Articles

Wie man ein Schwachstellen-Management-Programm aufbaut

Ein Schwachstellen-Management-Programm identifiziert, bewertet, priorisiert und entschärft systematisch Schwachstellen, die ein Risiko für die Infrastruktur und Anwendungen eines Unternehmens darstellen können. Ein modernes Programm zur Verwaltung von Schwachstellen kombiniert Automatisierung, Bedrohungsdaten und Datenwissenschaft, um vorherzusagen, welche Schwachstellen das größte Risiko für eine bestimmte Umgebung darstellen.

Warum ist ein Programm zur Verwaltung von Schwachstellen so wichtig?

Die Zahl der in Geräten, Netzwerken und Anwendungen beobachteten Schwachstellen ist in den letzten Jahren dramatisch gestiegen. Ein Blick auf die National Vulnerability Database zeigt, dass sich die Zahl der Common Vulnerabilities and Exploits (CVEs) seit 2016 verdreifacht hat.

Auch auf dem Vormarsch: Hochentwickelte Bemühungen, diese Schwachstellen auszunutzen. Nach Angaben des Identity Theft Resource Center (ITRC) ist die Zahl der registrierten Datenschutzverletzungen von 2018 auf 2019 um 17 % angestiegen. Allein in den ersten beiden Monaten des Jahres 2020 wurden 1,66 Milliarden Datensätze bei 11.476 Verstößen offengelegt.

Doch die meisten Unternehmen sind noch immer nicht ausreichend vorbereitet. Im Jahr 2019 stellte PwC fest, dass „weniger als die Hälfte der Unternehmen weltweit ausreichend auf einen Cybersecurity-Angriff vorbereitet sind.“ Cyberkriminelle werden immer fortschrittlicher, und Unternehmen haben Mühe, sicherzustellen, dass die Cybersecurity-Fähigkeiten, -Tools und -Prozesse ihrer Teams diesen Bedrohungen gewachsen sind.

All dies ist für Unternehmen mit hohen Kosten verbunden. Cybersecurity Ventures prognostiziert, dass die durch Cyberkriminalität verursachten Schäden die Welt bis 2021 jährlich 6 Billionen US-Dollar kosten werden (gegenüber 3 Billionen US-Dollar im Jahr 2015) – Kosten, die sich Unternehmen in einer Zeit historischer wirtschaftlicher Störungen kaum leisten können.

Da Schwachstellen und diversifizierte Angriffe weiter zunehmen, benötigen Sie ein Schwachstellenmanagementprogramm, um Ihre Infrastruktur, Anwendungen und Daten angemessen zu schützen.

Kann ein herkömmliches Schwachstellenmanagementprogramm mithalten?

Viele Unternehmen verlassen sich immer noch auf die Gewohnheit, alles zu patchen, was einen bestimmten Schwellenwert überschreitet, wie z. B. CVSS (Common Vulnerability Scoring System)-Werte von sieben oder mehr. Einige verwenden weiterhin riesige Tabellen mit Schwachstellen, die sie dann nach ihrer Intuition, dem öffentlichen Profil einer Schwachstelle oder der Anzahl der betroffenen Anlagen sortieren. Im Großen und Ganzen hat dieser grundlegende Ansatz für ein Schwachstellenmanagementprogramm funktioniert – das heißt, bis die Angreifer immer raffinierter und die Infrastrukturen immer komplizierter, sensibler und umfangreicher wurden.

Das Problem für die Unternehmen von heute besteht darin, dass diese traditionellen Modelle für Schwachstellenmanagement sie dazu zwingen, Schwachstellen zu priorisieren, ohne den Kontext zu berücksichtigen, der notwendig ist, um das Risiko, das eine Schwachstelle für ihr spezifisches Unternehmen darstellt, genau zu bewerten. Eine Schwachstelle kann beispielsweise Schlagzeilen machen und bei den Beteiligten und Führungskräften für Unruhe sorgen. Viele Schwachstellen wurden unter diesen Umständen bereits gepatcht. In vielen Fällen handelt es sich jedoch nicht um eine Sicherheitslücke, die in Ihrer Branche aktiv ausgenutzt wird, d. h. sie stellt ein relativ geringes Risiko für Ihre Infrastruktur dar. Anhand dieses Kontexts können Sie bestimmen, welche Schwachstellen es wert sind, behoben zu werden – und dann Ihre Entscheidung, die Behebung von Schwachstellen, die für Schlagzeilen sorgen, zurückzustellen, gegenüber anderen verteidigen.

