So messen Sie die Wirksamkeit Ihres Cybersecurity-Programms: 5 Fragen, die Sie stellen sollten
Wenn es darum geht, die Effektivität Ihrer Sicherheitsmaßnahmen zu messen, kann das Verständnis, wie Ihr Programm im Vergleich zu denen anderer Unternehmen abschneidet, aufzeigen, wo entscheidende Verbesserungen oder Investitionen erforderlich sind.
Erfolge im Bereich der Cybersicherheit nachzuweisen, war schon immer eine Herausforderung: Wenn Sie defensiv agieren und nichts Schlimmes passiert, lag das nun daran, dass Sie clever sind, oder hatten Sie einfach Glück? Sich ein Bild von der Effektivität Ihrer Organisation zu machen, ist ein wichtiger Schritt zur Verbesserung Ihrer Cyberhygiene.
Auch wenn neue Exploits oder Zero-Day-Angriffe für Schlagzeilen sorgen, sind die häufigsten Ursachen für Sicherheitsverletzungen altbekannt und vorhersehbar. Laut dem Rückblick auf die Bedrohungslandschaft 2020 von Tenable Research zählen dazu:
- Alte, nicht gepatchte Schwachstellen
- Schlechte Administrations- und Konfigurationsprozesse
- Unzureichende Asset-Verfolgung
Das genaue Verständnis Ihres Schwachstellen-Management-Prozesses ist eine Grundvoraussetzung für die Bewertung von Cyberrisiken
Das Scannen Ihrer Umgebung und die priorisierte Behandlung inakzeptabler Risiken sind die beiden Säulen jedes effektiven Sicherheitsprogramms. Allerdings fehlt Unternehmen häufig der vollständige Einblick in diese Prozesse. Zwei wichtige Messungen, die Sie zur Hand haben müssen, sind:
- Bewertungsreife: Diese Metrik liefert Ihnen Erkenntnisse zu Ihren Scan-Prozessen, um sicherzustellen, dass Ihr Team mit einem vollständigen und genauen Bild Ihrer sich weiterentwickelnden Angriffsoberfläche arbeitet
- Reifegrad der Behebung: Anhand dieser Metrik können Sie beurteilen, wie zeitnah und proaktiv Sie kritische Risiken abbauen
Vergleiche mit ähnlichen Unternehmen zeigen, wo wichtige Investitionen erforderlich sind
Diese Metriken zum Schwachstellen-Management-Prozess allein verraten Ihnen nicht alles, was Sie wissen müssen – Sie brauchen eine gewisse Perspektive, um zu verstehen, wie sie im Kontext Ihrer Vergleichsgruppe abschneiden. Ganz gleich, in welcher Branche Sie tätig sind, Sie möchten sich nicht am unteren Ende der Liste wiederfinden. Aber ohne Vergleiche mit ähnlichen Unternehmen kann nur schwer beurteilt werden, wo das eigene Unternehmen steht.
Was die Grundlagen Ihrer Cyberhygiene — Bewertung und Behebung — anbelangt, müssen Sie Folgendes in Erfahrung bringen:
- Wie schneide ich ab?
- Wo stehe ich im Vergleich?
- Welche konkreten Maßnahmen muss ich ergreifen, um mich zu verbessern?
Die Antworten auf diese Fragen helfen Ihnen bei der Beantragung von Budgets und der Zuteilung von Ressourcen, da sie es Ihnen ermöglichen, zu verstehen und zu vermitteln, wie Sie innerhalb der internen Geschäftsbereiche und im Vergleich zu externen ähnlichen Unternehmen abschneiden. Stellen Sie sich vor, ein Professor benotet Sie auf einer Kurve und erklärt Ihnen genau, was Sie tun müssen, um eine „Eins“ in der Kursstufe zu bekommen.
Fünf Fragen, mit denen Sie den Reifegrad Ihres Sicherheitsprogramms ermitteln können
1. Wie oft scannen Sie den Großteil Ihrer Assets?
Genau hier beginnt Ihr Weg zu einem ausgereiften Sicherheitsprogramm. Die präzise Beantwortung dieser Frage ist der erste Schritt, um zu ergründen, über welche Ressourcen Sie intern verfügen, welche Ziele realistisch sind und welche kritischen Metriken Sie erfassen können.
