Romolo Tavani - stock.adobe.com
Warum risikobasiertes Schwachstellen-Management wichtig ist
Da Unternehmen zunehmend Cloud-Dienste nutzen, kann ein risikobasierter Ansatz für das Schwachstellenmanagement den besten Schutz vor Security-Bedrohungen bieten.
An Schwachstellen im Bereich Cybersicherheit herrscht in Unternehmen üblicherweise kein Mangel. Der Einsatz entsprechender Tools zum Schwachstellenmanagement führt nahezu unweigerlich zu einer Flut an erkannten Schwachstellen. Damit haben Security-Teams alle Hände voll zu tun, diese Risiken richtig einzuordnen.
Diese Bemühungen führen zu einer langwierigen Suche im Unternehmen nach den Systemen und Teams, die für die Behebung der verschiedenen Probleme verantwortlich sind. Die zusätzliche Komplexität von Cloud-Diensten, IoT und Edge Computing stellt das Schwachstellenmanagement heute vor immer größere Herausforderungen.
Security-Teams, die in hybriden Umgebungen arbeiten, müssen ihren Prozess für das Schwachstellenmanagement so anpassen, dass eine Mischung aus lokalen und Cloud-Diensten möglich ist. Dazu muss ein umfassendes Bild der Schwachstellenlandschaft erstellt und ein risikobasierter Ansatz für das Schwachstellenmanagement gewählt werden.
Was ist risikobasiertes Schwachstellenmanagement?
Die Erfassung der vorhandenen Schwachstellen eines Unternehmens zum Schutz von Systemen und Daten vor Bedrohungen ist nur mit modernen Softwarelösungen fürs Schwachstellenmanagement möglich. Diese Plattformen haben sich in den letzten Jahren erheblich weiterentwickelt. Ausgehend von einfachen Netzwerk-Schwachstellenscannern bis zu umfassenden Suiten, die Schwachstelleninformationen von Systemen und Daten integrieren, unabhängig davon, wo sie sich befinden.
Die Zahl der Schwachstellen und potenziellen Schwachstellen, mit denen Unternehmen konfrontiert sind, hat dazu geführt, dass das risikobasierte Schwachstellenmanagement (RBVM, Risk-based Vulnerability Management) dem herkömmlichen Schwachstellenmanagement den Rang abgelaufen hat. RBVM ist eine Methode, die es Sicherheitsteams ermöglicht, die kritischsten Schwachstellen zu identifizieren, zu kategorisieren, zu priorisieren und zu beheben, bevor Angreifer sie ausnutzen können.
Das herkömmliche Schwachstellenmanagement ist nicht in der Lage, alle Schwachstellen innerhalb eines Unternehmens zu erkennen, insbesondere da Cloud-, IoT- und andere verteilte IT-Umgebungen immer mehr zunehmen. Risikobasiertes Schwachstellenmanagement bietet ein genaueres Bild der Risikobewertung und mehr Transparenz über alle Systeme und Infrastrukturen.
Risikobasiertes Schwachstellenmanagement bezieht die folgenden Werkzeuge und Funktionen ein:
- Threat Intelligence (Informationen über Bedrohungen)
- Spezialisierte Risikokennzahlen zur Hervorhebung kritischer Ressourcen unter Verwendung von CVSS.
- Schutzmaßnahmen in Echtzeit.
- Automatisierung.
Bestandteile eines modernen Schwachstellenmanagements
Netzwerkscans sind in der Regel Kernstück der Programme fürs Schwachstellenmanagement. Diese Scans suchen nach mit dem Netzwerk verbundenen Systeme, klopfen diese auf bekannte Schwachstellen ab und melden die gefundenen Probleme und ordnen diese nach Priorität. Jedes Unternehmen sollte netzwerkbasierte Scans in seinen eigenen Rechenzentren und in seinen IaaS-Umgebungen einsetzen (Infrastructure as a Service). Netzwerkscans sind am effektivsten, wenn sie aus mehreren Perspektiven durchgeführt werden – vor und hinter Netzwerk-Firewalls – und wenn sie die Ergebnisse an eine zentrale Korrelationsplattform weitergeben.