Betrachten Sie nun, dass nur 2 bis 5 % der Schwachstellen eines Unternehmens wahrscheinlich ausgenutzt werden. Herkömmliche Methoden zur Verwaltung von Schwachstellen sind keine große Hilfe, wenn es darum geht, die Schwachstellen ausfindig zu machen, die am ehesten als Waffe eingesetzt werden können. Schwachstellen-Scanner und CVSS-Scores bieten IT- und Sicherheitsteams wenig Einblick in das spezifische Risiko, das jede Schwachstelle für ein Unternehmen darstellt.

Das führt dazu, dass Sicherheitsteams versuchen, IT und DevOps dazu zu überreden, eine große Anzahl von Schwachstellen zu beheben, die letztlich das Risiko nicht senken und wertvolle Zeit vergeuden, die für strategischere und sinnvollere Initiativen verwendet werden könnte. Die Reibung zwischen Sicherheits- und IT-Teams ist etwas, das Unternehmen mit traditionellen Schwachstellenmanagementprogrammen nur allzu gut kennen.

Traditionelle vs. risikobasierte Schwachstellenmanagement-Programme

Eine modernere Alternative zu den traditionellen Methoden ist das risikobasierte Schwachstellenmanagement, bei dem Datenwissenschaft, Echtzeit-Schwachstelleninformationen und Automatisierung eingesetzt werden, um einen priorisierten und effizienten Ansatz zur besseren Isolierung und zum besseren Verständnis der Risiken zu schaffen, die eine echte Bedrohung für ein Unternehmen darstellen. Unternehmen, die Zeit sparen, effizientere Abhilfeworkflows erstellen und ihr Risikoprofil senken wollen, haben sich dem risikobasierten Schwachstellenmanagement zugewandt.

Führenden Analysten zufolge ist die Zukunft der Schwachstellenmanagementprogramme risikobasiert. In den letzten Monaten hat Gartner angesichts der zunehmenden und sich weiterentwickelnden Schwachstellen und Bedrohungen die Notwendigkeit einer risikobasierten Priorisierung von Schwachstellen erkannt. „Gartner hat die kritische Notwendigkeit hervorgehoben, Anlagen auf Konfigurationsprobleme und Schwachstellen zu prüfen und in der Lage zu sein, Prioritäten zu setzen, was mit dieser Prüfung geschieht, basierend auf dem Risiko für Ihr Unternehmen.“

Und Ende letzten Jahres stellte Forrester ebenfalls fest, dass die risikobasierte Priorisierung die zukünftigen modernen Schwachstellenmanagementprogramme bestimmen wird.

Welche Schritte sind nötig, um ein Schwachstellenmanagementprogramm aufzubauen?

Unternehmen, die ein Schwachstellenmanagementprogramm einführen oder ausbauen möchten, sollten zunächst die folgenden sechs Schritte befolgen.