- Wenn Sie Ihre Umgebung scannen, können Sie weitere Fragen stellen, z. B.:
- Wie hoch ist der Anteil Ihrer Umgebung, den Sie regelmäßig scannen?
- Wie viel Zeit vergeht ungefähr zwischen den Scans?
- Unterscheiden sich diese Verhaltensweisen in den verschiedenen Geschäftsbereichen oder Regionen?
- Sind diese Bereiche nach der Kritikalität des Assets für Ihr Unternehmen, der Art des Assets, dem Standort des Assets oder anderen Faktoren unterteilt?
- Welche SLA-Anforderung besteht für jede dieser Kategorien?
Je länger der Scan-Zyklus (Zeit zwischen den Scans), desto länger bleiben Schwachstellen unerkannt und ungepatcht. Sie müssen Risiken nicht nur quantifizieren, sondern diese Risiken auch schnell erkennen. Um Ihnen eine gewisse Vorstellung zu geben: Laut Tenable Research scannt ein durchschnittliches Unternehmen seine Assets etwa alle vier Tage.
2. Welcher Prozentsatz offener Schwachstellen wird von Ihnen aufgedeckt?
Authentifizierung ist der Ausgangspunkt für die Ersteinschätzung. Sie können nur das quantifizieren, was Sie auch sehen. Mit Risikominderung als Ziel ist es entscheidend, wann und wo immer möglich eine Authentifizierung vorzunehmen. Letztendlich ist eine möglichst tiefgehende und umfassende Bewertung eines Assets ein grundlegender Schritt, um zu erfahren, wo Risiken bestehen, welche Assets/Geschäftsfunktionen betroffen sind und was Sie tun müssen, um Gegenmaßnahmen zu ergreifen und das Risiko zu senken. Wenn man den Umfang, die Kritikalität, die Auswirkungen und die Arbeitsanforderungen nicht kennt, besteht einfach keine Möglichkeit, das Risiko effektiv zu managen und auf ein ausgereifteres Programm hinzuarbeiten, mit dem Risiken in Zukunft richtig angegangen und reduziert werden können. Tenable Research zeigt, dass Credentialed-Scans im Durchschnitt 45-mal mehr Schwachstellen pro Asset aufdecken als Non-Credentialed-Scans. Dennoch werden fast 60 % der Unternehmens-Assets ohne lokale Zugangsdaten gescannt, was zu falsch negativen Ergebnissen führt.
3. Wie schnell beheben Sie Schwachstellen mit hohem Risiko?
Dem 2021 Vulnerability Intelligence Report von Tenable zufolge wurden 18.358 neue Schwachstellen im Jahr 2020 identifiziert. Doch nur für 5,2 % davon gab es einen öffentlich verfügbaren Exploit. Sie müssen sich bei der Behebung auf das Wichtigste zuerst konzentrieren. Um Risiken möglichst effizient und effektiv zu reduzieren, müssen Sie wissen, wie schnell Sie Schwachstellen beheben, die bei Assets, die für Ihre Geschäftsfunktionen sehr wichtig oder kritisch sind, als hochriskant eingestuft wurden. Um die Art der Bedrohung durch eine Schwachstelle zu verstehen, müssen Sie die Merkmale der Schwachstelle kennen, die sie für Angreifer attraktiv machen. Zudem müssen Sie mit der Threat-Intelligence vertraut sein, um einen Einblick in die Aktivitäten im Zusammenhang mit dieser bestimmten Schwachstelle zu erhalten. Sie können es sich nicht leisten, wertvolle Ressourcen für Schwachstellen zu verschwenden, die nur eine geringe oder gar keine Bedrohung darstellen.
4 Welcher Prozentsatz der Assets verfügt über Endgeräteschutz?
Endgerätesicherheit ist eine notwendige Schutzebene unter vielen. Sie müssen wissen, ob auf Ihren Systemen die erforderlichen Sicherheitsprogramme installiert sind, und Kenntnis von nicht autorisierter oder potenziell gefährlicher Software haben, die auf diesen Assets installiert ist. Dabei geht es aber nicht nur um Malware, sondern auch um Richtlinienverstöße, wie beispielsweise das Öffnen von telnet, obwohl telnet auf keinem Unternehmenssystem verfügbar sein darf. Das Risiko, wenn Sie diese Frage nicht stellen, besteht einfach darin, dass Sie möglicherweise nicht wissen, ob Kontrollen überall dort vorhanden sind, wo Sie sie erwarten. Dies ist ein nur allzu häufiges Problem. Nur 44 % der InfoSec-Verantwortlichen geben an, dass ihr Unternehmen einen guten Einblick in die Sicherheit seiner wichtigsten Assets hat. Dies ergab eine Auftragsstudie, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde.
