Grundprinzipien des risikobasierten Schwachstellen-Managements

Abschnitt 1: Risikobasiertes Schwachstellen-Management im Überblick

---

Was ist risikobasiertes Schwachstellen-Management?

Risikobasiertes Schwachstellenmanagement (RBVM) hilft bei der Identifizierung und Verwaltung von Risiken, die Ihr Unternehmen bedrohen. Es setzt durch maschinelles Lernen gestützte Analysen ein, um den Schweregrad von Schwachstellen und die Aktivitäten von Bedrohungsakteuren mit der Kritikalität von Assets in Beziehung zu setzen. Auf diese Weise können Sie die Schwachstellen, von denen das größte Risiko für Ihr Unternehmen ausgeht, priorisieren und beseitigen und anschließend diejenigen, die ein geringeres Risiko darstellen, zurückstellen.

Risikobasiertes Schwachstellen-Management baut auf herkömmlichen Schwachstellen-Management-Verfahren auf und hilft Ihnen dabei, Ihre Schwachstellenüberlastung um bis zu 97 % zu reduzieren, indem die Top 3 % der Schwachstellen ermittelt werden, die das größte Risiko für Ihr Unternehmen darstellen.

Wodurch unterscheiden sich risikobasiertes Schwachstellen-Management und herkömmliches Schwachstellen-Management?

Herkömmliche Schwachstellen-Management-Tools bilden das theoretische Risiko für Ihr Unternehmen ab. Sie zeigen auf, welche Bedrohungen durch eine Schwachstelle in Ihre Umgebung gelangen könnten, ohne dabei zu verdeutlichen, von welchen Bedrohungen tatsächlich Risiken ausgehen. Das kann dazu führen, dass Ihr Sicherheitsteam auf Abwege gerät und versucht, Schwachstellen zu beheben, die kein echtes Risiko für Ihr Unternehmen darstellen, während kritische Schwachstellen übersehen werden, die sich eher auf Ihr Unternehmen auswirken könnten.

Risikobasiertes Schwachstellen-Management hingegen leistet mehr, als nur Schwachstellen zu erfassen. Es unterstützt Sie auch dabei, Risiken zusammen mit dem jeweiligen Bedrohungskontext nachzuvollziehen, und bietet Ihnen Einblick in potenzielle geschäftliche Auswirkungen, die mit diesen Risiken verbunden sind.

Herkömmliches Schwachstellen-Management liefert zudem Unmengen von Schwachstellendaten ohne konkrete Erkenntnisse zu der Frage, welche Schwachstellen zuerst behoben werden sollten. Mit risikobasiertem Schwachstellen-Management hat dieses Rätselraten ein Ende.

Es trifft zu, dass herkömmliches Schwachstellen-Management Ihnen hilft, Risiken zu erfassen. Doch bei der angemessenen Priorisierung im Hinblick auf die Frage, von welchen Bedrohungen tatsächlich Risiken für Ihr Unternehmen ausgehen, ist es keine große Hilfe – und einer modernen Angriffsoberfläche mit immer mehr Bedrohungen ist es nicht gewachsen.

Aufgrund der Komplexität Ihrer Angriffsoberfläche kann Ihnen herkömmliches Schwachstellen-Management keinen vollständigen Einblick in sämtliche Geräte, die Ihr Netzwerk durchlaufen, und die damit verbundenen Risiken bieten. Denn Ihre moderne Angriffsoberfläche ist nicht mehr nur auf herkömmliche IT-Assets beschränkt. Die heutige Angriffsoberfläche beinhaltet Web-Apps, Cloud-Infrastruktur, mobile Geräte, Container, IoT-Geräte (Internet of Things), IIoT-Geräte (Industrial Internet of Things), OT-Technologien (Operational Technologies), die mit Ihrer IT-Infrastruktur konvergieren und verbunden sind, und mehr.

Herkömmliches Schwachstellen-Management hinterlässt blinde Flecken, die ein risikobasiertes Schwachstellen-Management besser ausleuchten kann, sodass Sie die Schwachpunkte in Ihren bestehenden Sicherheitsprogrammen beseitigen können.

Bei einem risikobasierten Ansatz für das Schwachstellen-Management kann sich Ihr Team auf die wichtigsten Schwachstellen und Assets konzentrieren und das tatsächliche Geschäftsrisiko reduzieren, anstatt kostbare Zeit mit Schwachstellen zu verschwenden, bei denen es nicht sehr wahrscheinlich ist, dass Angreifer sie ausnutzen.

Im Folgenden finden Sie einige weitere Aspekte, in denen sich risikobasiertes Schwachstellen-Management und herkömmliches Schwachstellen-Management unterscheiden:

Herkömmliches Schwachstellen-Management

• Bewertet traditionelle On-Prem-IT-Assets, z. B.:
• Desktop-Computer
• Server
• Geräte in Ihrem Netzwerk
• Ignoriert moderne Geräte in Ihrer Angriffsoberfläche, z. B.:
• Web-Apps
• Mobilgeräte
• Cloud-Infrastruktur
• IoT
• IIoT
• Container
• OT
• Hinterlässt blinde Flecken und setzt Ihr Unternehmen Risiken aus
• Erfüllt ein Mindestmaß an Compliance-Anforderungen
• Stellt statische Momentaufnahmen Ihrer Schwachstellendaten bereit
• Ist reaktiv

Risikobasiertes Schwachstellen-Management

• Ermöglicht Bewertung von traditionellen wie auch modernen Assets
• Nutzt maschinelles Lernen zur Kombination von Schwachstellendaten mit Asset-Kritikalität, Threat-Intelligence und Exploit-Intelligence, um die Auswirkungen einer Schwachstelle auf Ihr Unternehmen vorherzusagen
• Nutzt Best Practices zur Risikoreduzierung
• Macht Ihre Assets und Schwachstellen kontinuierlich und dynamisch sichtbar
• Ist proaktiv und fokussiert

Abschnitt 2: Prozess für risikobasiertes Schwachstellen-Management

---

Implementierung eines risikobasierten Ansatzes für Ihr Schwachstellen-Management-Programm

Um Ihre moderne Angriffsoberfläche besser vor Bedrohungen zu schützen, sollten Sie die Implementierung eines risikobasierten Ansatzes für Ihre bestehenden Schwachstellenmanagement-Prozesse in Erwägung ziehen. Dies kann Ihrem Unternehmen helfen, von einem Fokus auf IT und Infrastruktur zu den Tools und Ressourcen überzugehen, die für einen effizienteren Schutz Ihrer gesamten Angriffsoberfläche notwendig sind.

Als Ausgangspunkt sollten Sie nachvollziehen können, wie ein Prozess für risikobasiertes Schwachstellen-Management auf Ihren Cybersecurity-Lebenszyklus abgestimmt ist. Der Prozess sieht folgendermaßen aus:

• Erfassen: Identifizieren Sie zunächst all Ihre Assets und ordnen Sie sie zu, um vollständigen Einblick in Ihre Computing-Umgebungen zu erhalten.
• Bewerten: Bewerten Sie sämtliche Assets in all Ihren Umgebungen und suchen Sie nach Schwachstellen, Fehlkonfigurationen und anderen Sicherheitsproblemen.
• Priorisieren: Wenn Sie den Kontext Ihrer Risiken verstehen, priorisieren Sie die Behebung auf der Grundlage von Asset-Kritikalität, Schweregrad der Schwachstelle und Bedrohungskontext.
• Beheben: Wenden Sie geeignete Behebungs- oder Risikominderungsmaßnahmen für die von Ihnen priorisierten Risiken an.
• Messen: Um bessere Sicherheits- und Geschäftsentscheidungen zu treffen, müssen Sie Ihr Cyberrisiko verstehen, damit Sie es berechnen, kommunizieren und intern sowie mit ähnlichen Unternehmen vergleichen können.

Best Practices des risikobasierten Schwachstellen-Managements

Blinde Flecken in Ihrer Angriffsoberfläche setzen Ihr Unternehmen Risiken aus. Wenn Sie ein Gerät in Ihrem Netzwerk nicht im Blick haben oder nicht wissen, welche Schwachstellen Ihre Assets aufweisen könnten, können Sie Ihre Angriffsoberfläche auch nicht präzise absichern.

Heutzutage müssen Sie nicht mehr nur herkömmliche Assets schützen. Sie benötigen vollständigen Einblick in Ihr Unternehmen, damit Sie jedes mit Ihrem Netzwerk verbundene Endgerät und den gesamten Datenverkehr überblicken können – ungeachtet der jeweiligen Häufigkeit oder Kurzlebigkeit.

Da herkömmliches Schwachstellen-Management meist reaktiv ist, können Sie Ihr Unternehmen mit einem stärker proaktiven Sicherheitsansatz wie risikobasiertem Schwachstellen-Management besser schützen.

Hier einige Best Practice-Empfehlungen:

• Erfassen und analysieren Sie Daten kontinuierlich – über Ihre gesamte Angriffsoberfläche hinweg.
• Gehen Sie über die traditionelle IT hinaus und schließen Sie all Ihre Endgeräte, Cloud-Umgebungen, Mobilgeräte, Web-Apps, Container sowie IoT, IIoT und OT mit ein.
• Nutzen Sie Prozessautomatisierung, um Ihre Prozesse zu optimieren, wie etwa Konfigurationsmanagement, Asset-Management, Vorfallsreaktion und Änderungsmanagement.
• Stellen Sie auf eine Lösung für risikobasiertes Schwachstellen-Management mit leicht verständlichen Analysen und anpassbaren Berichten um. Stellen Sie sicher, dass diese Berichte den Anforderungen Ihres Unternehmens entsprechen und zudem skalierbar sind, um mit Veränderungen und Wachstum schritt zu halten.
• Nutzen Sie Berichte und Analysen, um wichtige Stakeholder über Erfolge und Lücken Ihres Programms zu informieren. Rollenspezifische Erkenntnisse helfen dabei, technische Daten auf eine Art und Weise zu kommunizieren, die jeder versteht – unabhängig von der individuellen Cybersecurity-Kompetenz. Wenn Sie zum Beispiel mit Ihren Führungskräften über Sicherheit sprechen, sollten Sie diese Berichte Unternehmenszielen und -vorhaben abgleichen.
• Nutzen Sie Analysen und Daten, um zu ermitteln, wie gut Ihre Teams Assets inventarisieren und Informationen zu Bewertungszwecken sammeln. Denken Sie auch daran, Erfolgsmetriken einzubeziehen, um festzustellen, wie gut Ihr Team die priorisierten Schwachstellen behebt, einschließlich der angewandten Prozesse und der für die Behebung benötigten Zeit.

Abschnitt 3: Scanning und Erfassung

---

Was ist eine Sicherheitsschwachstelle?

Eine Sicherheitslücke ist ein Softwaredefekt oder ein Programmierfehler, durch den ein Sicherheitsrisiko entsteht. Im Zusammenhang mit Ihrem Schwachstellen-Management-Programm sind diese Schwachstellen als Schwachpunkte zu betrachten, die Ihr Unternehmen anfällig für Angriffe machen.

Was ist aktives Scannen?

Aktives Scannen ist ein Prozess des Schwachstellen-Managements, der Ihnen detaillierte Informationen zu all Ihren Assets liefert und beispielsweise Auskunft darüber gibt, ob offene Ports vorhanden sind, ob Malware auf Ihren Geräten vorliegt, welche Software wo installiert ist und ob problematische Sicherheitskonfigurationen bestehen.

Uncredentialed-Scans (auch als nicht authentifizierte Scans bezeichnet), Credentialed-Scans (auch als authentifizierte Scans bezeichnet) und agentenbasierte Scans sind allesamt Varianten von aktivem Scannen.

Abschnitt 4: Priorisierung

---

Was ist Predictive Prioritization und welche Rolle spielt es bei risikobasiertem Schwachstellen-Management?

Herkömmliches Schwachstellen-Management liefert Unmengen von Schwachstellendaten, wodurch es für Ihre Sicherheitsteams schwierig – wenn nicht gar unmöglich – ist, Nachforschungen anzustellen und herauszufinden, welche Schwachstellen bei der Behebung Priorität haben.

Bei risikobasiertem Schwachstellen-Management hingegen kommen Tools zum Einsatz, mit deren Hilfe Sie Ihre tatsächlichen Risiken priorisieren und Ihre Schwachstellenüberlastung um 97 % senken können.

Predictive Prioritization von Tenable bietet Ihnen eine effektive Möglichkeit zur Priorisierung Ihrer Schwachstellen. Predictive Prioritization stärkt Ihre Schwachstellen-Management-Prozesse, weil es die Anzahl der Schwachstellen senkt, die Ihre sofortige Aufmerksamkeit erfordern, und die 3 % der Schwachstellen bestimmt, die Sie zuerst beheben sollten.

Predictive Prioritization stützt sich auf maschinelles Lernen, um die wenigen Schwachstellen zu identifizieren, die das größte Risiko für Ihr Unternehmen darstellen, und bietet Ihnen einen kontinuierlichen und vollständigen Einblick in Ihre moderne Angriffsoberfläche.

Predictive Prioritization nutzt Schwachstellendaten von Tenable und kombiniert sie mit Schwachstellen- und Bedrohungsdaten von Dritten. Mit einem fortschrittlichen Data-Science-Algorithmus, der von Tenable Research entwickelt wurde, werden diese Daten dann gemeinsam analysiert.

Durch einen risikobasierten Ansatz zur umfassenden Schwachstellenanalyse ermittelt Predictive Prioritization, mit welcher Wahrscheinlichkeit Angreifer eine Schwäche zum Nachteil Ihres Unternehmens auszunutzen könnten.

Predictive Prioritization wird jede Nacht aktualisiert und analysiert 109.000 separate Schwachstellen. Anschließend macht die Funktion Vorhersagen dazu, ob ein Angreifer in naher Zukunft eine Schwachstelle ausnutzen könnte.

Im Gegensatz zum Common Vulnerability Scoring System (CVSS), das traditionell beim herkömmlichen Schwachstellen-Management zum Einsatz kommt und nach dem über 60 % aller Schwachstellen als „Kritisch“ oder „Hoch“ eingestuft werden, weist Predictive Prioritization jeder Schwachstelle ein Vulnerability Priority Rating (VPR) und ein Asset Criticality Rating (ACR) zu, um die Priorisierung von Schwachstellen für Behebungsmaßnahmen zu unterstützen.

CVSS, VPR und ACR werden im Anschluss ausführlicher behandelt.

Was ist ein Vulnerability Priority Rating (VPR)?

Beim herkömmlichen Schwachstellen-Management bildet das Common Vulnerability Scoring System (CVSS) das theoretische Risiko ab, das eine Schwachstelle potenziell mit sich bringen könnte.

CVSS-Bewertungen werden auf einer Skala von 0 (niedrigste Priorität) bis 10 (kritischste Einstufung) angegeben. Leider werden rund 60 % aller Schwachstellen nach dem CVSS mit einer „hohen“ oder „kritischen“ CVSS-Bewertung versehen, selbst wenn sie für Ihr Unternehmen möglicherweise kaum ein Risiko darstellen.

Das CVSS trägt weder dem konkreten Risiko noch der Kritikalität der einzelnen Assets in Ihrer Umgebung Rechnung. Dies sind jedoch entscheidende Informationen, die Sie zur effektiven Priorisierung von Behebungsmaßnahmen benötigen.

Bei risikobasiertem Schwachstellen-Management baut Predictive Prioritization von Tenable auf dem CVSS auf und antizipiert, mit welcher Wahrscheinlichkeit ein Bedrohungsakteur eine Schwachstelle ausnutzt. Darüber hinaus unterscheidet Predictive Prioritization zwischen konkreten und theoretischen Risiken. Tenable ergänzt das CVSS durch ein Vulnerability Priority Rating (VPR) und ein Asset Criticality Rating (ACR).

Das VPR vermittelt Ihnen einen besseren Einblick in Risiken, da es Bedrohungs- und Angriffsreichweite, Schwachstellenauswirkungen und Bedrohungsbewertungen enthält. Das ACR hingegen gibt die Kritikalität jedes Assets in Ihrem Netzwerk an – basierend auf mehreren wichtigen Faktoren.

Tenable berechnet das VPR für die meisten Schwachstellen und aktualisiert es regelmäßig, sodass es der aktuellen Bedrohungslandschaft entspricht.

