Risikobasiertes Schwachstellen-Management (RBVM)
Was ist risikobasiertes Schwachstellen-Management (RBVM)?
Risikobasiertes Schwachstellen-Management (RBVM, Risk-Based Vulnerability Management) ist ein Ansatz zur Identifizierung und Behebung von Sicherheitsschwachstellen in der IT-Umgebung eines Unternehmens, bei dem die Behebung von Schwachstellen, die das größte Risiko darstellen, Priorität hat.
In der IT ist eine Schwachstelle ein Fehler im Softwarecode oder -design, der zu einer Beeinträchtigung der Sicherheit führen kann, beispielsweise ein Einstiegspunkt, den ein Angreifer leicht überwinden kann.
Der risikobasierte Ansatz ist eine Weiterentwicklung der Schwachstellen-Management-Ansätze, die seit der Einführung von Informationstechnologien in Unternehmen zum Standard gehören.
Diese traditionellen Programme zur Verwaltung von Schwachstellen, die oft auch als „Legacy Vulnerability Management“ bezeichnet werden, orientierten sich bei der Behebung von Schwachstellen nicht an den Risiken, die eine bestimmte Schwachstelle für ein Unternehmen darstellt. Stattdessen wurden die Prioritäten bei der Behebung von Schwachstellen anhand allgemeiner Risikomanagement-Informationen und Daten über den Schweregrad einer Schwachstelle festgelegt.
Sicherheitsexperten erkannten, dass der bisherige Ansatz dazu führte, dass Unternehmen in ihrem gesamten Technologie-Ökosystem übermäßig vielen Sicherheitsbedrohungen ausgesetzt waren.
Mit der Ausweitung der IT-Landschaft in den letzten Jahrzehnten wurde die Liste der Schwachstellen in den Unternehmen immer länger, so dass die IT- und Cybersicherheitsteams mehr Arbeit hatten, als sie eigentlich bewältigen konnten.
Um das Problem anzugehen, entwickelten Sicherheitsexperten das RBVM, das auf dem Prinzip basiert, dass die Schwachstellen, die das höchste Risiko für das Unternehmen darstellen, zuerst behandelt werden sollten, während die Schwachstellen, die nur ein geringes oder gar kein Risiko darstellen, behandelt werden können, wenn es die Zeit und die Ressourcen erlauben.
Die Einführung eines risikobasierten Ansatzes für das Schwachstellen-Management setzt voraus, dass Unternehmen ihre IT-Bestände kennen, die Risiken, die jede Schwachstelle für das Unternehmen darstellt, verstehen und über Mechanismen verfügen, um jedes Risiko zu bewerten und zu priorisieren.
Unternehmen können RBVM-Software verwenden, um diese Komponenten bereitzustellen. Diese Software hilft bei den folgenden Aufgaben:
- Scannt die IT-Umgebung, einschließlich Betriebssysteme, Anwendungen und Firmware, auf bekannte Schwachstellen.
- Bewertet Schwachstellen auf der Grundlage der Risikofaktoren des Unternehmens.
- Automatisiert die Behebung.
Risikobasiertes versus konventionelles Schwachstellen-Management
Herkömmliche oder veraltete Tools für das Schwachstellen-Management bieten den Unternehmen zwar eine wichtige Sicherheitsunterstützung, sind aber für risikobasierte Strategien nicht geeignet.
Mit diesen Tools werden die Anwendungen, Systeme und Netzwerke eines Unternehmens gescannt, um Schwachstellen zu ermitteln, die Angreifer ausnutzen könnten, beispielsweise offene Ports, Fehlkonfigurationen oder problematischer Softwarecode.
Einige herkömmliche Tools für das Schwachstellen-Management könnten auch dabei helfen, Prioritäten zu setzen, welche Schwachstellen zuerst behoben werden sollten, aber sie stützen sich bei der Priorisierung auf allgemeine Daten und allgemeine Zusammenhänge. Dies führte zu Wahrnehmungslücken und Sicherheitslücken in den typischen Unternehmen. Der Grund dafür ist, dass das herkömmliche Schwachstellen-Management bei der Identifizierung und Auflistung der zu behebenden Schwachstellen das spezielle Risikoprofil eines Unternehmens nicht vollständig berücksichtigte.
Infolgedessen behoben IT- und Sicherheitsteams häufig zunächst Schwachstellen, die ein geringes Risiko für ihr Unternehmen darstellten, während Schwachstellen mit höherem Risiko unbeachtet blieben.
Im Vergleich dazu nutzen RBVM-Tools künstliche Intelligenz (KI) und maschinelles Lernen (ML), um die IT-Umgebung eines Unternehmens, die Angriffsfläche und die Kritikalität der Anlagen sowie die Aktivitäten der Bedrohungsakteure zu verstehen. Damit lassen sich die Schwachstellen nach dem Risiko für das Unternehmen zu kategorisieren. Anschließend priorisieren sie die Abhilfemaßnahmen, wobei sie mit den Schwachstellen beginnen, die das höchste Risiko darstellen.
Darüber hinaus können RBVM-Tools einen größeren Teil der IT-Umgebung eines Unternehmens bewerten, wie zum Beispiel Geräte des Internets der Dinge (IoT) und Container, anders als viele ältere Tools für das Schwachstellenmanagement.
