Grundprinzipien des Schwachstellen-Managements

1. Schwachstellen-Management im Überblick

---

Was ist Schwachstellen-Management?

Schwachstellen-Management ist ein fortlaufendes Programm, bei dem Technologien und Tools eingesetzt werden, um Cyberrisiken in Ihrem Unternehmen zu identifizieren, diese mit Ihren operativen Zielen abzugleichen und dann zu priorisieren. Ziel ist es, Schwachstellen rechtzeitig zu beheben, um Ihr Netzwerk zu schützen und die Sicherheit Ihres Betriebs zu gewährleisten.

Schwachstellen-Management setzt sich aus Menschen, Richtlinien und Prozessen zusammen, die zusammen auf gemeinsame Ziele hinarbeiten, um zu gewährleisten, dass Ihre Angriffsoberfläche und Ihr Cyberrisiko so gering wie möglich sind.

Schwachstellen auf Ihrer gesamten Angriffsoberfläche zu beheben, ist eine gewaltige Aufgabe. Tatsache ist, dass die Anzahl von Assets in den meisten Unternehmen – zusammen mit einer immer länger werdenden Liste mit Hunderten von potenziellen Angriffsvektoren – es für Sicherheitsteams zu einer Herausforderung macht, sie alle zu patchen und zu beheben.

Eine noch größere Herausforderung besteht darin, dass die meisten Unternehmen nicht über die richtigen Tools verfügen, um einen Einblick in alle Assets im gesamten Unternehmen zu erhalten – von der traditionellen IT über Cloud, Mobilgeräte, Container oder Serverless bishin zu Webanwendungen und OT-Assets (operative Technologie).

Hinzu kommt das reale Problem, dass viele Assets mehrere Schwachstellen und andere Sicherheitsprobleme aufweisen, und schon ist das Sicherheitsteam unter einem Berg von Schwachstellen begraben.

Je mehr Schwachstellen vorhanden sind und je uneinheitlicher die Behebungsfunktionen sind, desto größer ist die Wahrscheinlichkeit, dass Angreifer Ihre Angriffsoberfläche ausnutzen können.

An dieser Stelle kommt Schwachstellen-Management ins Spiel.

Was beinhaltet Schwachstellen-Management?

Effektives Schwachstellen-Management besteht aus fünf wichtigen Schritten, Diese Schritte sind auf Ihren Cybersecurity-Lebenszyklus abgestimmt.

Schritt 1: Erfassen

Identifizieren Sie all Ihre Assets in sämtlichen Computing-Umgebungen und ordnen Sie sie zu.

Schritt 2: Bewerten

Machen Sie sich ein Bild von der Gefährdung („Exposure“) all Ihrer Assets, einschließlich Schwachstellen, Fehlkonfigurationen und anderer Sicherheitsindikatoren.

Schritt 3: Priorisieren

Vollziehen Sie Ihre Expositionen im Kontext nach, damit Sie Behebungsmaßnahmen anhand von Asset-Kritikalität, Schwachstellen-Schweregrad und Bedrohungskontext priorisieren können.

Schritt 4: Beheben

Priorisieren Sie, welche Schwachstellen zuerst zu beheben sind, und ergreifen Sie geeignete Behebungsmaßnahmen.

Schritt 5: Messen

Messen und benchmarken Sie dann Ihre Exposure, damit Ihre Teams bessere Geschäfts- und Technologieentscheidungen treffen können.

Was ist der Unterschied zwischen Schwachstellen-Management und Schwachstellenbewertung?

Schwachstellen-Management und Schwachstellenbewertung sind verschiedene Konzepte, die jedoch einander ergänzen.

Schwachstellen-Management hilft Ihnen, sämtliche Assets und Schwachstellen in Ihrer Angriffsoberfläche zu identifizieren. Außerdem unterstützt es Sie bei der Planung, wie Sie Probleme entschärfen, Schwachstellen priorisieren und beheben und Ihre allgemeine Sicherheitslage verbessern können.

Eine Schwachstellenbewertung ist hingegen ein einmaliges Projekt, das Sie regelmäßig durchführen, um all Ihre Assets und Schwachstellen zu identifizieren.

In der Regel gibt es bei der Schwachstellenbewertung, die nicht dasselbe ist wie ein Schwachstellen-Scan, ein festgelegtes Start- und Enddatum. Es handelt sich um eine Momentaufnahme Ihrer Angriffsoberfläche zu einem bestimmten Zeitpunkt.

Die Schwachstellenbewertung ist Bestandteil Ihres übergreifenden Schwachstellen-Management-Programms, das Ihnen hilft, Cyberrisiken kontinuierlich zu identifizieren und anzugehen.

Worin unterscheidet sich Schwachstellen-Management von risikobasiertem Schwachstellen-Management?

Herkömmliches Schwachstellen-Management, auch als „Legacy Vulnerability Management“ bezeichnet, bietet Ihnen eine theoretische Sicht auf Schwachstellen und Risiken und deckt Bedrohungen auf, die eine Schwachstelle in Ihre Umgebung einbringen könnte, ohne jedoch zu erkennen, welche Bedrohungen tatsächlich ein Risiko darstellen.

Ohne klaren Einblick in tatsächliche Risiken kann Ihr Sicherheitsteam bei dem Versuch, Schwachstellen zu beheben, von denen möglicherweise kein konkretes Risiko ausgeht, ins Hintertreffen geraten und es versäumen, kritische Schwachstellen aufzuspüren und zu beheben, die sich mit größerer Wahrscheinlichkeit auf Ihr Unternehmen auswirken.

Die Einbindung eines risikobasierten Ansatzes in Ihre Schwachstellen-Management-Verfahren kann Ihnen ein besseres Verständnis von Risiken vermitteln – mitsamt des jeweiligen Bedrohungskontexts. Dadurch gewinnen Sie Einblick in die potenziellen geschäftlichen Auswirkungen von Schwachstellen auf Ihrer gesamten Angriffsoberfläche.

