Exposure Management Is the Future of Proactive Security

Jeden Montag bietet Ihnen die Tenable Exposure Management Academy konkrete, praxisnahe Hilfestellungen, die Sie für einen erfolgreichen Übergang von Schwachstellenmanagement zu Exposure Management benötigen. In diesem Beitrag gewährt Jorge Orchilles, Senior Director of Readiness and Proactive Security bei Verizon, einen detaillierten Einblick in die Überlegungen, die für die Umstellung auf Exposure Management bei Verizon ausschlaggebend waren. Die gesamte Exposure Management Academy-Reihe finden Sie hier.

Während wir den Fokus unserer Sicherheitsmaßnahmen bei Verizon verlagern und zu proaktivem Exposure Management übergehen, konsolidieren wir Tools und Teams, um uns auf reale, ausnutzbare Risiken zu konzentrieren. Wir bringen offensiv ausgerichtete Sicherheitsfunktionen im Rahmen einer einheitlichen Strategie auf eine Linie, priorisieren ausnutzbare Bedrohungen und fördern Zusammenarbeit im Unternehmen. Dadurch verschieben wir unseren Fokus – und gehen über Compliance-basierte Behebungsmaßnahmen hinaus zu einer risikobasierten Behebung über.

Das Szenario ist bekannt: Fachkräfte im Cybersecurity-Bereich führen quasi täglich einen Kampf gegen Windmühlen, bei dem viel auf dem Spiel steht. Wir verbringen unser ganzes Leben damit, Schwachstellen nachzujagen und entsprechende Anweisungen zu erteilen (oder zu befolgen), wie beispielsweise „Innerhalb von 30 Tagen patchen“ oder „Alarmstufe Rot – umgehend patchen!“.

Da Angriffsflächen aber immer größer werden und Bedrohungsakteure zunehmend raffinierter vorgehen, erweist sich dieser reaktive Ansatz inzwischen als unzureichend. 

Vor dem Hintergrund einer solch heterogenen Landschaft, die den diversen Anforderungen von Unternehmen, Einzelhändlern, Technikern im Außendienst und vielen weiteren Akteuren Rechnung tragen muss, haben wir bei Verizon erkannt, dass eine weitere Ansammlung gänzlich verschiedener Technologien nicht die beste Lösung sein kann. Wir benötigten eine einzige, konsolidierte Exposure Management-Plattform, mit der jeder auch noch so kleine Teilbereich unseres Unternehmens abgedeckt werden konnte. Und im Zuge dieser Umstellung gelang es uns, Silos abzubauen und von einer Compliance-orientierten Denkweise zu risikobasierter Fokussierung überzugehen. 

Doch bevor wir uns überhaupt mit neuen Technologien befassen konnten, mussten wir zunächst mehrere Teams mit jeweils eigenen Tools und Prioritäten unter einer gemeinsamen Strategie auf eine Linie bringen.

Zusammenführung von separaten Tools – an einem zentralen Ort

Sicherheitsteams mussten schon immer einen Flickenteppich aus Tools unter einen Hut bringen – separate Tools für die Bereiche Attack Surface Management, Asset-Sichtbarkeit, Schwachstellen-Scanning, Identitätsrisiken und Cloud-Sicherheit. In den meisten Unternehmen werden Lösungen durch unterschiedliche Teams betrieben, und jedes Team benötigt jeweils eigene Fachkenntnisse. Diese Fragmentierung soll gewährleisten, dass Mitarbeiter mit den richtigen Fähigkeiten auch die richtigen Probleme angehen. 

Der isolierte Ansatz verlangsamt Reaktionszeiten und führt zu blinden Flecken. Diese können zur Folge haben, dass kritische Schwachstellen einfach nur deshalb unbehandelt bleiben, weil sie nicht in den Kompetenzbereich eines bestimmten Teams fallen. In Silos sind Angriffspfad-Analysen nicht möglich!

Ich sehe meine Aufgabe nicht darin, einfach nur Listen nach Schema F abzuarbeiten. 

Wir mussten ein Sicherheitsprogramm aufbauen, das tatsächliche Risiken und nicht jede Schwachstelle priorisiert. Und hierbei lag auf der Hand, dass der Nutzen eines integrierten Ansatzes stärker ins Gewicht fällt als die mit Nischenfunktionen verbundenen Vorteile.

Zur Bewältigung dieser Herausforderungen haben wir uns daher entschieden, Teams und Tools innerhalb einer einzigen Plattform zu konsolidieren: Tenable One.

Erfolgreiches Änderungsmanagement: Eine Prise Dale Carnegie als Schlüsselfaktor

Die richtige Plattform macht den entscheidenden Unterschied aus – doch die Implementierung von Exposure Management ist kein rein technisches Unterfangen, sondern eine organisatorische Aufgabe. Die Einführung eines Exposure Management-Programms hat zur Folge, dass sich die jeweiligen Zuständigkeiten für wichtige, isolierte Sicherheitsfunktionen verschieben, wodurch Teams unter Umständen auf eine ganz neue Art und Weise zusammenarbeiten müssen.

Bei Verizon beispielsweise fiel Attack Surface Management zuvor in den Aufgabenbereich eines separaten Teams. Inzwischen sind diese Personen Teil meiner Gruppe. Das Active Directory-Team, das Identity-Exposure-Tools wie BloodHound einsetzt, bleibt weiterhin unabhängig. Doch wir arbeiten eng zusammen, sodass Sicherheitserkenntnisse als Bereicherung gesehen und nicht als Bestrafung wahrgenommen werden. 

Sicherheitsexperten, die für das Internet der Dinge (IoT) und operative Technologie (OT) zuständig sind und zuvor einen unterschiedlichen Satz an Tools verwendet haben, arbeiten jetzt alle innerhalb desselben Frameworks.