Wie RBVM-Tools Risiken bewerten
Herkömmliche Ansätze für das Schwachstellen-Management bewerten Schwachstellen auf der Grundlage allgemeiner Daten und stützen sich dabei in der Regel auf das Common Vulnerability Scoring System (CVSS). CVSS ist ein öffentliches Rahmenwerk, das vom einem gemeinnützigen Forum gepflegt wird und eine Reihe von Metriken zur Berechnung von Punktzahlen verwendet. Die Punktzahlen reichen von 0 für die geringste bis 10 für die höchste Schwere. CVSS bietet einen echten Mehrwert für das Schwachstellen-Management-Programm eines Unternehmens.
RBVM-Tools enthalten jedoch neben dem Schweregrad einer Schwachstelle zusätzliche Rahmenbedingungen und Informationen, wie die Kritikalität von Anlagen und die Aktivitäten von Bedrohungsakteuren, die eine auf das jeweilige Unternehmen zugeschnittene Bewertung ermöglichen.
Die Bedeutung des risikobasierten Schwachstellen-Managements
Das US-amerikanische National Institute of Standards and Technology (NIST) führt in seiner National Vulnerability Database (Nationale Datenbank für Sicherheitsrisiken) eine Übersicht über bekannte Sicherheitslücken. Das NIST fügt seinem Dashboard täglich Dutzende neuer gemeinsamer Schwachstellen und Gefährdungen hinzu, was bedeutet, dass jede Woche Hunderte und jeden Monat Tausende neuer CVEs hinzugefügt werden. Im Frühjahr 2024 verzeichnete das NIST fast 250.000 CVEs auf seinem Dashboard.
Obwohl das NIST die Schwachstellen nach Schweregrad kategorisiert - kritisch, hoch, mittel und gering - hilft dieser Ansatz den meisten Unternehmen nicht dabei, ihre Abhilfemaßnahmen zu konzentrieren. Die Zahl der kritischen Schwachstellen ist einfach zu groß.
An dieser Stelle kommt das risikobasierte Schwachstellen-Management ins Spiel. Es nimmt eine unvorstellbar große Anzahl von Schwachstellen auf, die es zu beheben gilt, fügt den Kontext hinzu, was diese Schwachstellen für ein einzelnes Unternehmen bedeuten, und erstellt einen praktikablen Weg zur Behebung.
RBVM-Tools analysieren Schwachstellen auf der Grundlage ihrer Entdeckbarkeit, Ausnutzbarkeit und anderer Bedrohungsdaten, um diejenigen zu identifizieren, die das größte Risiko für ein Unternehmen darstellen. Sie berücksichtigen auch die Ressourcen eines Unternehmens, die wahrscheinlichen Auswirkungen auf das Unternehmen und andere Risikofaktoren. Diese Analyse ermöglicht es den RBVM-Tools, aus der riesigen Anzahl bekannter Schwachstellen diejenigen herauszufiltern, deren Behebung für ein Unternehmen Priorität haben muss.
Darüber hinaus nutzen diese Tools KI und andere Automatisierungsfunktionen, um einen Großteil der Abhilfemaßnahmen zu erledigen, die IT- und Sicherheitsteams zuvor manuell durchführen mussten. Dadurch werden die Problembehebungen beschleunigt und die Teams können sich um höherwertige Aufgaben kümmern.
Die Vorteile des risikobasierten Schwachstellen-Managements
RBVM bietet einen erheblichen Nutzen, da es zahlreiche Vorteile bietet, die sich in der Summe zu einer besseren Sicherheitslage für das Unternehmen summieren. Zu den Vorteilen gehören die folgenden:
- Konzentration auf das, was am wichtigsten ist. RBVM ermöglicht es Unternehmen, sich mit den Schwachstellen zu befassen, die ihnen am meisten schaden könnten. So wird sichergestellt, dass diese zuerst behoben werden, anstatt in einem Rückstau von Schwachstellen stecken zu bleiben, die behoben werden müssen.
- Schnellere Reaktionszeit. Dank KI, ML und anderer Automatisierung kann RBVM die kritischsten Schwachstellen schneller identifizieren und beheben als herkömmliche Tools und manuelle Prozesse.
- Effizientere IT- und Sicherheitsteams. Die in RBVM-Tools eingebettete Intelligenz und Automatisierung übernehmen Aufgaben, die früher von IT- und Sicherheitsteams erledigt wurden, so dass diese Teams mehr Zeit für höherwertige Aufgaben haben, die sich nicht einfach automatisieren lassen.
- Erhöhte Transparenz. RBVM-Tools scannen die IT-Umgebung eines Unternehmens kontinuierlich, um die Anlagen zu identifizieren und zu verstehen und Schwachstellen zu erkennen. Ihre aktiven Scanfunktionen gehen weit über die von herkömmlichen Schwachstellen-Management-Tools hinaus und geben Unternehmen Einblick in nahezu jeden Teil ihrer Technologielandschaft, einschließlich Cloud-Umgebungen.
- Mehr Agilität. Die in RBVM-Tools integrierte Intelligenz ermöglicht es der Technologie, ständig neue Daten, wie beispielsweise Berichte über Bedrohungsdaten, aufzunehmen, zu analysieren und entsprechend anzupassen. Dies hilft Unternehmen, mit der sich ständig verändernden Cybersicherheitslandschaft und den sich ständig weiterentwickelnden Fähigkeiten der Bedrohungsakteure Schritt zu halten.