2. Assets und Schwachstellen

---

Was ist ein Asset?

Jede Hardware oder Software in Ihrer IT-Umgebung wird als Asset bezeichnet. Dazu gehören herkömmliche IT-Assets wie etwa Server, Netzwerke und Desktop-Computer, aber auch andere Geräte wie Smartphones, Tablets, Laptops, virtuelle Maschinen, Software as a Service (SaaS), in der Cloud gehostete Technologien und Services, Web-Apps und IoT-Geräte.

Die fortlaufende Erfassung, Bewertung und Verwaltung von Assets ist für sämtliche Komponenten Ihres übergreifenden Schwachstellen-Management-Programms von entscheidender Bedeutung.

Was ist eine Angriffsoberfläche?

Eine moderne IT-Angriffsoberfläche setzt sich aus zahlreichen Exposure-Punkten (Ihren IT-Assets) in Ihrem Unternehmen zusammen, die von Angreifern potenziell ausgenutzt werden können. Diese so genannten Exploits führen häufig zu Sicherheitsverletzungen und Datenpannen. Früher bestand eine Angriffsoberfläche aus herkömmlichen IT-Assets wie Servern und Netzwerken. Die moderne Angriffsoberfläche ist hingegen weitaus umfangreicher und wächst ständig weiter. Inzwischen umfasst sie auch Mobilgeräte wie etwa Smartphones, Desktops und Laptops, virtuelle Maschinen, Cloud-Infrastruktur, Webanwendungen, Container und IoT-Geräte.

Zahlreiche Unternehmen haben Schwierigkeiten, sämtliche Assets im Unternehmen im Blick zu behalten. Erschwert wird dies durch zusätzliche Herausforderungen bei der Eindämmung und Behebung der riesigen Menge an Schwachstellen, die von den meisten Programmen zur Schwachstellenbewertung erfasst werden.

Deshalb ist es wichtig, ein robustes und skalierbares Vunerability Management-Programm aufzubauen, das alle Ihre Assets und Schwachstellen kontinuierlich erfasst und bewertet, um Ihr Cyberrisiko zu reduzieren.

Hier einige Tipps, die Ihnen helfen, Ihre Angriffsoberfläche im Rahmen Ihres Schwachstellen-Management-Programms zu bewerten:

1. Identifizieren Sie all Ihre Assets, ungeachtet des jeweiligen Typs.
2. Ermitteln Sie, wo sich jedes einzelne Asset befindet.
3. Ermitteln Sie, wer für die Verwaltung der jeweiligen Assets zuständig ist und wer darauf zugreifen kann.
4. Geben Sie den Asset-Typ an: Cloud-Assets, mobile Assets, herkömmliche IT-Assets, IoT-Assets usw.
5. Ermitteln Sie, ob das Asset für den Geschäftsbetrieb von kritischer Bedeutung ist, und priorisieren Sie das Asset entsprechend.
6. Evaluieren Sie, was passieren könnte, wenn jedes kritische Asset von einer Schwachstelle betroffen wäre.

Was versteht man unter einer Schwachstelle bzw. Sicherheitslücke?

Eine Schwachstelle bzw. Sicherheitslücke ist eine Schwäche in Hardware oder Software, die von Angreifern ausgenutzt werden kann, um Systeme zu kompromittieren. Allgemeiner formuliert handelt es sich um „Bugs“ oder Programmierfehler.

Einige Schwachstellen werden durch Patches behoben, die Probleme im Code korrigieren. Je komplexer ein System ist, auf desto mehr Codezeilen basiert es in der Regel. Das bedeutet wiederum, dass auch die Wahrscheinlichkeit von Programmierfehlern im betreffenden Code steigt.

Schwachstellen können außerdem auftreten, wenn Systeme fehlerhaft konfiguriert sind, sodass sich zusätzliche Gelegenheiten für Angreifer ergeben. Diese Schwachstellen können oftmals durch Behebung der jeweiligen Fehlkonfigurationen beseitigt werden.

Hier einige weitere Methoden, mit denen Angreifer Schwachstellen bzw. Sicherheitslücken und Schwächen ins Visier nehmen:

• Ausnutzung von Fehlkonfigurationen und nicht gepatchten Systemen
• Phishing: Hierbei werden gefälschte E-Mails versendet, die aussehen, als stammten sie von authentischen Absendern, um Personen zur Preisgabe von sensiblen Informationen zu verleiten.
• Credential Stealing: Hierbei versuchen Angreifer, im Rahmen eines Übergriffs an Benutzernamen und Passwörter zu gelangen, um sich damit Zugriff auf andere Websites zu verschaffen.
• Malware: Diese Art von bösartiger Software gewährt Angreifern Zugang zu Systemen.
• Denial of Service (DoS) und Distributed Denial of Service (DDoS): Diese Flooding-Angriffe lasten die Bandbreite komplett aus, sodass Systeme nicht mehr auf Dienstanforderungen reagieren können.
• Cross-Site-Scripting (XSS): Bei dieser Angriffsmethode wird Schadcode in Websites eingebunden, der auf Besucher abzielt.
• Man-in-the-Middle-Angriffe (MitM): Bei dieser Art von Angriffen werden Benutzer über unsichere Netzwerke wie etwa öffentliche WLAN-Netze kompromittiert.
• SQL-Injektion (Structured Query Language): Bei dieser Art von Angriff wird auf einem Server Schadcode eingeschleust, der dann mithilfe von SQL auf sensible Informationen zugreift, die ansonsten nicht zugänglich wären.
• Zero-Day-Exploits: Bei dieser Art von Angriff wird eine Schwachstelle in einem System nach Bekanntwerden einer Bedrohung, aber vor Veröffentlichung eines Patches oder Fixes ausgenutzt.

3. Schwachstellen-Scanning

---

Was ist ein Schwachstellen-Scanner?

Ein Schwachstellen-Scanner ist ein automatisiertes Tool, das Schwachstellen in Ihrer gesamten Angriffsoberfläche aufdeckt.

Es gibt zwei Haupttypen von Schwachstellen-Scans:

• Credentialed-Scans: Scans, die mithilfe von Zugangsdaten detaillierte Informationen zu Sicherheitsproblemen im Zusammenhang mit einem Asset, System oder Netzwerk erfassen.
• Non-credentialed-Scans: Scans, die keine Zugangsdaten erfordern und auf offene Ports, Protokolle und exponierte Dienste auf einem Host abzielen.

Darüber hinaus kann Ihr Unternehmen folgende Scans einsetzen:

• Interne Schwachstellen-Scans: Scans, die innerhalb Ihres Unternehmens durchgeführt werden, um Wege ausfindig zu machen, über die sich Angreifer in Ihrem Netzwerk fortbewegen können.
• Externe Schwachstellen-Scans: Scans, die außerhalb Ihres Unternehmens durchgeführt werden, um Schwachstellen zu erfassen.

Regelmäßiges Schwachstellen-Scanning ist ein wichtiger Bestandteil Ihres Schwachstellen-Management-Programms und kontinuierliches Schwachstellen-Scanning kann dabei helfen, Ihre Cyberrisiken weiter zu reduzieren.

Aktive Scanner

Aktives Schwachstellen-Scanning liefert ein detailliertes Bild Ihres Netzwerks und Ihrer Assets zu einem bestimmten Zeitpunkt, um Fehlkonfigurationen von Systemen, Schwachstellen und andere Sicherheitsprobleme auf Ihrer Angriffsoberfläche zu identifizieren.

Aktives Scannen erzeugt Netzwerkverkehr und interagiert mit Geräten in Ihrem Netzwerk. Dabei werden Pakete an ein Remote-Ziel gesendet, das zu diesem Zeitpunkt eine Momentaufnahme Ihres Netzwerks erstellt.

Aktive Dienste und Anwendungen werden dann mit einer Plugin-Datenbank abgeglichen, um festzustellen, ob Schwachstellen vorliegen.

Im Gegensatz zu passivem Scannen, das weiter unten beschrieben wird, erhalten Sie durch aktives Scannen zusätzliche Informationen, beispielsweise über offene Ports, installierte Software, Konfigurationseinstellungen für die Sicherheit und bekannter Malware.

Weitere Varianten von aktivem Scannen sind:

• Nicht authentifizierte Scans
• Authentifizierte Scans
• Agent-basiertes Scanning

Aktives Scannen eignet sich ideal für IT-Geräte, die in einer konvergenten IT-/OT-Umgebung betrieben werden. Es bietet Einblicke in die Assets in Ihrem Netzwerk, installierte Anwendungen, Bibliotheken und Dienste, Schwachstellen in Ihrem System sowie Details über Benutzer, Gruppen und installierte Software.

Aktives Scannen kann Sie auch bei Konfigurationsbewertungen unterstützen und erkennen, ob voreingestellte Benutzernamen und Passwörter für kritische Systeme und Anwendungen genutzt werden. Zudem ist es auch für die Malware-Erkennung nützlich und kann Ihnen helfen, Backdoors und fehlerhafte Hash-Werte von Dateien ausfindig zu machen.

Aktives Scannen ist in Tenable Vulnerability Management integriert.

Mit Tenable steht Ihnen eine Vielzahl von Optionen für das aktive Scannen zur Auswahl, darunter:

• On-Demand: Scan wird manuell durch den Benutzer gestartet.
• Planmäßige Scans: Scans werden automatisch täglich, wöchentlich oder monatlich nach einem festgelegten Zeitplan gestartet.
• Abhängige Scans: Scan wird gestartet, wenn ein geplanter übergeordneter Scan abgeschlossen ist. Abhängige Scans können mit anderen abhängigen Scans verkettet werden.

Aktives Scannen ist zwar ein wichtiger Bestandteil Ihres übergreifenden Schwachstellen-Management-Programms, ist allerdings nur eine Momentaufnahme Ihrer Angriffsoberfläche zu einem bestimmten Zeitpunkt. Andere Geräte wie etwa Tablets, Smartphones oder Laptops, die nur in periodischen Abständen in Ihrem Netzwerk auftauchen, werden nicht berücksichtigt.

Eine weitere Herausforderung im Zusammenhang mit aktivem Scannen sind potenzielle Störungen.

Aktive Scans können zwar beim Aufspüren von Schwachstellen helfen, sollten aber nicht bei Assets eingesetzt werden, bei denen es zu Ausfällen kommen kann, wenn sie gescannt werden. Hierzu können unter anderem Systeme, die für die Infrastruktur Ihres Unternehmens von kritischer Bedeutung sind, sowie medizinische Geräte und industrielle Systeme zählen.

Credentialed-Scans

Credentialed-Scans, auch authentifizierte Scans genannt, melden sich remote bei Geräten an, um diese von innen heraus zu untersuchen. Diese Scans ermöglichen es Ihnen, Geräte von innen heraus zu untersuchen. Credentialed-Scans sammeln zusätzliche Informationen über Ihre Konfigurationseinstellungen und geben Aufschluss darüber, ob Software mit bekannter Malware infiziert wurde.

Sie müssen keine Software auf einem Asset installieren, um einen Credentialed-Scan durchzuführen. Doch diese Scans können dennoch Störungen hervorrufen, da sie möglicherweise Netzwerkbandbreite und Rechenleistung beanspruchen.

