Glück oder Geschick? Prozessintegritätsrisiken besser verstehen mit Tenable Lumin

Unternehmenssystemrisiko und Prozessintegritätsrisiko sind zwei unverzichtbare Metriken, die Rahmen eines ausgereiften risikobasierten Schwachstellen-Management-Verfahrens auf keinen Fall fehlen dürfen. Dank der neu eingeführten Funktion zur Beurteilung der Bewertungsreife liefert Tenable Lumin ab sofort wertvolle Erkenntnisse zu beiden Kennzahlen.

Beim risikobasierten Schwachstellen-Management spielen Metriken für die folgenden zwei Risikoarten eine tragende Rolle:

• Unternehmenssystemrisiko
• Prozessintegritätsrisiko

Um das Risiko für Unternehmenssysteme effektiv reduzieren zu können, müssen Sicherheitsteams stets nachvollziehen können, welche Assets für ihr Unternehmen am kritischsten sind und bei welchen Schwachstellen dieser Assets die Wahrscheinlichkeit einer Ausnutzung am höchsten ist. Messungen des Risikos für Unternehmenssysteme bildeten bisher die Grundlage von Tenable Lumin.

Das Prozessintegritätsrisiko hingegen gibt Aufschluss über die Gefährdung, der Unternehmen aufgrund von unzureichenden Schwachstellen-Management-Verfahren ausgesetzt sind. Ein besseres Verständnis des Prozessintegritätsrisikos kann bei der Beantwortung von Fragen wie diesen behilflich sein:

• Welche kritischen Prozesse (z. B. Scan-Häufigkeit und Scan-Tiefe) müssen verbessert werden?
• Welche neuen Prozesse/Richtlinien sollten eingeführt werden?
• Wie schneiden unsere Prozesse verglichen mit anderen Unternehmen der Branche ab?
• Werden Bewertungsmaßnahmen nach Geschäftsbereich, Region und Asset-Gruppen optimiert?

Die Reduzierung des Prozessintegritätsrisikos erfordert ein genaues Verständnis von Remediation-Effektivität und Bewertungsreife. Hierbei handelt es sich um eine einzelne Metrik, anhand derer quantifiziert und verglichen werden kann, wie gut das Unternehmen bei der Schwachstellenbewertung der eigenen Umgebung aufgestellt ist.

Bedauerlicherweise ist der im Hinblick auf Prozessintegrität verfolgte Ansatz in vielen Unternehmen unausgereift. Aus dem Bericht zu Cyberverteidiger-Strategien von Tenable Research geht hervor, dass 52 % aller Unternehmen im Hinblick auf die eigene Schwachstellenbewertung lediglich einen niedrigen bis mittleren Reifegrad aufweisen. Nur 5 % verfolgen dabei einen sorgfältigen Ansatz („Diligent“-Stil) mit hoher Bewertungshäufigkeit, umfassender Asset-Abdeckung und zielgerichteten, maßgeschneiderten Bewertungen.

Quelle: Cyberverteidiger-Strategien: Was Ihre Vulnerability Assessment-Praktiken zeigen

Wenn Ihre Prozesse für Schwachstellenbewertung unvollständig sind oder nicht häufig genug angewendet werden, kann es sein, dass Sie ernsthafte Sicherheitsübergriffe nur durch reines Glück vermeiden. Aus diesem Grund empfiehlt sich eine sorgfältigere Vorgehensweise.

Bewertungsreife: Ein Maßstab für das Prozessintegritätsrisiko beim Schwachstellen-Management

Die seit neuestem in Tenable Lumin eingebundene Funktion zur Beurteilung der Bewertungsreife umfasst Metriken zur Bewertung des Risikos in Zusammenhang mit der Prozessintegrität und damit auch zur Umsetzung von Richtlinien- und Prozessverbesserungen. Sie hilft dabei, die Hintergründe Ihres Cyber Exposure-Status zu beleuchten – mit Erkenntnissen und Handlungsempfehlungen zur Reduzierung der Gefährdung. Dabei liefert sie insbesondere Informationen darüber, in welchem Umfang Scan-Häufigkeit, Plugin-Abdeckung und Authentifizierung erweitert werden sollten. Außerdem identifiziert sie Bereiche, in denen Diskrepanzen innerhalb Ihres Unternehmens sowie gegenüber anderen Unternehmen aus der Branche bestehen.

Metriken für die Bewertungsreife

Bewertungsreife ist eine neue Metrik in Tenable Lumin, mit der quantifiziert wird, wie gut ein Unternehmen die eigene Umgebung scannt. Dazu werden zwei zugrunde liegende Komponenten berechnet:

1. Scan-Häufigkeit: Wie häufig scannen Sie jedes Asset im Netzwerk? Die Berechnung dieser Metrik basiert auf der Anzahl einzelner Tage, an denen ein Asset während eines bestimmten Zeitraums gescannt wurde.
2. Scan-Tiefe: Wie tief oder gründlich wird jedes Asset auf Schwachstellen gescannt? Diese Metrik richtet sich nach der Anzahl der in einem Scan enthaltenen Plugins sowie danach, ob das Asset erfolgreich authentifiziert werden konnte oder nicht.

Die Punktezahl für die Bewertungsreife vereint Scan-Häufigkeit und Scan-Tiefe in einer einzigen Kennzahl. Die Punktezahl für die Bewertungsreife einer Gruppe von Assets entspricht dem Durchschnitt der entsprechenden Werte für die einzelnen Assets.

Benotung der Bewertungsreife

Tenable Lumin weist Ihrem Unternehmen eine Note zu, bei der neben den Werten bezüglich Scan-Häufigkeit, Scan-Tiefe und Bewertungsreife insgesamt auch Vergleiche mit anderen Unternehmen der Branche und der gesamten Nutzerbasis berücksichtigt werden. Anhand dieser Benotung können Sie Ihre Anstrengungen mit denen anderer Unternehmen vergleichen und Ihre Prozesse entsprechend verbessern.

Handlungsempfehlungen

Tenable Lumin bietet klare Handlungsempfehlungen zur Reduzierung des Prozessintegritätsrisikos, etwa die Verwendung von Richtlinienvorlagen und die systematische Planung der Häufigkeit und Tiefe von Scans.

Remediation-Effektivität (seit wann besteht die nicht behobene Schwachstelle?)

Um das Prozessintegritätsrisiko zu reduzieren, müssen Sie sich auch mit der Effektivität der ergriffenen Behebungsmaßnahmen befassen. Das Alter nicht behobener Schwachstellen in Ihrem Unternehmen ist eine wichtige Metrik, die Aufschluss über die Wirksamkeit von Behebungsprozessen gibt. Tenable Lumin verdeutlicht, wie lange Schwachstellen in Ihren Systemen bereits bestehen, und stellt neben Informationen zur Asset-Kritikalität auch eine Prioritätseinstufung für die Schwachstellen bereit.

Reduzierung des Cyber Exposure Score – Handlungsempfehlungen

Damit Sie Ihr Risiko möglichst effektiv reduzieren können, liefert Tenable Lumin Ihnen eine Liste mit Handlungsempfehlungen. Diese sind nach Priorität geordnet, sodass Sie gezielt die Maßnahmen ergreifen können, die den größten Einfluss auf die Senkung Ihres Cyber Exposure Score haben.

Cyberrisiko-Management mit Tenable Lumin

Wenn Sie das Unternehmenssystem- und Prozessintegritätsrisiko Ihres Unternehmens einschätzen möchten, testen Sie Tenable Lumin jetzt kostenlos.