  1. Stellen Sie Ihr Team zusammen. Beginnen Sie damit, den Grundstein für Ihr Programm zu legen, indem Sie alle benötigten Schlüsselpersonen bestimmen. In Unternehmen gibt es oft einen Sicherheitsdirektor oder -manager, der mit der Verwaltung von Schwachstellen betraut ist, sowie mindestens einen Analysten, der Schwachstellen in der gesamten Umgebung identifiziert, verfolgt und bewertet. Das für die Behebung der Schwachstellen zuständige Teammitglied kann mehrere Abteilungen wie IT, DevOps und AppSec umfassen.
  2. Beschaffen Sie sich die richtigen Tools. Gängige Tools zur Suche nach Schwachstellen, die von Sicherheitsteams verwendet werden, decken Schwachstellen in der Umgebung auf. Sobald diese Schwachstellen gefunden sind, liefert eine Konfigurationsmanagement-Datenbank detaillierte Informationen über alle Hardware- und Software-Assets in einem Unternehmen. Eine Lösung für das Schwachstellenmanagement wertet diese Daten aus und sortiert sie, so dass die wichtigsten Schwachstellen, die das größte Risiko für das Unternehmen darstellen, ermittelt werden können. Diese werden dann in einen Abhilfeworkflow eingespeist (in der Regel über ein Ticket-System), der mit der IT und DevOps geteilt wird.
  3. Vergleichen Sie die Bedrohungslandschaft mit Ihrer Umgebung. Vergleichen Sie Ihre Kenntnisse über Ihre Anlagen und bekannten Schwachstellen innerhalb Ihres Unternehmens mit Ihren Bedrohungsdaten. Auf diese Weise können Sie die Auswirkungen eines potenziellen Angriffs bestimmen – ein weiterer wichtiger Faktor bei der Risikobestimmung. Tools wie CVE-Listen, CPE- (Common Platform Enumeration) und CWE- (Common Weakness Enumeration) Informationen bieten einen Anfang, aber für einen effektiven Abgleich benötigen Sie umfassende, reale Daten, die nur ein modernes Schwachstellenmanagementprogramm einbeziehen kann.
  4. Kennen Sie Ihre Anlagen, Anwendungen und Risikotoleranz. Für eine effektive Prioritätensetzung ist es wichtig, Ihre aktuellen Anlagen und das akzeptable Risikoniveau Ihres Unternehmens zu kennen. Um ein detailliertes Bestandsverzeichnis zu erstellen, können Sie auf automatisierte Tools zurückgreifen, die Ihr Unternehmen nach Ressourcen wie Servern, Workstations, virtuellen Maschinen, Speicher-Arrays und Netzwerkgeräten durchsuchen. Ihre Risikotoleranz richtet sich möglicherweise nach Ihrer Branche oder spezifischen Unternehmensrichtlinien. Suchen Sie nach Quellen innerhalb Ihres Unternehmens, die Sie auf Richtlinien zur Risikobewertung anderer Unternehmensbereiche hinweisen. Bei bestimmten Schwachstellen ist es wichtig, dass Sie wissen, wie viel Risiko Sie akzeptieren können und welche Kompromisse Sie eingehen müssen, wenn Sie entweder jetzt Abhilfe schaffen oder abwarten wollen.
  5. Messen, bewerten und priorisieren Sie Ihre Schwachstellen. Dies ist die Phase, in der die Wahl der Plattform für das Schwachstellenmanagement entscheidend wird. Bei der Auswahl der richtigen Plattform für Ihr Unternehmen sollten Sie nach einer Plattform Ausschau halten, die reale Schwachstelleninformationen, Datenwissenschaft, automatisierte Risikoanalysen, individuelle Risikometrien und sogar risikobasierte SLAs integriert. Die besten modernen Plattformen vereinen all dies in einer einfachen, verständlichen und wiederholbaren Metrik – oder Bewertung.
  6. Kommunizieren, beheben und berichten. Ihre Lösung zur Verwaltung von Schwachstellen sollte die interne Kommunikation zwischen wichtigen Teams unterstützen und nicht behindern. Sie sollte auch Ihre Fähigkeit unterstützen, schnell und effizient Abhilfe zu schaffen und dabei alle auf dem Laufenden zu halten, und die Berichterstattung über Ihre Fortschritte einfach und intuitiv gestalten. Achten Sie darauf, dass Sie eine Plattform wählen, die eine Integration mit gängigen Ticketing-Systemen und die Möglichkeit zur Entwicklung von Metriken und benutzerdefinierten Dashboards bietet, damit die wichtigsten Stakeholder einen ständigen, leicht verständlichen Einblick in die Fortschritte des Risikomanagements in Ihrem Unternehmen erhalten. Die meisten Unternehmen setzen eine Mischung aus drei gängigen Abhilfemaßnahmen ein, darunter automatische Patches, Patch-Management-Tools und manuelle Updates.

Lernen Sie, wie man ein modernes, risikobasiertes Schwachstellenmanagementprogramm implementiert

Die Notwendigkeit für ein Unternehmen, ein modernes Schwachstellenmanagementprogramm einzurichten, ist klar. Wenn man sich auf herkömmliche Methoden des Schwachstellenmanagements verlässt, jagen die Abhilfeteams Schwachstellen hinterher, die das Gesamtrisiko möglicherweise nicht verringern, und schaffen ineffiziente Arbeitsabläufe. Moderne Programme für das Schwachstellenmanagement ermöglichen es Unternehmen, proaktiv und datengesteuert gegen Bedrohungen vorzugehen und interne Abläufe zu rationalisieren, um Zeit und Geld zu sparen, vergeudete Anstrengungen zu reduzieren, die Zusammenarbeit zwischen Teams zu verbessern und ihr Risikoprofil sinnvoll zu beeinflussen.

Für einen detaillierten Einblick in die Implementierung eines risikobasierten Schwachstellen-Management-Programms, laden Sie How to Implement Risk-Based Vulnerability Management Now: A Practical Guide. Dieses eBook ist voll von praktischen Tipps und Best Practices und beschreibt die Bedeutung eines modernen Schwachstellenmanagement-Programms in der sich ständig weiterentwickelnden Bedrohungslandschaft. Außerdem werden die sechs oben beschriebenen Schritte zur Einführung eines risikobasierten Schwachstellenmanagement-Programms detailliert erläutert.

Laden Sie sich das eBook noch heute herunter, und machen Sie Ihr Unternehmen zukunftssicher.