Das VPR nutzt einen Machine Learning-Algorithmus und Threat-Intelligence, um jede Schwachstelle zu analysieren, die jemals in der National Vulnerability Database (NVD) veröffentlicht wurde. Schwachstellen, die nicht in der NVD aufgeführt sind, erhalten keinen VPR. Sie können diese Schwachstellen jedoch auf der Grundlage ihrer CVSS-Bewertung beheben.

VPR-Skala

VPR-Bewertungen reichen von 0,1 bis 10,0, wobei höhere Werte für eine höhere Wahrscheinlichkeit einer Ausnutzung stehen.

• Kritisch: 9,0 bis 10,0
• Hoch: 7,0 bis 8,9
• Mittel: 4,0 bis 6,9
• Niedrig: 0,1 bis 3,9

Berechnung von VPR-Bewertungen

Hier einige wichtige Faktoren, die in die Berechnung von VPR-Bewertungen einfließen:

• Alter der Schwachstelle: Anzahl der Tage seit Veröffentlichung der Schwachstelle in der NVD
• CVSS-Auswirkungsbewertung: Die von NVD bereitgestellte CVSSv3-Auswirkungsbewertung (wenn es keine NVD-Bewertung gibt, zeigt Tenable Vulnerability Management eine von Tenable prognostizierte Bewertung an)
• Reifegrad des Exploit-Codes: Relativer Reifegrad eines potenziellen Exploits basierend auf der Existenz, Ausgereiftheit und Verbreitung von Exploit-Intelligence aus internen und externen Quellen
• Produktabdeckung: Relative Anzahl der verschiedenen, von der Schwachstelle betroffenen Einzelprodukte
• Bedrohungsquellen: Alle Quellen, in denen entsprechende Bedrohungsereignisse auftraten
• Intensität der Bedrohung: Relative Intensität basierend auf der Anzahl und Häufigkeit kürzlich beobachteter Bedrohungsereignisse im Zusammenhang mit dieser Schwachstelle
• Aktualität der Bedrohung: Anzahl der Tage (0 bis 730) seit Eintritt eines Bedrohungsereignisses
• Beispiele für Bedrohungsereignisse:
• Ausnutzung der Schwachstelle
• Veröffentlichung von Exploit-Code für die Schwachstelle in einem öffentlich zugänglichen Repository
• Diskussion der Schwachstelle in Mainstream-Medien
• Sicherheitsforschung
• Diskussion der Schwachstelle in sozialen Medien
• Diskussion der Schwachstelle im Dark Web sowie im Untergrund
• Diskussion der Schwachstelle in Hacker-Foren

VPR-Bewertungen vervollständigen die CVSS-Bewertungen, die im herkömmlichen Schwachstellen-Nanagement verwendet werden. Gemäß CVSS-Bewertung werden viele Schwachstellen häufig als „Hoch“ oder „Kritisch“ eingestuft, obwohl es in der Praxis gar keine aktiven Exploits gibt. VPR-Bewertungen vermitteln Ihnen daher ein besseres Verständnis des tatsächlichen Risikos.

Was ist eine CVSS-Bewertung (Common Vulnerability Scoring System)?

Das Common Vulnerability Scoring System (CVSS) bildet das theoretische Risiko einer Schwachstelle ab.

Genau wie VPR-Bewertungen beginnen auch CVSS-Bewertungen bei einem Wert von „0“ für die niedrigste Priorität und reichen bis zu einem Wert von „10“ – der kritischsten Einstufung. Nach dem CVSS werden jedoch etwa 60 % aller Schwachstellen als „Hoch“ oder „Kritisch“ eingestuft, selbst wenn sie für Ihr Unternehmen möglicherweise kaum ein Risiko darstellen.

Das CVSS trägt weder dem konkreten Risiko noch der Asset-Kritikalität in Ihrer Umgebung Rechnung. Diese entscheidenden Informationen, die in VPR-Bewertungen enthalten sind, benötigen Sie zur effektiven Priorisierung von Behebungsmaßnahmen.

Laut einem Artikel in Security Week erzielt ein Sicherheitsteam, das darauf fokussiert ist, Schwachstellen auf der Grundlage einer hohen CVSS-Bewertung zu beheben, vergleichbare Ergebnisse, als wenn es wahllos irgendeine Schwachstelle zur Behebung auswählt.