Credentialed-Scans eignen sich möglicherweise besser für IT-Systeme auf höheren Ebenen oder in Ihrer OT-Umgebung. Diese Scans können in vielen Fällen zusammen mit nicht authentifizierten Scans eingesetzt werden, damit Sie besseren Einblick von innen wie auch von außen erhalten.

Agents

Agent-Scans liefern detaillierte Informationen und betrachten jedes Gerät von innen heraus. Diese Scans werden in der Regel auf Systemen in Kontrollumgebungen durchgeführt und erfordern die Installation eines Agents auf einem Gerät oder Server. Agent-Scans empfehlen sich für Geräte, die nicht häufig (oder gar nicht) mit Ihrem Netzwerk verbunden sind.

Agent-Scans können Malware auf einem Gerät finden, nach Fehlkonfigurationen suchen und Schwachstellen aufdecken.

Obwohl Agents in der Regel leicht zu installieren und im Allgemeinen nicht störend sind, hat Agent-Scanning auch Nachteile, insbesondere im Hinblick auf Ressourcen. Da diese Scans auf dem jeweiligen Gerät erfolgen, verbrauchen sie Strom, Bandbreite, Speicherplatz auf der Festplatte und Arbeitsspeicher. Bedingt durch ihre Installation auf dem Gerät sollten Sie Agents zudem immer sorgfältig analysieren und testen, bevor Sie sie selektiv auf Geräten installieren, insbesondere in OT-Umgebungen.

Image-Registry

Eine Image-Registry ist ein Sicherheitsprozess, den Sie nutzen können, während sich Ihre Software in der Build-/Entwicklungsphase Ihres Softwareentwicklungszyklus befindet. Wenn Sie eine Image-Registry erstellen, können Sie Images darin ablegen und diese dann auf Assets scannen, darunter auch Public Cloud-Instanzen und Container. Der Vorteil einer Image-Registry ist, dass sie dazu beiträgt, potenzielle Sicherheitsprobleme zu erkennen, bevor neue Software bereitgestellt wird. Sie können eine Image-Registry auch für Open-Source-Software oder -Komponenten verwenden.

4. Netzwerk-Monitore

---

Was ist ein Netzwerk-Monitor und wie unterstützt er das Schwachstellen-Management?

Ein Netzwerk-Monitor hilft bei der Aufdeckung von Schwachstellen, Fehlkonfigurationen und anderen Sicherheitsproblemen in Ihrer herkömmlichen IT-Infrastruktur, einschließlich Netzwerken, Servern, Betriebssystemen und Anwendungen.

Web-App-Scanner sind ähnlich, aber auf Webanwendungen ausgerichtet. Web-App-Scanner werden nicht nur für Drittanbieter-Anwendungen eingesetzt, sondern können auch zum Testen von internen Anwendungen verwendet werden.

Passives Netzwerk-Monitoring

Wenn sich ein Asset mit Ihrem Netzwerk verbindet, sollten Sie zeitnah ermitteln können, ob es autorisiert ist, und andernfalls entsprechend reagieren.

Passive Netzwerk-Mnitoring bietet Ihrem Team einen kontinuierlichen Einblick in Anwendungen und Betriebssysteme, die in Ihrem Netzwerk eingesetzt werden. Zudem gibt es entsprechend Aufschluss darüber, wer mit Ihrem Netzwerk verbunden ist, von wo aus und wohin Daten übertragen werden, welche Hosts aktiv sind, wann ein neuer Host aktiv wird, welche Ports/Dienste aktiv sind und welche Verbindungen zwischen Assets bestehen.

Passives Netzwerk-Monitoring nutzt Deep Packet Inspection zur Analyse von Netzwerkverkehr. Es eignet sich ideal für IT- und OT-Geräte, die in einer konvergenten IT-/OT-Umgebung betrieben werden, und kann Sie bei der Erfassung und Identifizierung von aktiven Netzwerk-Assets und Schwachstellen sowie von aktiven installierten Anwendungen und Diensten unterstützen.

Passives Netzwerk-Monitoring ist ein wichtiger Bestandteil Ihrer allgemeinen Cyber-Gesundheit. Manchmal ist aktives Scannen keine Option und muss vermieden werden, weil es Betriebsabläufe stören könnte. Anstatt sich ausschließlich auf aktives Scannen oder Agent-Monitoring zu verlassen, können Sie sich durch passives Scannen stets darüber informieren, was in Ihrer gesamten Angriffsoberfläche geschieht – und dadurch größere Sichtbarkeit erzielen.

Ein großer Vorteil von passivem Netzwerk-Monitoring ist die nahezu in Echtzeit erfolgende Asset-Erfassung. Folglich können Sie blinde Flicken beseitigen, die möglicherweise vorhanden wären, wenn Sie ausschließlich aktive Scans in periodischen Abständen durchführen.

Passives Netzwerk-Scanning eignet sich auch hervorragend, um Schwachstellen in Ihren industriellen Steuerungssystemen (ICS) und SCADA-Systemen (Supervisory Control and Data Acquisition) ausfindig zu machen, die beide durch aktives Scannen gestört werden können.

Nessus Network Monitor

Mit Tenable können Sie Nessus Network Monitor (NNM) nutzen, um Ihren Netzwerkverkehr passiv zu analysieren und blinde Flecken zu beseitigen, was Ihnen umfassenden Einblick in Ihre gesamte Angriffsoberfläche ermöglicht. Hierbei handelt es sich um ein sicheres Verfahren zur Erfassung und Überwachung Ihrer sensiblen Systeme, das keine Prozesse stört.

Nessus Network Monitor ist als Sensor in Tenable Vulnerability Management und Tenable Security Center enthalten.

Einige Vorteile der Verwendung von Network Monitor:

• Kontinuierliche und nicht ins System eingreifende Überwachung und Bewertung Ihres Netzwerks
• Monitoring des Netzwerkverkehrs auf Paketebene bietet Einblick in server- und clientseitige Schwachstellen
• Skalierbarkeit zwecks Erfassung zukünftiger Assets und Schwachstellen-Monitoring für all Ihre Geräte, einschließlich virtueller Systeme und Cloud-Services
• Automatische Bewertung von Infrastrukturen und Schwachstellen
• Schwachstellenerkennung auf kommunizierenden Systemen, einschließlich Protokollen und Anwendungen
• Identifizierung der jeweiligen Kompromittierung einer Anwendung
• Umfassende Asset-Erfassung in Verbindung mit all Ihren Geräten, darunter Geräte und Anwendungen in OT-Umgebungen, Server, Endgeräte, Web-Apps, Netzwerkgeräte, virtuelle und cloudbasierte Geräte, BYOD-/Mobilgeräte sowie iOS-Geräte mit Jailbreak.

Welche Tools für passives Netzwerk-Monitoring sind für mein Unternehmen geeignet?

Hier einige Tipps zur Evaluierung der Frage, welche Tools für passives Netzwerk-Monitoring für Ihr Unternehmen am besten geeignet sind. Ihr passiver Netzwerk-Monitor sollte:

• Umfassenden Einblick in Ihren Netzwerkverkehr bieten
• Sensoren sollten in der Lage sein, sich mit einem physischen TAP- oder SPAN-Port zu verbinden. Bei virtuellem Datenverkehr, etwa in einer Cloud-Umgebung oder in Ihrer virtuellen Infrastruktur, sollte Ihr passiver Netzwerk-Monitor auf einer ordnungsgemäß konfigurierten virtuellen Maschine ausgeführt werden können.
• Gängige Protokolle für TCP und UDP unterstützen
• Sämtliche Protokolle unterstützen, die Ihr System verwenden könnte: SCTP, ICMP, IPIP, IDP and OT – BACnet, CIP, DNP3, Ethernet/IP, ICCP, IEC 60870-5-104, IEC 61850, IEEE C37.118, Modbus/TCP, OPC, PROFINET und Siemens S7.
• Alle Assets in Ihrer gesamten Angriffsoberfläche erkennen können, die Ihre Protokolle verwenden
• Alle bekannten Schwachstellen identifizieren können, die Ihre Assets betreffen
• Warnmeldungen an Ihre SIEM-Lösung (Security Information and Event Management) senden können, sobald neue Assets erfasst werden

In Tenable Nessus ermöglichen passive Netzwerk-Monitore (d.h. Überwachungssensoren) die kontinuierliche Erfassung aller aktiven Netzwerk-Assets und erleichtern die Schwachstellenbewertung. Nessus Network Monitor ist ebenfalls in Tenable Vulnerability Management integriert.

5. Patch-Management

---

Was ist Patch-Management?

Patch-Management ist der Prozess, mit dem Sie Systeme und Software in Ihrem gesamten Unternehmen aktualisieren. Patching ist ein wichtiger Bestandteil des Schwachstellen-Managements und eine effektive Möglichkeit zur Eindämmung von Risiken für Ihr Unternehmen.

Aufgrund der Vielzahl von Systemen und Anwendungen innerhalb Ihrer Angriffsoberfläche und der Tatsache, dass Anbieter ständig neue Patches herausgeben, fällt es Ihnen möglicherweise schwer zu wissen, welche Patches zuerst eingespielt werden müssen und wie die übrigen priorisiert werden sollen.

Das Patchen von Prioritäten steht in direktem Zusammenhang zu der Risikobewertung von Schwachstellen. Wenn eine Schwachstelle in Ihrem Bewertungssystem als „hoch“ oder „kritisch“ eingestuft wird, beginnen Sie damit und arbeiten Sie die Liste dann von oben nach unten bis zu den Schwachstellen mit niedrigerer Bewertung ab.

Wie bei der Asset-Erfassung kann es ohne Schwachstellen-Management-Plattform schwierig sein, sich einen umfassenden Überblick über Ihre Patch-Anforderungen zu verschaffen. Dies ist ein weiterer Punkt, bei dem Tenable helfen kann.

So zeigt Ihnen das Dashboard von Tenable Vulnerability Management zum Beispiel, welche Patches Ihre Assets benötigen. Das Vulnerability Priority Rating (VPR) von Tenable zeigt auf, welche Patches für Ihr Unternehmen am kritischsten sind und worauf Sie Ihren Fokus richten sollten.

Sie können die Patch-Liste auch filtern, um einen genaueren Überblick zu erhalten. Wenn Sie beispielsweise herausfinden möchten, wie viele Patches in den letzten 90 Tagen veröffentlicht wurden, können Sie Ihre Ansicht entsprechend filtern und sehen dabei auch, welche dieser Patches für Ihr Unternehmen am kritischsten sind.

Einige Patches können Probleme für Ihr Unternehmen verursachen. Daher könnte es sinnvoll sein, einen Patch zu testen, bevor Sie ihn in einer aktiven Umgebung bereitstellen. Dadurch bietet sich die Möglichkeit, festzustellen, ob Konflikte oder Probleme vorliegen, bevor diese sich in der Praxis negativ auf Ihre Betriebsabläufe auswirken können.

Ist Ihr Patch-Management-System effektiv?

Hier einige Fragen, die Ihnen dabei helfen, die Effektivität Ihres Patch-Management-Systems zu evaluieren:

Installiert Ihr Team alle Sicherheitspatches?

Es steht Ihrem Unternehmen frei, in einer Richtlinie festzulegen, ob Ihre Teams sämtliche Sicherheitspatches installieren sollen oder nicht. Wenn Sie dies tun, können Nessus und Tenable Security Center Ihnen helfen zu ermitteln, ob Ihr Patch-System funktioniert oder nicht. Wenn Ihr Unternehmen keine hundertprozentige Patch-Abdeckung vorschreibt, könnte ein externes Audit hilfreich sein, um Sicherheitsrisiken ausfindig zu machen, die in Ihren Patching-Prozessen nicht berücksichtigt wurden.

Wie zeitnah installieren Sie Patches?

Ihr Unternehmen sollte außerdem eine Richtlinie erstellen, die festlegt, in welchem Zeitrahmen Patches zu installieren sind. Sie können Nessus und Tenable Security Center verwenden, um auf Unstimmigkeiten innerhalb Ihrer Richtlinie zu testen und den Fortschritt zu verfolgen.

Berücksichtigen Sie neue Hosts in Ihrem Patch-Management-Programm?

Neue Hosts sollten in Ihrem Patch-Management-Programm berücksichtigt werden. Wenn Sie Ihrer Infrastruktur Server oder Desktops hinzufügen, können Sie den Patch-Zyklus für diese Geräte mit Tenable Security Center überwachen.

Wie steht es um Embedded-Geräte?

Auch Embedded-Geräte wie Switches, Firewalls, Router und Drucker können Sicherheitsprobleme aufweisen. Sie können Nessus und Tenable Security Center dazu verwenden, Patch-Probleme in Ihren Embedded-Geräten zu finden.

In diesem Blogbeitrag erfahren Sie mehr über das Thema Patch-Management-Effektivität: Testing the Effectiveness of Your Patch Management System.

Warum schlagen einige Patches fehl?

Selbst mit einem effizienten Patch-Management-System schlagen Patches hin und wieder einfach fehl. Hier einige Beispiele, warum es dazu kommen kann:

• Ihr Gerät, beispielsweise ein UNIX- oder Windows-Server, könnte zu gut abgesichert und so konfiguriert sein, dass das Remote-Benutzerkonto oder der lokale User-Agent, über das bzw. den der Patch aufgespielt wird, nicht über die erforderlichen Rechte verfügt.
• Wenn Ihr Server veraltete Netzwerkeinstellungen aufweist, beispielsweise für einen nicht mehr aktuellen DNS-Server oder einen lokalen Router, der zwar aktiv zu sein scheint, aber überholt ist, könnte Ihr Patch aufgrund eines eingeschränkten Netzwerkzugangs fehlschlagen.
• Firewall-Regeln können Systeme beeinträchtigen und dazu führen, dass Patches fehlschlagen.
• Es könnte Patch-Abhängigkeiten geben, die nicht berücksichtigt wurden.
• Wenn nur eingeschränkter Speicherplatz auf Ihrem Laufwerk oder Ihrer Partition zur Verfügung steht, kann der Patch fehlschlagen. Dies gilt auch für selbstextrahierende Patches.
• Möglicherweise ist Ihre Bandbreite eingeschränkt, sodass der Patch nicht bereitgestellt und installiert werden kann.

Sie möchten mehr über Patch-Management und mögliche Fehlerursachen erfahren? Weitere Informationen erhalten Sie in diesem Blogbeitrag.

6. Vulnerability Management-Lösungen

---

Warum benötige ich Schwachstellen-Management?

Angesichts von Hunderten potenzieller Angriffsvektoren, unzähligen Assets und sich ständig verändernden Arbeitsumgebungen (Mitarbeiter, Standorte, Technologien usw.) sind Sicherheitsteams nicht in der Lage, jede einzelne Schwachstelle zu patchen und zu beheben, doch Angreifer sind ständig auf der Suche nach Möglichkeiten, diese Schwachpunkte zu infiltrieren.

Inzwischen gibt es mehr als 223,929 Common Vulnerabilities and Exposures (CVEs) in der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NVD). In den ersten acht Monaten des Jahres 2023 hat das NIST bereits mehr als 19.352 analysiert.

Auch wenn vermutlich nur wenige dieser Schwachstellen in der Praxis tatsächlich ausgenutzt werden, könnte jede von ihnen jederzeit zum Ziel von Angriffen werden.

Schwachstellen mit „hoher“ oder „kritischer“ Einstufung erregen zwar die größte Aufmerksamkeit, für Angreifer spielen dieses Scores jedoch keine Rolle – ihnen geht es lediglich um den einfachsten Weg in Ihr Netzwerk.

Angesichts der zunehmenden Möglichkeiten war es noch nie so wichtig, den Wert von Schwachstellen-Management zu verstehen, Best Practices zu erkunden und Taktiken einzuführen, die sofort eingesetzt werden können, um Ihr Netzwerk zu schützen.

Aus diesem Grund ist es so wichtig, ein Vulnerability Management-Programm zu haben, das den Fokus auf die Priorisierung von Risiken und die Steigerung der Behebungseffizienz legt.

Wie wähle ich die passende Schwachstellen-Management-Lösung aus?

Ihr Unternehmen hat zweifellos individuelle Anforderungen, was die Auswahl einer Schwachstellen-Management-Lösung angeht. Allerdings gibt es eine Reihe von Aspekten, die für jede Branche relevant sind.

Nachfolgend sind sechs Aspekte aufgeführt, die Sie bei der Evaluierung eines Anbieters für Schwachstellen-Management berücksichtigen sollten, um Ihre aktuellen und zukünftigen Anforderungen zu erfüllen.

1. Kontinuierliche Erkennung von Assets

Ihre Schwachstellen-Management-Lösung sollte ein breites Spektrum abdecken und Ihnen unter anderem eine fortlaufende Asset-Erfassung sowie vollständigen Einblick in Ihre gesamte Angriffsoberfläche bieten.

