Grundlagen von Schwachstellenmanagement: Was Sie wissen müssen

In Teil 1 unserer fünfteiligen Serie zu den Grundlagen von Schwachstellenmanagement erörtern wir die vier Phasen des Cyber Exposure Lifecycle.

Wahrheit kann man, wenn überhaupt, nur in der Einfachheit finden, nicht in der Vielzahl und Verwirrung.

— Sir Isaac Newton

Bei Tenable leisten wir Pionierarbeit in der Disziplin der Cyber Exposure, um Cybersecurity-Teams dabei zu helfen, ihr Cyberrisiko zu messen und zu managen. Cyber Exposure ist eine unerlässliche Metrik, um Stakeholdern auf kaufmännischer Seite Cyberrisiken zu vermitteln und sicherzustellen, dass Cybersecurity als wichtige Input-Variable in strategische Geschäftsentscheidungen einfließt. 

Das Herzstück für die Bestimmung der Cyber Exposure ist ein robustes Schwachstellenmanagement-Programm (Vulnerability Management, VM). Ohne ein zumindest grundlegendes Schwachstellenmanagement-Programm ist Cyber Exposure als Metrik de facto wirkungslos. In der heutigen Welt mit ihren vielen verschiedenen Sicherheitsbedrohungen, schicken neuen Tools und immer neuen gesetzlichen Auflagen geraten die Grundlagen der Sicherheit schnell aus dem Blick: die Reduzierung des Cyberrisikos durch Identifizierung und Behebung von Schwachstellen in Ihren wichtigsten Assets. Schwachstellenmanagement ist ein Prozess, bei dem zunächst alle Assets auf Ihrer gesamten Angriffsoberfläche identifiziert und klassifiziert werden. Anschließend werden diese Assets auf Sicherheitsschwächen hin bewertet, gefundene Sicherheitsprobleme nach Dringlichkeit ihrer Eindämmung priorisiert und entsprechende Behebungsmaßnahmen ergriffen. 

Ein genauerer Blick auf den Cyber Exposure Lifecycle verdeutlicht, wie wichtig Schwachstellenmanagement für die Ermittlung der Cyber Exposure ist. Schwachstellenmanagement unterstützt Unternehmen dabei, Gefährdungen auf der gesamten Angriffsoberfläche zu erkennen, zu bewerten, zu analysieren und zu beheben. In dieser fünfteiligen Blog-Serie werden wir uns näher mit den einzelnen Schritten dieses Lifecycle befassen, um aufzuzeigen, wie die Grundlagen von Schwachstellenmanagement Sie bei der Reduzierung des Cyberrisikos unterstützen können. Beginnen wir mit einem Überblick. 

1. Erfassen – Asset-Erfassung und -Klassifizierung

Was Security angeht, galt schon immer die Devise: „Was man nicht sehen kann, kann man auch nicht schützen.“ Die Pflege einer umfassenden und kontinuierlich aktualisierten Asset-Bestandsliste ist eine grundlegende und entscheidende Komponente von Schwachstellenmanagement. Die komplexen IT-Umgebungen von heute erstrecken sich über On-Prem- und Cloud-Infrastrukturen, Mobilgeräte, kurzlebige und unbeständige Assets, Web-Applikationen, IoT-Geräte und mehr. Daher ist es alles andere als einfach, ein umfassendes Asset-Inventar zu pflegen. Ausgangspunkt ist eine umfassende Asset-Erfassung sowie die Klassifizierung dieser Assets basierend auf den Auswirkungen und Risiken für das Unternehmen. Bedenken Sie jedoch, dass sich Ihre Infrastruktur ständig verändert. Deshalb müssen Erfassung und Klassifizierung von Assets auf fortlaufender Basis erfolgen.

Mehr erfahren: Im Webinar „How to Master the Fundamentals of Vulnerability Management Part 1: Asset Discovery and Classification“, 14 Uhr, Eastern Time, 31. Juli 2019 werden praktische Tipps zu diesem Thema vermittelt.

2. Bewerten – umfassende und kontinuierliche Schwachstellenanalyse 

Nach einer umfassenden Asset-Bestandsaufnahme sind Sie bereit, Schwachstellen in den Assets zu bewerten, um ein klares Bild von Ihrer Angriffsoberfläche und den damit verbundenen Risiken zu erhalten. Es ist wichtig, Tiefe, Breite und Häufigkeit der Schwachstellenbewertung aufeinander abzustimmen, da es schwierig sein wird, alle drei konstant zu erzielen. Eine tiefgehende Bewertung, bei der Credentialed-Scans und Agents zum Einsatz kommen, bietet aussagekräftige Schwachstellendaten, kann aber viel Zeit und Asset-Ressourcen in Anspruch nehmen. Eine umfassende und häufige Bewertung kann ebenfalls durch geschäftliche Abläufe eingeschränkt werden. Wie bei anderen Sicherheitsaktivitäten auch müssen Sie Sicherheit und geschäftliche Anforderungen im Gleichgewicht halten und sowohl Prozessänderungen als auch Tools einsetzen, um Ihre Bewertungsziele zu erreichen. 

3. Analysieren – Schwachstellenanalyse und -priorisierung 

In dieser Phase werden Sie der klassischen Herausforderung aller Schwachstellenmanagement- und Sicherheitsprogramme begegnen: der Datenflut. Im Rahmen der Schwachstellenbewertung werden Ihnen vermutlich mehr Schwachstellen mit hohem und kritischem Schweregrad aufgezeigt, als Sie in einem angemessenen Zeitrahmen angehen können. Wie also können Sie Schwachstellen für die Behebung priorisieren? Indem Sie sich auf die Schwachstellen und Assets konzentrieren, bei denen eine Ausnutzung am wahrscheinlichsten ist. Das bedeutet allerdings nicht, dass Sie alle anderen Schwachstellen und Assets einfach ignorieren können. Vielmehr sollten Sie anhand der geschäftlichen Auswirkungen und Risiken Prioritäten setzen.

4. Beheben – Schwachstellenbehebung und -validierung

Der letzte Schritt im Vulnerability Management-Lifecycle umfasst die Behebung von Schwachstellen und die Verifizierung der Ergebnisse. Viele Datenpannen werden durch wohlbekannte Schwachstellen verursacht, die lange Zeit nicht gepatcht wurden. Wie bei den anderen Schritten ist aber auch Patching mit eigenen Schwierigkeiten verbunden. Es ist schwierig, präzise Informationen darüber zu erhalten, welche Patches angewendet werden sollten, damit Risiken maximal reduziert werden können. Ebenso ist es nicht leicht, Asset-Verantwortliche zu identifizieren und diese dazu zu bewegen, dem Patching eine höhere Priorität einzuräumen als anderen Geschäftsaktivitäten. Außerdem ist Patchen zeitaufwendig und kann bei manchen Assets Ausfallzeiten verursachen. Möglicherweise müssen Sie andere Sicherheitssysteme einsetzen, um Assets zu schützen, während gepatcht wird. Schließlich müssen validieren, dass Patches erfolgreich installiert wurden, und bestätigen, dass das Geschäftsrisiko tatsächlich reduziert wurde.

Und vergessen Sie nicht: Schwachstellenmanagement ist ein fortlaufender Prozess. Die in diesem Blog besprochenen Schritte des Vulnerability Management-Lifecycle müssen ständig wiederholt werden, damit Ihre Cyber Exposure-Verfahren effektiv sind. In kommenden Blog-Beiträgen werden wir uns intensiver mit jedem Schritt des Vulnerability Management-Lifecycle auseinandersetzen. Bleiben Sie dran.