Gina Sanders - stock.adobe.com
Beim Schwachstellen-Management zählt Geschwindigkeit
Im Idealfall sollte Schwachstellen-Management den gesamten Zyklus von der Erkennung über die Priorisierung bis hin zu Patches und Beseitigung von Mängeln abdecken.
Das herkömmliche Schwachstellen-Management folgt einem eher gemächlichen Zeitplan, bei dem der Hersteller zum Beispiel einmal im Monat die gesammelten Patches bereitstellt. Nach der Installation dieser Patches war das Unternehmen dann einigermaßen auf der sicheren Seite.
Aber das funktioniert heute so nicht mehr. Dafür gibt es zwei Gründe: Zum einen ist die Zahl der Geräte enorm angestiegen. In vielen Fällen sind einem Mitarbeiter mehrere Endgeräte zugeordnet. Aus Sicherheitssicht ist dies eine wachsende Herausforderung, da jedes dieser Elemente gleichzeitig die exponierte Angriffsfläche vergrößert und eine umfassende Sichtbarkeit erschwert. Zum anderen werden Schwachstellen heutzutage so schnell ausgenutzt, dass die herkömmlichen Patch-Zyklen bei weitem nicht mehr ausreichen. Dazu kommt: Cloud-Dienste oder Container sind meist nicht im Dauereinsatz, so dass sie von zeitgesteuerten Scans und Patches mitunter gar nicht erfasst werden.
Nach wie vor sind Schwachstellen, die von den Herstellern offengelegt und für die Patches veröffentlicht wurden, die Hauptursache für Sicherheitsvorfälle. Zu viele Unternehmen brauchen viel zu lange, um diese Patches zu installieren – oder sie tun es nie. Ein Beispiel: Für die Sicherheitslücke, welche die Ransomware WannaCry im Jahr 2017 ausnutzte, um mehrere Hunderttausend Systeme zu infizieren, hatte Microsoft zwei Monate zuvor einen Patch herausgegeben.
Beim Schwachstellen-Management Daten richtig erfassen
Unternehmen sollten auf Schwachstellen-Management in Echtzeit setzen, um der Bedrohungen Herr zu werden, sobald sie auftauchen. Das gilt für sämtliche IT-Assets, Cloud-Umgebungen und Container ebenso wie für klassische Endpunkte, Webanwendungen, mobile Geräte und APIs (Application Program Interface).
Der erste Schritt ist die automatisierte Identifikation und Kategorisierung von Assets. Man kann schließlich nicht schützen, was man nicht kennt. Um bekannte und unbekannte Anomalien aufzuspüren, müssen die entsprechenden Daten nicht nur vorliegen, sondern auch von möglichst hoher Qualität sein.
Mit den gesammelten Informationen lassen sich Assets und deren Eigenschaften sofort abfragen, um eine detaillierte Übersicht über die Hardware und Systemkonfiguration, Software und Services und über das Netzwerk zu erhalten. Darüber hinaus sollten Prozesse entwickelt werden, um Probleme möglichst schnell zu beheben, potenzielle Schäden zu minimieren und negative Auswirkungen auf die Produktivität zu vermeiden.
Eine kombinierte Anwendung mit Vulnerability Management, Detection und Response verspricht einen kontinuierlichen Schutz mit integrierten Workflows und Echtzeit-Schwachstellenerkennung: Bedrohungen aufspüren, analysieren, priorisieren und neutralisieren. Die IT-Teams erhalten so eine vollständige Sicht auf ihre Ressourcen, können deren Schwachstellen in Echtzeit ermitteln und die Gegenmaßnahmen nach Anforderungsgrad ordnen.
Prioritäten bei Schwachstellen setzen
Rund ein Drittel der erkannten Schwachstellen werden hinsichtlich des Gefährdungspotenzials als kritisch eingestuft. Das summiert sich auf Tausende jedes Jahr. Da die Sicherheitsteams nicht alle Probleme auf einmal lösen können, müssen sie herausfinden, welche Schwachstellen das größte Risiko für ihr Unternehmen darstellen. Dies muss schnell und präzise geschehen, da Cyberkriminelle fortwährend versuchen, die bekannten Fehler auszunutzen.