In anderen Worten: Eine CVSS-Bewertung gibt keinerlei Aufschluss darüber, ob eine Ausnutzung wahrscheinlich ist oder ob die Bedrohung überhaupt jemals aktiv durch einen Angreifer ausgenutzt wurde.

Was ist ein Asset Criticality Rating (ACR)?

Das Asset Criticality Rating (ACR) gibt die Kritikalität jedes Assets in Ihrem Netzwerk an. Es beruht auf mehreren wichtigen Metriken, wie etwa Geschäftszweck, Asset-Typ, Standort, Konnektivität, Funktionen und Drittdaten.

ACR-Bewertungen reichen von 0 bis 10: Ein Asset mit einem niedrigen ACR wird nicht als geschäftskritisch betrachtet. Bei einem hohen ACR ist dies jedoch der Fall.

ACR-Skala

• Kritisch: 9 bis 10
• Hoch: 7 bis 8
• Mittel: 4 bis 6
• Niedrig: 1 bis 3

Tenable.io gibt einen ACR-Wert an, wenn Sie ein Asset in Ihrem Netzwerk erstmals scannen. Danach wird das ACR von Tenable automatisch generiert und täglich aktualisiert.

Sie können ACR-Werte entsprechend den Anforderungen Ihres Unternehmens anpassen.

Berechnung von ACR-Bewertungen

Hier einige wichtige Faktoren, die in die Berechnung von VPR-Bewertungen einfließen:

• Gerätetyp
• Zum Beispiel: Ein Hypervisor (das Gerät ist ein Hypervisor des Typs 1, der eine virtuelle Maschine hostet) oder ein Drucker (das Gerät ist ein Netzwerkdrucker oder Printserver)
• Funktion des Geräts
• Der Geschäftszweck des Geräts. Zum Beispiel: Es ist ein Dateiserver oder ein Mailserver.
• Internet-Exposition
• Der Standort des Geräts in Ihrem Netzwerk und seine Nähe zum Internet. Zum Beispiel: Es handelt sich um ein internes Gerät in Ihrem lokalen Netzwerk (LAN), das sich möglicherweise hinter einer Firewall befindet, oder ein externes Gerät außerhalb Ihres LAN, das sich nicht hinter einer Firewall befindet.

Was ist ein Asset Exposure Score (AES)?

Neben VPR- und ACR-Bewertungen stellt Tenable auch einen Asset Exposure Score (AES) zur Verfügung, der Ihren Ansatz für risikobasiertes Schwachstellen-Management weitreichender unterstützen kann.

Tenable berechnet den AES anhand der gegenwärtig mit einem Asset verbundenen ACR- und VPR-Bewertungen. Im AES wird die von einer Schwachstelle ausgehende Bedrohung für jedes Asset sowie dessen Kritikalität und Scan-Verhalten erfasst, um die Schwachstellenlandschaft des Assets zu quantifizieren.

Der AES gibt die relative Gefährdung jedes Assets auf einer Skala von 0 bis 1000 an. Ein höherer AES weist auf eine höhere Gefährdung hin.

Was ist ein Cyber Exposure Score?

Der Cyber Exposure Score (CES) kombiniert Ihr VPR mit Ihrem ACR und gibt das Cyberrisiko Ihres Unternehmens an.

Der CES reicht von 0 (minimales Risiko) bis 1.000 (höchstes Risiko) und stellt den Durchschnitt aller AES-Bewertungen in Ihrem Unternehmen dar.

Bei der Priorisierung von Behebungsmaßnahmen unterstützt Sie der CES durch:

• Untersuchung der Asset-Kritikalität
• Analyse Ihrer Geschäftsziele
• Prüfung des Schweregrads jeder potenziellen Bedrohung in Ihrer Angriffsoberfläche
• Ermittlung der Wahrscheinlichkeit, mit der Angreifer die Bedrohung in den kommenden 28 Tagen ausnutzen
• Verständnis des Bedrohungskontexts in Bezug darauf, wie hoch das Risiko einer Ausnutzung in der Praxis ist

Der CES hilft auch dabei, Ihren Erfolg im Bereich des risikobasierten Schwachstellen-Managements anhand von Benchmarks intern und mit ähnlichen Unternehmen der Branche zu vergleichen.

