Vulnerability Management Fundamentals: What You Need to Know
In Teil 1 unserer fünfteiligen Serie zu den Grundlagen des Schwachstellen-Managements erörtern wir die vier Phasen des Cyber Exposure Lifecycle.
Wahrheit kann man, wenn überhaupt, nur in der Einfachheit finden, nicht in der Vielzahl und Verwirrung.
—Sir Isaac Newton
Bei Tenable leisten wir Pionierarbeit in der Disziplin der Cyber Exposure, um Cybersecurity-Teams dabei zu helfen, ihr Cyberrisiko zu messen und zu managen. Cyber Exposure ist eine unerlässliche Metrik, um Stakeholdern auf kaufmännischer Seite Cyberrisiken zu vermitteln und sicherzustellen, dass Cybersecurity als wichtige Input-Variable in strategische Geschäftsentscheidungen einfließt.
Das Herzstück für die Bestimmung der Cyber Exposure ist ein robustes Programm für das Schwachstellen-Management (Vulnerability Management, VM). Ohne ein zumindest grundlegendes VM-Programm ist Cyber Exposure als Metrik de facto wirkungslos. In der heutigen Welt mit ihren vielen verschiedenen Sicherheitsbedrohungen, schicken neuen Tools und immer neuen gesetzlichen Auflagen geraten die Grundlagen der Sicherheit schnell aus dem Blick: die Reduzierung des Cyberrisikos durch Identifizierung und Behebung von Schwachstellen in Ihren wichtigsten Assets. Vulnerability Management ist ein Prozess, bei dem zunächst alle Assets auf Ihrer gesamten Angriffsoberfläche identifiziert und klassifiziert werden. Anschließend werden diese Assets auf Sicherheitslücken hin bewertet, gefundene Sicherheitsprobleme nach Dringlichkeit ihrer Eindämmung priorisiert und entsprechende Behebungsmaßnahmen ergriffen.
Ein genauerer Blick auf den Cyber Exposure Lifecycle verdeutlicht, wie wichtig VM für die Ermittlung der Cyber Exposure ist. VM unterstützt Unternehmen dabei, Gefährdungen auf der gesamten Angriffsoberfläche zu erkennen, zu bewerten, zu analysieren und zu beheben. In dieser fünfteiligen Blog-Serie werden wir uns näher mit den einzelnen Schritten dieses Lifecycle befassen, um aufzuzeigen, wie VM-Grundlagen Sie bei der Reduzierung des Cyberrisikos unterstützen können. Beginnen wir mit einem Überblick.
1. Erfassen – Asset-Erfassung und -Klassifizierung
Was Security angeht, galt schon immer die Devise: „Was man nicht sehen kann, kann man auch nicht schützen.“ Die Pflege einer umfassenden und kontinuierlich aktualisierten Asset-Bestandsliste ist eine grundlegende und entscheidende Komponente des Schwachstellen-Managements. Die komplexen IT-Umgebungen von heute erstrecken sich über On-Prem- und Cloud-Infrastrukturen, Mobilgeräte, kurzlebige und unbeständige Assets, Web-Applikationen, IoT-Geräte und mehr. Daher ist es alles andere als einfach, ein umfassendes Asset-Inventar zu pflegen. Ausgangspunkt ist eine umfassende Asset-Erfassung sowie die Klassifizierung dieser Assets basierend auf den Auswirkungen und Risiken für das Unternehmen. Bedenken Sie jedoch, dass sich Ihre Infrastruktur ständig verändert. Deshalb müssen Erfassung und Klassifizierung von Assets auf fortlaufender Basis erfolgen.
Mehr erfahren: Im Webinar „How to Master the Fundamentals of Vulnerability Management Part 1: Asset Discovery and Classification“, 14 Uhr, Eastern Time, 31. Juli 2019 werden praktische Tipps zu diesem Thema vermittelt.
2. Bewerten – umfassende und kontinuierliche Schwachstellenbewertung
Nach einer umfassenden Asset-Bestandsaufnahme sind Sie bereit, Schwachstellen in den Assets zu bewerten, um ein klares Bild von Ihrer Angriffsoberfläche und den damit verbundenen Risiken zu erhalten. Es ist wichtig, Tiefe, Breite und Häufigkeit der Schwachstellenbewertung aufeinander abzustimmen, da es schwierig sein wird, alle drei konstant zu erzielen. Eine tiefgehende Bewertung, bei der Credentialed-Scans und Agents zum Einsatz kommen, bietet aussagekräftige Schwachstellendaten, kann aber viel Zeit und Asset-Ressourcen in Anspruch nehmen. Eine breit angelegte und häufige Bewertung kann aufgrund der Erfordernisse des laufenden Geschäftsbetriebs ebenfalls nur beschränkt möglich sein. Wie bei anderen Sicherheitsaktivitäten auch müssen Sie Sicherheit und geschäftliche Anforderungen im Gleichgewicht halten und sowohl Prozessänderungen als auch Tools einsetzen, um Ihre Bewertungsziele zu erreichen.
3. Analysieren – Schwachstellenanalyse und -priorisierung
In dieser Phase werden Sie der klassischen Herausforderung aller Schwachstellen-Management- und Sicherheitsprogramme begegnen: der Datenflut. Im Rahmen der Schwachstellenbewertung werden Ihnen vermutlich mehr Schwachstellen mit hohem und kritischem Schweregrad aufgezeigt, als Sie in einem angemessenen Zeitrahmen angehen können. Wie also können Sie Schwachstellen für die Behebung priorisieren? Indem Sie sich auf die Schwachstellen und Assets konzentrieren, bei denen eine Ausnutzung am wahrscheinlichsten ist. Das bedeutet allerdings nicht, dass Sie alle anderen Schwachstellen und Assets einfach ignorieren können. Vielmehr sollten Sie anhand der geschäftlichen Auswirkungen und Risiken Prioritäten setzen.
4. Beheben – Schwachstellenbehebung und -validierung
Der letzte Schritt im VM-Lifecycle umfasst die Behebung von Schwachstellen und die Verifizierung der Ergebnisse. Viele Datenpannen werden durch wohlbekannte Schwachstellen verursacht, die lange Zeit nicht gepatcht wurden. Wie bei den anderen Schritten ist aber auch Patching mit eigenen Schwierigkeiten verbunden. Es ist schwierig, präzise Informationen darüber zu erhalten, welche Patches angewendet werden sollten, damit Risiken maximal reduziert werden können. Ebenso ist es nicht leicht, Asset-Verantwortliche zu identifizieren und diese dazu zu bewegen, dem Patching eine höhere Priorität einzuräumen als anderen Geschäftsaktivitäten. Außerdem ist Patchen zeitaufwendig und kann bei manchen Assets Ausfallzeiten verursachen. Möglicherweise müssen Sie andere Sicherheitssysteme einsetzen, um Assets zu schützen, während gepatcht wird. Schließlich müssen validieren, dass Patches erfolgreich installiert wurden, und bestätigen, dass das Geschäftsrisiko tatsächlich reduziert wurde.
Und vergessen Sie nicht: Schwachstellen-Management ist ein fortlaufender Prozess. Die in diesem Blog besprochenen Schritte des Vulnerability Management-Lifecycle müssen ständig wiederholt werden, damit Ihre Cyber Exposure-Verfahren effektiv sind. In kommenden Blog-Beiträgen werden wir uns intensiver mit jedem Schritt des VM-Lifecycles auseinandersetzen. Bleiben Sie dran.
Verwandte Artikel
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning