Um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten, ist es unerlässlich, die eigene Infrastruktur kontinuierlich auf Schwachstellen zu überprüfen und zu optimieren. Bei InfoGuard beobachten wir immer wieder, dass Unternehmen mehrere Schwachstellenscanner einsetzen. Diese generieren eine Fülle von Daten und zwingen Sicherheitsteams dazu, die Scan-Daten manuell zu aggregieren und mit den Asset-Daten abzugleichen, um diejenigen Cyber-Risiken zu identifizieren, die für das Unternehmen am relevantesten sind. Dies ist nicht nur zeitaufwändig, sondern birgt auch die grosse Gefahr, dass kritische Schwachstellen zu spät oder sogar überhaupt nicht behoben werden.
Daher ist es entscheidend, zwischen relevanten und irrelevanten Bedrohungen zu unterscheiden. Dies wird Ihnen helfen, die richtigen Prioritäten zu setzen und eine effektive Strategie zur Behebung von Schwachstellen zu entwickeln. In der Praxis sehen wir jedoch immer wieder dieselben fünf Stolpersteine, die ein effektives und effizientes Schwachstellenmanagement behindern können.
Sicherheitsverletzungen oder Exploits, die in den Medien spektakulär dargestellt werden, erregen oft grosses Aufsehen. Es ist durchaus berechtigt, wenn das Management Fragen dazu stellt, inwieweit das eigene Unternehmen darauf vorbereitet ist. Dennoch bedeutet dies nicht, dass Ihr Sicherheitsteam das Schwachstellenmanagement ausschliesslich auf Grundlage der Medienberichterstattung planen sollte. Wenn Sie sich nur darauf verlassen, könnten weniger bekannte Schwachstellen übersehen werden, die für Ihr Unternehmen möglicherweise viel relevanter sind. Der entscheidende Punkt ist, dass Ihre Bemühungen zur Behebung von Schwachstellen sich immer zuerst auf diejenigen konzentrieren sollten, die eine unmittelbare Bedrohung für Ihr eigenes Netzwerk darstellen.
In der Ära eigenständiger Netzwerke und Rechenzentren war es nur grossen Unternehmen möglich, die Behebung von Schwachstellen manuell zu verwalten. Die Veränderungen in der modernen Unternehmensumgebung, die Vielfalt an Software und Tools in den heutigen Netzwerken und die Verkürzung der Software-Entwicklungszyklen haben zu einem explosionsartigen Anstieg von Schwachstellen geführt. Allein in den letzten zwei Jahren wurden über 30’000 neue Sicherheitslücken entdeckt – zu viele, um sie manuell bewältigen zu können.
Automatisierung ist der Schlüssel, um Schwachstellen schnell, konsistent und korrekt zu beheben. Durch die Automatisierung kann zudem sichergestellt werden, dass dieselbe Lösung zur Behebung einer Schwachstelle konsistent und in Echtzeit auf alle Instanzen im gesamten Netzwerk angewendet wird. Automatisierte Skripte gewährleisten ausserdem, dass komplexe mehrstufige Massnahmen korrekt umgesetzt werden. Ganz allgemein gesagt: Die Automatisierung beendet die manuellen Prozesse zur Behebung von Schwachstellen, die ohnehin mühsam, ineffizient, fehleranfällig und nicht skalierbar sind.
Der dritte Fehler besteht darin, dass die oft auftretenden Spannungen zwischen den Sicherheits-, Betriebs- und Entwicklungsteams, die alle an der Behebung von Schwachstellen beteiligt sind, nicht gelöst werden. Das Sicherheitsteam priorisiert Sicherheit, während für das Betriebsteam Ausfallzeiten entscheidend sind und die Entwicklung dem Grundsatz «Move fast and break things» folgt. Eine kontinuierliche Kommunikation kann diese Kluft überbrücken und einen robusten, durchgängigen Prozess zur Behebung von Schwachstellen sicherstellen, einschliesslich der Überprüfung von Korrekturen für alle Schwachstellen.
Stellen Sie zunächst sicher, dass die Behebung von Schwachstellen von allen als unternehmensweite Aufgabe und geschäftliche Priorität verstanden wird. Zweitens sollten Sie sicherstellen, dass alle eine gemeinsame Sprache sprechen. Es genügt nicht, einfach eine Liste von CVEs (Common Vulnerabilities and Exposures; auf Deutsch: bekannte bzw. häufige Schwachstellen und Anfälligkeiten) bereitzustellen...
Zusätzlich sollten Sie quantitative Benchmark-Metriken verwenden, die auf die spezifischen Bedürfnisse und Prozesse Ihres Unternehmens zugeschnitten sind. Dies bedeutet, dass Sie Mechanismen etablieren sollten, um den Fortschritt bei der Beseitigung von Schwachstellen zu messen und nachzuverfolgen. Die Auswahl der richtigen Benchmark-Metriken ist entscheidend und gewährleistet, dass Ihre Teams sich auf die richtigen Schlüsselkennzahlen konzentrieren.
Eine vollständige Liste aller Ressourcen in Ihrem Netzwerk sowie das Verständnis ihrer Abhängigkeiten und Zugriffsmöglichkeiten sind wesentliche Elemente für die effektive Behebung von Schwachstellen. Dies mag auf den ersten Blick einfach erscheinen, doch die Erstellung eines umfassenden Inventars in verteilten und komplexen Architekturen ist in der Realität komplizierter als man vielleicht denkt. Ein effizientes Asset-Management ermöglicht die Implementierung eines intelligenteren Prozesses für das Schwachstellenmanagement und hilft dabei, häufig auftretende Probleme bei der Schwachstellenbehebung zu überwinden.
Und schliesslich wird oft auch die falsche Priorität bei der Beseitigung von Schwachstellen gesetzt. Angesichts der Vielzahl von Schwachstellen, die existieren, benötigen Sie eine Methodik zur Priorisierung, damit Sie sich auf die wesentlichen Schwachstellen konzentrieren können - immer in Bezug auf Ihr Unternehmen. Viele Unternehmen nutzen dafür die CVSS-Bewertungen (Common Vulnerability Scoring System) als Grundlage. Diese Bewertungen reichen von 0 bis 10, wobei Werte zwischen 9 und 10 als «kritisch» eingestuft werden. Es ist nicht überraschend, dass viele Unternehmen die Philosophie verfolgen, zuerst alle als «kritisch» eingestuften Schwachstellen zu beheben und sich erst danach um andere Schwachstellen zu kümmern – sofern sie die Zeit und Ressourcen dafür haben. Dies mag auf den ersten Blick sinnvoll erscheinen, ist jedoch in der Praxis nicht die beste Vorgehensweise.
Heutzutage müssen Unternehmen einen risikobasierten Ansatz verfolgen und sich auf Schwachstellen konzentrieren, die die grösste und unmittelbarste Bedrohung für ihr Netzwerk darstellen. Bei der Priorisierung von Schwachstellen ist es entscheidend zu bedenken, dass der CVSS-Score oder ähnliche Metriken sich auf technische Risiken ohne tatsächlichen Kontext beziehen, während jedes Netzwerk in Wirklichkeit einzigartig ist. Die Auswirkungen einer Schwachstelle können in verschiedenen Umgebungen unterschiedlich sein. Daher muss auch die Bedrohung, die von diesen Schwachstellen ausgeht, individuell bewertet werden. Ein kontextbezogener Ansatz berücksichtigt nicht nur den technischen Schweregrad der Schwachstelle, sondern auch die verschiedenen Funktionen der Assets, ihre Konfigurationen, Sicherheitsexposition und externe Bedrohungen, die das Risiko erhöhen können.
Beispielsweise kann eine Schwachstelle, die als «mittel» eingestuft wird, aber in der Praxis aktiv ausgenutzt wird, gefährlicher sein als eine «kritische» Schwachstelle, für die keine bekannten Exploits existieren. Es kommt nicht selten vor, dass Cyber-Kriminelle eine Schwachstelle mit niedrigerer Bewertung und bekanntem Exploit ausnutzen, da sie wissen, dass kritische Schwachstellen in der Regel zuerst behoben werden.
Die oben beschriebenen Fehler im Schwachstellenmanagement können katastrophale Folgen haben – lassen Sie es nicht so weit kommen! Wir sind uns bewusst, dass in einem Artikel wie diesem nicht alle Fragen beantwortet und Unklarheiten beseitigt werden können. Dennoch sind wir absolut überzeugt davon, dass Vulnerability Management heutzutage unerlässlich ist und dass viele Unternehmen noch Raum für Verbesserungen haben. Genau aus diesem Grund hat unser Partner Vulcan Cyber eine Plattform entwickelt, die die Herausforderungen im Bereich Risiko- und Schwachstellenmanagement auf intelligente und effiziente Weise bewältigt. Dank eines zentralen Dashboards erhalten Sie einen umfassenden Überblick über Ihre Cyber-Sicherheitslage und können die Schwachstellenbeseitigung team- und toolübergreifend automatisieren und orchestrieren. Interessiert? Erfahren Sie mehr über Vulcan Cyber auf unserer Webseite.