Auch wenn es möglich wäre, alles auf einen Schlag zu patchen, wäre es kaum sinnvoll. Vielmehr ist es zweckmäßig, Prioritäten zu setzen.
Entscheidend dabei ist nicht die Schwachstelle an sich oder deren Verbreitung, sondern die Wahrscheinlichkeit, dass die Sicherheitslücke ausgenutzt wird. Eine weit verbreitete Schwachstelle, die aber nur theoretisch angreifbar und für die kein Exploit zu erwarten ist, rückt daher in der Prioritätenliste eher nach hinten.
Sicherheitslücken hingegen, die wahrscheinlich schnell von den Bad Guys ausgenutzt werden, gilt es vorrangig zu patchen. Es spielt dabei eine Rolle, um welche Geräte es sich handelt. Ein Server, auf dem Dutzende virtuelle Maschinen laufen, ist wichtiger als der Drucker in der Abstellkammer.
„Angreifer suchen automatisiert ständig nach Angriffsvektoren, die sich ausnutzen lassen. Je länger fehlerhafte Konfigurationen oder Schwachstellen unbehandelt bleiben, desto größer ist das Risiko eines schwerwiegenden Sicherheitsvorfalls.“
Jörg Vollmer, Qualys
Eine automatische Priorisierung setzt Echtzeit-Threat-Intelligence und maschinelles Lernen ein, um den gefährlichsten Schwachstellen bei den kritischsten Assets automatisch eine hohe Priorität zuzuweisen. Dabei werden Merkmale herangezogen wie lässt sich leicht ausnutzen oder Angriffe nur theoretisch möglich. So lassen sich die Schwachstellen identifizieren, die aktuell das größte Risiko darstellen. Maschinelles Lernen hilft dabei, diejenigen Sicherheitslücken zu erkennen, die sich am wahrscheinlichsten zu einer ernsthaften Bedrohung entwickeln. Aus mehreren Priorisierungsebenen ergibt sich dann eine abschließende Rangfolge und Bewertung.
Nach der Priorisierung der Schwachstellen steht die schnelle, gezielte Behebung an. Konkret geht so darum, Sicherheitslücken und fehlerhafte Konfigurationen in der gesamten IT-Umgebung in Echtzeit zu erkennen und die Probleme auf kompromittierten Assets zu beseitigen. Lokale Geräte sind dabei ebenso abgedeckt wie Cloud-Dienste oder Container.
Schnelligkeit entscheidet beim Schwachstellen-Management
Die klassische Aufgabe der Security-Teams besteht darin, alle Angreifer daran zu hindern, in das Netzwerk des Unternehmens einzudringen. Da die Anzahl der Schwachstellen nicht zuletzt wegen der steigenden Anzahl von Geräten dramatisch anwächst, ist das praktisch nicht mehr zu schaffen.
Deshalb rückt die TTR in den Fokus, die Time-to-Remediation. Sie ist die wichtigste Metrik zur Messung des Risikos. Angreifer suchen automatisiert ständig nach Angriffsvektoren, die sich ausnutzen lassen. Je länger fehlerhafte Konfigurationen oder Schwachstellen unbehandelt bleiben, desto größer ist das Risiko eines schwerwiegenden Sicherheitsvorfalls.
Die TTR einer manuellen Behebung beträgt oft mehrere Tage oder gar Wochen, was angesichts der Bedrohungslage unannehmbar hoch ist. Hier ist die Automatisierung der Schlüssel zum Erfolg, ein Werkzeug, das ständig potentielle Bedrohungen identifiziert und Lösungen anwendet, ohne dass die Erlaubnis oder das Eingreifen eines Menschen erforderlich ist.
Mit einer Lösung, die den gesamten Schwachstellenzyklus abdeckt, lässt sich sie die TTR tatsächlich auf nahezu null verkürzen. Patchen ist wie Händewaschen: Man sollte es regelmäßig und zeitnah machen, um nicht infiziert zu werden.
Über den Autor:
Jörg Vollmer ist General Manager Field Operations DACH bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.