner arbeiten mit geplanten Scans und verpassen oft den kritischen Moment, wenn ein Zero-Day-Event in einer Bibliothek auftritt. Mit APM und Vulnerability Management erhalten Entwickler:innen Echtzeit-Alerts, die eine schnelle Reaktion auf potenzielle Schwachstellen gewährleisten. Dieses Toolset eliminiert die Einschränkungen von Scannern und bietet ein Maß an Unmittelbarkeit, das in der heutigen schnelllebigen Entwicklungslandschaft von entscheidender Bedeutung ist.

  • Umfassende Transparenz in Ihrer gesamten Umgebung: Der APM Agent fungiert als wachsamer Aufpasser und bietet umfassende Sichtbarkeit in Ihrer gesamten Umgebung. Er geht über einzelne Anwendungen hinaus und zeigt, was gerade ausgeführt wird, wo es ausgeführt wird sowie wie der Sicherheitsstatus von Tausenden von Anwendungen aussieht. Diese ganzheitliche Perspektive ermöglicht Entwickler:innen ein umfassendes Verständnis ihrer Anwendungslandschaft und übertrifft die Fähigkeiten herkömmlicher Scan-Tools.

  • Sofortige Tragweitenanalyse: Stellen Sie sich vor, Sie hätten sofortige Antworten auf kritische Fragen: Was genau ist betroffen? Welche Folgen hat das? Wie kann ich das Problem beheben? APM und Vulnerability Management stellen nicht nur Alerts bereit, sondern ermöglichen es Entwickler:innen auch, die Tragweite sofort einzuschätzen. Die Automatisierung rationalisiert den Prozess weiter und ermöglicht eine schnelle Entscheidungsfindung und effiziente Problembehebung. Entwickler:innen können über den Status der Behebungsbemühungen bestimmter Probleme informiert bleiben, was eine Kultur der Verantwortlichkeit und Transparenz fördert.

  • Kontinuierliche Zero-Day-Analyse: Während Scanner punktuelle Snapshots liefern, die nach Änderungen an der jeweiligen Codebasis oder Umgebung möglicherweise veraltet sind, bieten APM und Vulnerability Management eine kontinuierliche Analyse. Jede Veränderung in Ihrer Umgebung wird in Echtzeit erfasst und bewertet. Dadurch wird sichergestellt, dass Ihre Sicherheitslage nicht nur eine Momentaufnahme ist, sondern ein fortlaufender, adaptiver Prozess, der sich mit Ihrer Anwendung weiterentwickelt.

  • Proaktive Prävention und Zusammenarbeit: APM und Vulnerability Management gehen über die bloße Schwachstellenerkennung hinaus; sie befähigen Entwickler:innen, Probleme proaktiv zu verhindern. Sie können beispielsweise Benachrichtigungen erhalten, um aufgrund eines nötigen Upgrades den Aufruf einer bestimmten Bibliothek zu vermeiden, wodurch ein Grundrauschen von Bibliotheks-Schwachstellen im Zusammenhang mit mehreren Entities verhindert wird. Dieser proaktive Ansatz mindert nicht nur Risiken, sondern verhindert auch die hohen Kosten für die spätere Behebung von Schwachstellen.

  • Automatische Erkennung und Behebung neuer Abhängigkeiten: Bleiben Sie immer einen Schritt voraus, indem Sie Schwachstellen in neuen Abhängigkeiten automatisch erkennen und beheben. APM und Vulnerability Management ermöglichen es Entwickler:innen, Probleme anzugehen, bevor sie sich ausbreiten, und Schwachstellen oft schon zu beheben, bevor das Sicherheitsteam sich des Problems überhaupt bewusst ist. Dieser Grad der Automatisierung erhöht nicht nur die Sicherheit, sondern optimiert auch die Entwicklungsworkflows, sodass sich Teams auf Innovation statt auf Brandbekämpfung konzentrieren können.

Die erheblichen Vorteile sind uns nun bekannt. Jetzt sehen wir uns an, wie wir diese Toolsets praktisch nutzen und Zero-Day-Schwachstellen-Alerts mit New Relic APM, Alerts und Applied Intelligence erstellen.

Erstellen von gezielten Alert-Regeln mit New Relic

Für Entwickler:innen ist Wachsamkeit der Schlüssel zum Thema Sicherheit, und New Relic APM bietet dabei einen starken Verbündeten. Mit den Toolsets für Alerts und Applied Intelligence können Entwickler:innen nahtlos maßgeschneiderte Alert-Regeln erstellen, um rechtzeitig Benachrichtigungen zu bestimmten CVEs zu erhalten.

Stellen Sie sich ein Szenario vor, in dem eine kritische CVE identifiziert wird und schnelles Handeln erforderlich ist. Mit New Relic APM können Sie zum Tab „Alert Conditions“ navigieren, wo Sie benutzerdefinierte Alert-Bedingungen basierend auf bestimmten Parametern wie Fehlerquote, Antwortzeit oder Throughput einrichten können. Durch die Integration von Vulnerability Management in diesen Prozess können Sie Ihre Alert-Regeln auf Schwachstellen ausweiten und so Ihre Sicherheitsmaßnahmen nicht nur schnell durchführen, sondern auch genau auf die einzigartigen Merkmale Ihrer Anwendung abstimmen.

Im Detail sieht das so aus:

  1. Navigieren Sie auf der New Relic Plattform zu Alerts & AI:
  • Suchen Sie den Abschnitt Alert Policies, um auf die leistungsstarken Alerting-Toolsets der New Relic Plattform zuzugreifen.

    zero day vulnerability alerts alert policies

  1. Erstellen Sie eine neue Alert-Richtlinie:
  • Definieren Sie eine neue Alert-Richtlinie, die auf die Anforderungen Ihrer Anwendung zugeschnitten ist. Diese Richtlinie dient als Grundlage für Ihre benutzerdefinierten Alert-Regeln.

    zero day vulnerability alerts new alert policy

  1. Erstellen Sie eine Alert-Bedingung:
  • Geben Sie einen Namen an: New Zero Day Library Vulnerability.

  • Geben Sie die NRQL-Abfrage (New Relic Query Language) SELECT count(*) FROM Vulnerability where issueType = 'Library Vulnerability' ein.

    zero day vulnerability alerts alert condition nrql

  • Legen Sie Schwellenwerte fest. Der wichtige Aspekt in diesem Abschnitt ist „Open incidents with a:”. Hier legen Sie fest, wann ein kritischer Incident ausgelöst werden soll. Natürlich möchten wir Alerts erhalten, sobald die Abfrage im angegebenen Zeitfenster mindestens einmal einen Wert über 0 zurückgibt.

    zero day vulnerability alerts alert condition thresholds

  • Fügen Sie Details hinzu. Geben Sie einen Namen für Ihre Alert-Bedingung ein und passen Sie die anderen Einstellungen nach Bedarf an.

    zero day vulnerability alerts alert condition details

Wenn Sie diese Schritte befolgen, ermöglichen Sie Ihrem Entwicklungsteam eine proaktive Haltung gegenüber Schwachstellen und erhalten Benachrichtigungen, die nicht nur zeitnah, sondern auch genau auf die individuellen Sicherheitsanforderungen Ihrer Anwendung abgestimmt sind.