Ziehen Sie eine Lösung in Betracht, die Folgendes umfasst:

• Netzwerk-Scanner
• Agents für Endgeräte, die häufig netzwerkextern eingesetzt werden, z. B. Laptops oder Mobilgeräte
• Passive Netzwerk-Monitore zur kontinuierlichen Erfassung von Assets und Schwachstellen
• Cloud-Konnektoren und vorab autorisierte Cloud-Scanner zur Überwachung und Bewertung von Cloud-Instanzen
• Image-Scanner für statische Container-Images im Vorfeld der Bereitstellung
• Web-App-Scanner
• Integrationen mit der Cloud, CMDB, CI/CD, Ticketing/SOAR und anderen Technologien

2. Über statische Scans hinausgehende Bewertung

Die Bewertung von Assets sollte über die Durchführung eines Scans hinausgehen. Ihre Schwachstellen-Management-Lösung sollte die Erfassung und Bewertung von Daten unterstützen, damit Sicherheitsprobleme identifiziert werden.

Ziehen Sie eine Lösung in Betracht, die Folgendes umfasst:

• Container-Bewertung vor der Bereitstellung mit Integrationen in Entwickler-Workflows
• Bewertung von Cloud-Workloads mit API-basierter Sichtbarkeit
• Passive Erkennung für IT- und OT-Geräte, die die Performance und Verfügbarkeit von Systemen nicht beeinträchtigt

3. Fortschrittliche Priorisierung

Ihre Schwachstellen-Management-Lösung sollte maschinelles Lernen einsetzen, um Ihr Team bei der Zusammenführung von Schwachstellendaten zu unterstützen, sodass Sie blinde Flecken und verborgene Muster aufdecken und dadurch Unternehmensrisiken besser nachvollziehen können.

Ziehen Sie eine Lösung in Betracht, die Folgendes umfasst:

• Priorisierung von Schwachstellen
• Dateneingabe zwecks Priorisierung
• Forschungs- und Datenteams
• Automatisierte, skalierbare Asset-Bewertung

4. Automatisiertes Reporting und Benchmarking

Ihre Schwachstellen-Management-Lösung sollte einsatzfertige Reporting-Funktionen bieten, die Ihre grundlegenden Anforderungen abdecken, und zudem eine leistungsstarke und gut dokumentierte API enthalten, damit Berichte im Hinblick auf Anforderungen Ihres Teams, Geschäftsziele und Compliance angepasst und automatisiert werden können.

Darüber hinaus ist es eine gute Idee, auf eine Lösung zu setzen, die Metriken für Benchmarking enthält, damit Sie den Erfolg Ihres Schwachstellen-Management-Programms intern bewerten und mit ähnlichen Unternehmen der Branche vergleichen können.

5. Einfache Preisgestaltung und Lizenzierung

Ihre Schwachstellen-Management-Lösung sollte eine einfache und unkomplizierte Preisgestaltung aufweisen. Ziehen Sie eine Lösung mit einem Lizenzierungsmodell in Betracht, bei dem etwa durch die Nutzung einer API oder die Priorisierung von Bedrohungen keine Nachteile für Sie entstehen.

6. Skalierbarkeit

Ihre Schwachstellen-Management-Lösung sollte skalierbar sein und dem Wachstum und den Veränderungen Ihres Unternehmens im Laufe der Zeit gerecht werden. Entscheiden Sie sich für eine anpassungsfähige Lösung, die mit Ihrem Tempo Schritt halten kann.

7. Best Practices des Schwachstellen-Managements

---

Best Practices des Schwachstellen-Managements

Angreifer haben zahlreiche Möglichkeiten, Schwächen auf Ihrer Angriffsoberfläche auszunutzen, und eine einzige Sicherheitsverletzung kann verheerende Auswirkungen auf Ihr Unternehmen nach sich ziehen. Nachstehend finden Sie einige Best Practices für Ihr Schwachstellenmanagement-Programm, die zum Erfolg beitragen:

Hier einige Best Practices, die Sie zur Unterstützung des Erfolgs in Ihrem Schwachstellen-Management-Programm anwenden können:

Asset-Identifizierung und -Management

Identifizieren Sie zunächst sämtliche Assets in Ihrem Unternehmen und ermitteln Sie dann, wo sich diese jeweils befinden, wie sie genutzt werden, wer für sie verantwortlich ist und wie wichtig sie für Ihr Unternehmen sind.

Verfolgen Sie als Nächstes die Beziehungen zwischen Assets sowie Abhängigkeiten von anderen Assets in Ihrem Netzwerk nach und zeichnen Sie sie auf. Welcher Weg öffnet sich für zusätzliche Exploits, wenn ein Angreifer ein Asset kompromittiert? Überprüfen Sie gegenseitige Abhängigkeiten, die Ihr Unternehmen gefährden könnten, selbst wenn ein Asset nicht als „kritisch“ eingestuft ist. Ein häufig übersehener Zugangspunkt befindet sich in Active Directory (AD), daher sollten Sie dies unbedingt in Ihre Prozesse in Zusammenhang mit der Identitätsprüfung einbeziehen.

Darüber hinaus sollten Sie genau prüfen, wann sich jedes Gerät mit Ihrem Netzwerk verbindet und die Verbindung wieder trennt. Diese Informationen erhalten Sie über ein System zur Kontrolle des Netzwerkzugangs (Network Access Control, NAC), durch Prüfung von DHCP-Protokollen und DNS-Serverprotokollen und durch Installation von Schwachstellen-Scanning-Agents auf Geräten, um diese regelmäßig zu scannen.

Schwachstellen-Identifizierung

Sobald Sie Einblick in Ihre Assets haben, können Sie damit beginnen, diese auf Schwachstellen zu untersuchen, einschließlich des Schweregrad-Risikos für die einzelnen Sicherheitsprobleme.