Tenable errechnet Ihren CES als numerischen Wert zwischen 0 und 1.000, basierend auf den AES-Werten aller in den vergangenen 90 Tagen gescannten Assets. Je höher der CES, umso höher ist das Risiko.

Cyber Exposure Scores sind verfügbar für:

• Ihr gesamtes Unternehmen
• Assets in einem bestimmten geschäftlichen Kontext

Abschnitt 5: Auswahl einer Lösung

---

Auswahl einer Lösung für risikobasiertes Schwachstellen-Management

Wenn Sie daran interessiert sind, im Rahmen Ihres bestehenden Schwachstellen-Management-Programms einen risikobasierten Ansatz anzuwenden, oder wenn Sie ein neues Programm von Grund auf neu aufsetzen möchten, kann eine Lösung für risikobasiertes Schwachstellen-Management Ihnen dabei helfen, Risiken zu identifizieren, Behebungsmaßnahmen zu priorisieren und zu planen und Ihnen einen beispiellosen Einblick in die Cyberrisiken Ihres Unternehmens bieten.

Mithilfe des richtigen Tools für risikobasiertes Schwachstellen-Management lässt sich Ihr Cybersecurity-Programm sogar auf geschäftliche Ziele und Vorgaben abstimmen, sodass Sie Cyberrisiken effektiver an Ihre Teams und wichtige Stakeholder kommunizieren können.

Hier einige Empfehlungen, die Sie bei der Auswahl einer passenden Lösung für risikobasiertes Schwachstellen-Management unterstützen können:

Zunächst muss beachtet werden, dass nicht alle Lösungen für risikobasiertes Schwachstellen-Management gleich sind. Sie sollten ein gutes Verständnis davon haben, welche Funktionen und Merkmale für Ihr Unternehmen am wichtigsten sind und wie Sie diese einsetzen werden, damit Ihr Unternehmen stets geschützt ist.

Anschließend können Sie Ihren Prozess der Informationsgewinnung mit dem Prozess für risikobasiertes Schwachstellen-Management in Einklang bringen, um nachzuvollziehen, wie eine Lösung in den jeweiligen Phasen genau funktioniert.

Erfassen

• Wie identifiziert die Lösung alle Assets in Ihrer gesamten Angriffsoberfläche?
• Wie erfasst die Lösung Schwachstellen, Sicherheitsschwächen, Fehlkonfigurationen und andere Sicherheitsprobleme in Ihrem Unternehmen?
• Welche Strategie bzw. welchen Ansatz verfolgt die Lösung bei der Erfassung von Schwachstellen und Assets?
• Was gelingt dieser Lösung im Hinblick auf die Erfassung von Assets und Schwachstellen gut und wo greift sie zu kurz?
• Unterstützt die Lösung regelmäßige und häufige Scans Ihrer Angriffsoberfläche? Wenn ja, wie funktioniert dieser Prozess?
• Kann die Lösung sämtliche Asset-Typen (nicht nur herkömmliche IT-Assets) identifizieren und zuordnen, wie beispielsweise OT-, IoT- und IIoT-Geräte, Cloud- und Serverless-Assets, Mobilgeräte und Container?
• Kann die Lösung neue Assets sofort erfassen, sobald sie sich mit Ihrem Netzwerk verbinden?

Bewerten

• Wie bewertet die Lösung alle Assets in Ihrer gesamten Angriffsoberfläche?
• Wie bewertet die Lösung Schwachstellen, Sicherheitsschwächen, Fehlkonfigurationen und andere Sicherheitsprobleme in Ihrem Unternehmen?
• Welche Strategie bzw. welchen Ansatz verfolgt die Lösung bei der Bewertung von Schwachstellen und Assets?
• Unterstützt die Lösung sofortige und kontinuierliche Bewertungen? Wenn ja, wie funktioniert dieser Prozess?
• Kann die Lösung Schwachstellendaten mit anderen Kontextelementen korrelieren und analysieren, wie etwa der Asset-Kritikalität und der Bewertung von aktuellen und potenziellen Aktivitäten von Angreifern?
• Wird die Lösung durch kontinuierliche und fundierte Untersuchungen eines spezialisierten Teams für Schwachstellenforschung unterstützt?
• Kann die Lösung detaillierte Erkenntnisse zu jeder Schwachstelle liefern, die in Ihrem erweiterten Netzwerk erfasst wird?

Priorisieren

• Bietet die Lösung Tools zur Priorisierung von Schwachstellen?
• Wenn ja, wie priorisiert die Lösung Schwachstellen in Ihrer Angriffsoberfläche?
• Welche Strategie bzw. welchen Ansatz verfolgt die Lösung bei der Priorisierung von Schwachstellen?
• Ist der Ansatz der Lösung zur Priorisierung von Schwachstellen proaktiv oder reaktiv?
• Aktualisiert die Lösung Prioritätsbewertungen für jede Schwachstelle kontinuierlich – auf Basis von Veränderungen in der aktuellen Bedrohungslandschaft?
• Verwendet die Lösung maschinelles Lernen, um Petabytes an Daten zu analysieren und binnen Sekunden eine Prioritätsbewertung zuzuweisen?
• Kann die Lösung neben dem Schweregrad einer Schwachstelle auch die Aktivitäten von Bedrohungsakteuren und die Asset-Kritikalität ermitteln, um das tatsächliche Risiko exakt zu quantifizieren?
• Verwendet die Lösung ein datenwissenschaftliches Modell, um vorherzusagen, welche Schwachstellen Angreifer in naher Zukunft am ehesten ausnutzen werden?

Beheben

• Verfügt die Lösung über Tools, die Sie bei der Behebung von Schwachstellen unterstützen? Wenn ja, welche? Falls es keine Tools gibt, werden Sie wahrscheinlich auf manuelle Behebungsprozesse angewiesen sein.
• Kann die Lösung in andere Sicherheitslösungen eingebunden werden, beispielsweise in Ihr SIEM, Ihr Ticketing-System oder in Tools für das Patch-Management?
• Unterstützt die Lösung eine Reihe von Behebungsmaßnahmen, wie etwa „Beheben“, „Mindern“ oder „Akzeptieren“?
• Ändert die Lösung Risikobewertungen auf Basis von Faktoren wie kompensierenden Kontrollen automatisch oder ermöglicht sie eine entsprechende manuelle Änderung?

Messen

• Wie misst die Lösung die Effektivität Ihres risikobasierten Schwachstellen-Management-Programms?
• Kann die Lösung wichtige Sicherheits- und Reifegrad-Metriken zur Risikominderung berechnen?
• Kommuniziert die Lösung die Wirksamkeit Ihres Sicherheitsteams auf effektive Weise (sowohl innerhalb von Teams als auch darüber hinaus, beispielsweise gegenüber Führungskräften und anderen wichtigen Entscheidungsträgern)?

Benchmarking

• Verfügt sie über Tools, die Ihnen helfen, die Leistungsfähigkeit Ihres Programms intern und im Vergleich zu Branchenkollegen zu bewerten?
• Wenn ja, wie läuft dieser Prozess ab?
• Welche Stichprobengröße erfordert die Lösung für das Benchmarking?
• Benchmarken Sie Ihr Programm bereits? Wenn ja, kann die Lösung ähnliche oder bessere Metriken bieten, um das Benchmarking zu verbessern?

Forschung

• Betreibt das Team des Anbieters kontinuierliche Forschung, um die Lösung zu unterstützen und zu verbessern?
• Wie groß ist das Forschungsteam des Anbieters?
• Ist das Forschungsteam für schnelle Reaktionsmaßnahmen bei signifikanten Problemen bekannt?
• Was ist die mittlere Reaktionszeit des Forschungsteams?
• Wie viele Plugins entwickelt das Forschungsteam im Durchschnitt pro Jahr?
• Wie viele Schwachstellen entdeckt und veröffentlicht das Forschungsteam im Durchschnitt pro Jahr?

Professional Services

• Wie viele Mitarbeiter zählt das Professional Services Team des Anbieters?
• Welche Arten von Professional Services zählen zum Angebot des Anbieters?
• Bietet der Anbieter Schulungen für neue Benutzer an? Wenn ja, wie laufen diese Schulungen ab?
• Verfügt der Anbieter über einen rund um die Uhr erreichbaren Kundensupport? Wenn ja, wie läuft der Support ab?
• Verfügt der Anbieter über ein spezielles Team oder entsprechende Berater, um Sie im Problemfall zu unterstützen?