Sicherheitsteams, die es gewohnt waren, in Silos zu arbeiten, müssen nun Daten mit anderen teilen und Entscheidungen gemeinsam treffen – eine Umstellung, die Schwierigkeiten bereiten kann. Ich habe festgestellt, dass Transparenz und Zusammenarbeit auf Augenhöhe der Schlüssel sind, um dieses Problem zu überwinden. 

In der Tat kann eine regelmäßige Lektüre von Dale Carnegie hier genauso wichtig sein wie die tägliche Dosis Brian Krebs. 

Um Teams diese Umstellung zu erleichtern, haben wir uns folglich darauf konzentriert, sie durch gemeinsame Zielsetzungen, klare Kommunikation und frühzeitige Nachweise des jeweiligen Nutzens auf eine Linie zu bringen, anstatt ihnen „Anweisungen von oben“ zu erteilen. Wenn Stakeholder in Bereichen wie Identitätssicherheit, IT-Betrieb und Cloud-Sicherheit von Beginn an in den Prozess einbezogen werden, ist sichergestellt, dass Veränderungen nicht einfach hingenommen sondern von Stakeholdern aktiv mitgestaltet und unterstützt werden.

Ich möchte ausdrücklich betonen, dass nichts davon über Nacht geschah. 

Der gesamte Prozess erforderte sorgfältige Planung und Zustimmung auf höchster Ebene. Unsere Teams wurden nicht einfach aufgefordert, ein neues Tool zu verwenden – von ihnen wurde verlangt, ihre Arbeitsweise zu ändern. Diese Umstellung kann nur gelingen, wenn Teammitgliedern aufgezeigt wird, dass dieser Ansatz ihnen die Arbeit erleichtert und nicht zusätzlich erschwert.

Nicht alles muss behoben werden

Zu den größten Veränderungen in der Denkweise zählt bei Exposure Management die Erkenntnis, dass nicht jede Schwachstelle umgehend gepatcht werden muss. Dies zu verinnerlichen, kann sicherlich mit Schwierigkeiten verbunden sein. Doch wenn alles als kritisch eingestuft wird, besteht keine Kritikalität mehr. Und dieser Ansatz führt nur zu Burnout, Ineffizienz und weiteren Sicherheitslücken. 

Bei Verizon fokussieren wir uns stattdessen auf Schwachstellen, die tatsächlich ausnutzbar und Teil eines realistischen Angriffspfads sind.

Angenommen eine Anwendung weist eine kritische Schwachstelle auf, die für Angreifer jedoch praktisch unerreichbar ist: Sollte dieser Schwachstelle wirklich höchste Priorität eingeräumt werden? Schwachstellen, die Angreifern einen direkten Pfad zu den sinnbildlichen Kronjuwelen eröffnen, müssen hingegen umgehend behoben werden. 

Der Schlüssel ist Priorisierung – basierend auf realen Angriffsszenarien, nicht anhand willkürlicher Schweregrade.

Zusammenarbeit mit der Führungsetage

Ein weiterer entscheidender Vorteil von Exposure Management ergibt sich aus dem veränderten Sicherheitsdiskurs auf Führungsebene. Anstatt nicht-technischen Führungskräften ellenlange Listen mit Schwachstellen vorzulegen, die für sie nur wenig Aussagekraft haben, können wir anhand einiger wichtiger Punkte ein klares Bild zeichnen:

• Was ist gefährdet?
• Wie konnten Angreifer in die Umgebung gelangen?
• Welche dringenden Probleme müssen zuerst behoben werden?

Und wenn eine bedeutende Schwachstelle auftritt, müssen wir nicht erst mühsam herausfinden, ob wir tatsächlich betroffen sind – wir haben sämtliche Daten jederzeit zur Hand. Darin besteht der echte Mehrwert von Exposure Management: Geschwindigkeit und Klarheit verbunden mit der Fähigkeit, noch vor Angreifern zu handeln.

Exposure Management: Die Zukunft der Cybersecurity

Im Kern geht es bei Exposure Management darum, von reaktiver Sicherheit auf proaktive Sicherheit umzustellen. Mit der Behebung von Schwachstellen ist es inzwischen nicht mehr getan – Risiken müssen im jeweiligen Geschäftskontext nachvollziehbar sein. 

Da immer mehr Unternehmen diese Richtung einschlagen, wird Exposure Management sich kontinuierlich weiterentwickeln. 

Die Konsolidierung von Anbietern ist in vollem Gange, Teams werden umstrukturiert und Sicherheitsverantwortliche erkennen, dass es unmöglich ist, alle Schwachstellen in sämtlichen Bereichen auf einmal zu patchen. 

Genau wie Verizon muss sich die Branche also auf das wirklich Wesentliche fokussieren: diejenigen Angriffe zu verhindern, die tatsächlich zu einer Kompromittierung führen könnten.

Und für die Vorreiter dieses Wandels ist es an der Zeit, der reaktiven Vorgehensweise ein Ende zu setzen: Sicherheitslücken müssen ihrem Wesen entsprechend genau wie strategische Risiken gemanagt werden.

Jorge Orchilles: Worauf Sie sich als Nächstes fokussieren sollten

Mehr erfahren

• Das E-Book Leitfaden für Sicherheitsverantwortliche zur Entwicklung einer Exposure Management-Strategie behandelt einen praxisbewährten Ansatz zum Aufbau eines Exposure Management-Programms – inkl. Scope-Definition, Stakeholder-Einbindung und Sicherung der Zustimmung.

Whac-a-Mole ist eine eingetragene Marke von Mattel Inc.