Machen Sie sich ein genaues Bild davon, wie hoch die Wahrscheinlichkeit ist, dass diese Schwachstellen von Angreifern ausgenutzt werden, wie schwierig dies jeweils für sie wäre, und wie groß der potenzielle Schaden im Falle eines erfolgreichen Angriffs wäre. Sobald Sie sich über die Kritikalität der einzelnen Schwachstellen im Klaren sind, können Sie priorisieren, wie die jeweiligen Sicherheitsprobleme eingedämmt und behoben werden sollen.

Regelmäßiges Schwachstellen-Management

Früher stützte sich Schwachstellen-Management auf periodisch durchgeführte Scans, mit denen die zu einem bestimmten Zeitpunkt vorhandenen Schwachstellen erfasst und bewertet werden konnten. Zur Verbesserung Ihrer Sicherheitsaufstellung sollten Sie Ihre Angriffsoberfläche jedoch konsistent und kontinuierlich scannen, um Probleme zu erfassen und zu beheben und dadurch die Wahrscheinlichkeit eines Angriffs zu reduzieren.

Kontinuierliches Scanning verhindert, dass zwischen manuellen Scans blinde Flecken auftreten, und kann Ihnen bei der Aufspürung von neuen Sicherheitsproblemen helfen, die jederzeit auftreten können. Wenn Sie in regelmäßigeren Abständen Scans und Behebungsmaßnahmen durchführen, werden Sie bei jedem einzelnen Scan wahrscheinlich weniger Schwachstellen erfassen.

Risikobewertung

Vermutlich verfügt Ihr Unternehmen über eine Vielzahl verschiedener Assets, wobei für jedes Gerät unterschiedliche Sicherheitsvorkehrungen gelten.

Das bedeutet, dass Sie das Sicherheitsniveau für jedes Asset ermitteln müssen, damit Sie die erforderlichen Schritte – und die Priorisierung – der Behebung planen können. Indem Sie den Wert jedes Assets für Ihr Unternehmen sowie das jeweilige Maß der Exposition bestimmen, bekommen Sie ein besseres Verständnis davon, welche Schutzmaßnahmen Sie ergreifen müssen.

Änderungsmanagement

Die Geräte in Ihrem Netzwerk ändern sich häufig, was neue Sicherheitsprobleme mit sich bringt. Deshalb ist es wichtig, ein flexibles Schwachstellen-Management-Programm zu entwickeln, das Änderungen jederzeit erfassen und Rechnung tragen kann: zum Beispiel, wenn Anwendungen Updates erhalten, Hardware hinzugefügt wird oder Software-Upgrades vorgenommen werden.

Effektives Änderungsmanagement unterstützt Sie bei der Erstellung von Prozessen, die gewährleisten, dass neue Sicherheitsprobleme schnell angegangen und gelöst werden.

Patch-Management

Aufgrund der Menge an Schwachstellen, die bei Schwachstellen-Scans üblicherweise erfasst werden, kann es eine Herausforderung darstellen, Patches effektiv und ohne signifikante Ausfallzeiten oder Störungen bereitzustellen. Deshalb sollten Prozesse für das Patch- und Release-Management in Ihr Schwachstellen-Management-Programm integriert sein, um ein zeitnahes Patchen von kritischen Assets zu unterstützen.

Binden Sie Patch-Management-Prozesse in Ihre Prozesse des Änderungsmanagements ein, um zu gewährleisten, dass Updates und Patches konsistent, in kontrollierter Weise und korrekt installiert werden und dass der jeweilige Patch die Exposition durch die Schwachstelle beseitigt.

Mobilgeräte

Mobilgeräte machen heutzutage einen erheblichen Teil Ihrer Angriffsoberfläche aus. Diese Geräte bieten Benutzern zwar Flexibilität, können aber auch zusätzliche und ganz eigene Sicherheitsrisiken für Ihr Unternehmen mit sich bringen. Wenn Ihr Unternehmen BYOD-Geräte (Bring Your Own Device) unterstützt, statt firmeneigene Geräte einzusetzen, könnte sich eine noch komplexere Situation ergeben. MDM-Systeme (Mobile Device Management) sind in diesem Fall ein gutes Mittel, ebenso wie die Bereitstellung von Agents auf Mobilgeräten.

Mitigation-Management

Möglicherweise liegen in Ihrem Unternehmen Schwachstellen vor, für die keine Patches oder Korrekturen verfügbar sind. Was also können Sie tun? Ihr Schwachstellen-Management-Programm sollte alternative Möglichkeiten zum Umgang mit diesen Schwachstellen enthalten, bis sie behoben werden können. Eine umfangreichere Protokollüberwachung, Aktualisierungen der IDS-Angriffssignaturen oder Änderungen der Firewall-Regeln könnten effektive Ansätze sein.

Incident Response (Vorfallsreaktion)

Ein Gradmesser für die Effektivität eines Schwachstellen-Management-Programms ist die Geschwindigkeit, mit der Sie auf Vorfälle reagieren. Je schneller Sie auf ein Sicherheitsproblem reagieren, desto größer ist Ihre Chance, die Auswirkungen auf das Unternehmen zu verringern. Bei Incident Response geht es um mehr als nur die bloße Reaktion auf einen Übergriff. Stellen Sie auf einen proaktiven Ansatz um, damit Sie stets vorbereitet sind und reagieren können. Kontinuierliche Sicherheitsüberwachung, Prozessautomatisierung und Warnmeldungen erleichtern schnelle Reaktionsmaßnahmen.

Automatisierung

Automatisierung unterstützt Sie dabei, Schwachstellen auf Ihrer gesamten Angriffsoberfläche schnell und präzise zu erfassen, zu bewerten und zu beheben. Dies gilt insbesondere für größere Systeme, von denen ein ständig wechselnder Datenfluss in Ihrem gesamten Netzwerk ausgeht. Mithilfe von Automatisierung können Sie sich schneller und mit weniger Fehlern durch Daten arbeiten.