5. Reduzieren Sie das Cyberrisiko bei allen wichtigen Geschäftsfunktionen?
Im Rahmen der Forrester-Studie wurde außerdem festgestellt, dass nur vier von zehn Sicherheitsverantwortlichen die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit beantworten können. Eigentlich ist dies eine einfache Frage, die jedoch ohne die richtigen Informationen und Metriken unglaublich schwierig zu beantworten sein kann. Auf Führungsebene entspricht es den Zielen des Gesamtunternehmens, zu wissen, ob das Risiko über alle Geschäftsfunktionen (Teams, Standorte, Asset-Typen usw.) hinweg reduziert wird. Dieser Einblick zeigt zudem den Wert und die Investitionsrendite des für das Sicherheitsprogramm bereitgestellten Budgets auf. Auf strategischer Ebene hilft die Beantwortung dieser Frage den Führungskräften im Arbeitsalltag, bessere Entscheidungen darüber zu treffen, wo das Programm am besten funktioniert (und damit, wie es auf andere Bereiche übertragen werden kann) und wo es weniger gut funktioniert. Auf der taktischen Ebene müssen die für die Behebung und das Patchen verantwortlichen Personen verstehen, inwiefern ihre Maßnahmen die richtigen Weichen für ihre jeweilige Geschäftsfunktion stellen und wie ihre Schritte in der Kette bis hin zur Führungsebene kommuniziert werden.
Ohne konkrete Antworten auf diese Fragen wissen Sie möglicherweise nicht, ob Sie das Risiko tatsächlich reduzieren oder nicht. Darüber hinaus können Sie Bereiche im Unternehmen übersehen, die sich schwertun, Risiken zu reduzieren, oder die den Rest des Unternehmens gefährden, weil sie nicht in der Lage sind, das Risiko zu senken.
Optimieren Sie Ihr Sicherheitsprogramm, um Ihre Cyber Exposure zu verringern
Durch die ehrliche Beantwortung dieser fünf Fragen können Sie Ihr Programm auf Erfolgskurs bringen, indem Sie eine Grundlage an Metriken zu Sicherheitsdaten, Cyberrisiken und Prozessintegrität schaffen, anhand der Sie Verbesserungen im Zeitverlauf messen können. Durch den Vergleich Ihrer Metriken mit verschiedenen internen Teams und externen Mitbewerbern können Sie dann feststellen, wo wichtige Verbesserungen erforderlich sind – beispielsweise könnten Sie aufdecken, dass Ihre Buchhaltungsabteilung eine unzureichende Abdeckung durch authentifizierte Scans hat oder dass Ihr Programm allgemein kritische Probleme im Vergleich zu Branchenkollegen nicht schnell genug behebt.
Wo immer sich Ihr Programm in der Reifephase befindet, Tenable kann Ihnen helfen, indem es diese wichtigen Prozessmetriken automatisch verfolgt und Lücken aufzeigt, bei denen zusätzliche Investitionen die größte Auswirkung auf die Risikominderung haben können. Sobald Sie dieses vollständige Bild vorliegen haben, können Sie beginnen, Ihre Anstrengungen zu priorisieren, und in die Offensive gehen, indem Sie sich aktiv um die besonders anfällige Assets kümmern, die Angreifer am ehesten ausnutzen werden.
Mehr erfahren
- Infografik anzeigen: Fünf Fragen zur Einschätzung der Ausgereiftheit Ihres Sicherheitsprogramms
- Whitepaper lesen: Bekannte und unbekannte Risiken berechnen: Die mathematischen Zusammenhänge des Cyber Exposure Score
- Videos ansehen: Messung der Programmwirksamkeit mit Tenable Lumin
- Funden Sie heraus, wie Tenable helfen kann: Demo anfordern
Verwandte Artikel
- Executive Management
- Risk-based Vulnerability Management
- Vulnerability Management
- Vulnerability Scanning