Scans für Webanwendungen ergänzen die Netzwerkscans und geben einen tiefen Einblick in Probleme, die spezifisch für diese Applikationen sind. Dazu gehören zum Beispiel SQL Injection, Cross Site Scripting (XSS) und Cross Site Request. Der Umgang mit den Ergebnissen dieser Scans ist in einer Cloud-Umgebung oft schwierig, je nachdem, wer die Webanwendung entwickelt und gewartet hat:
- Schwachstellen in Anwendungen, die intern entwickelt wurden, können direkt von diesen Teams behoben werden.
- Schwachstellen in Anwendungen von Softwareanbietern, die vom Unternehmen in lokalen Rechenzentren oder IaaS gehostet werden, erfordern eine Abstimmung mit dem Softwarehersteller.
- Schwachstellen in SaaS-Produkten können in der Regel nicht von internen Teams behoben werden, sondern nur vom Anbieter selbst.
Die zunehmende Abhängigkeit der Unternehmen von SaaS-Produkten erhöht nicht nur das Risiko herkömmlicher Schwachstellen, sondern auch die Möglichkeit von Fehlkonfigurationen, die durch die Anwendungsadministration des eigenen Unternehmens erfolgen. Aus diesem Grund bieten die großen Plattformen fürs Schwachstellenmanagement Module an, die in Cloud-Dienste hineinreichen, um Richtlinieneinstellungen zu analysieren und auch vom Kunden selbst verursachte Schwachstellen zu identifizieren.
Idealerweise sollten Unternehmen eine einzige Plattform fürs Schwachstellenmanagement einsetzen. So können Sie die Schwachstellen im Netzwerk, in Webanwendungen und in der Cloud-Konfiguration in einer einzigen Konsole verwalten. Dieser Ansatz vereinfacht die Schwachstellenanalyse und schafft eine Umgebung, die ein risikobasiertes Schwachstellenmanagement begünstigt.
Experten für Risikomanagement kennen die unterschiedlichen Möglichkeiten, wie man auf jedes Risiko reagieren kann, mit dem man konfrontiert wird: Risikovermeidung, Risikotransfer, Risikominderung und Risikoakzeptanz. Diese Strategien lassen sich auch aufs risikobasierte Schwachstellenmanagement übertragen:
- Risikovermeidung: Unternehmen können Risiken vermeiden, indem sie ihre Geschäftsaktivitäten so ändern, dass das Risiko nicht mehr relevant ist. Das kann bedeuten, dass sie ein System abschalten, zu einer anderen Softwareplattform wechseln, oder andere Maßnahmen ergreifen, die eine Schwachstelle für den Geschäftsbetrieb irrelevant machen.
- Übertragung von Risiken: Unternehmen können Risiken übertragen, in dem sie die Last der Risikobewältigung auf ein anderes Unternehmen verlagern. Häufig lässt sich ein Risiko allerdings nicht vollständig übertragen. Wenn ein Unternehmen ein SaaS-Produkt einsetzt, kann ein Versäumnis des Anbieters, Schwachstellen zu beheben, immer noch die sensiblen Daten des Anwenderunternehmens gefährden.
- Risikominderung: Die gängigste Art und Weise, wie beim Schwachstellenmanagement Risiken angegangen werden, ist deren Abschwächung. Bei der Risikominderung werden Maßnahmen ergriffen, um die Wahrscheinlichkeit und die Eintrittswahrscheinlichkeit eines Risikos zu verringern. Das kann durch die Anwendung eines Patches, die Änderung von Firewall-Regeln oder die Einführung anderer Sicherheitskontrollen geschehen. Bei einem risikobasierten Schwachstellenmanagement ordnen Unternehmen die entdeckten Schwachstellen häufig in einer Rangfolge an und beseitigen die Risiken mit dem höchsten Rang zuerst. Mit diesem Ansatz wird der beste Nutzen aus den zeitaufwendigen Bemühungen zur Risikominderung gezogen.
- Risikoakzeptanz: Risiken werden als vertretbar betrachtet, wenn die Verantwortlichen für Cybersicherheit zu dem Schluss kommen, dass die Kosten für die Anwendung anderer Risikomanagement-Strategien den Nutzen überwiegen. In diesem Fall können IT-Teams in voller Kenntnis des Risikos mit dem Betrieb fortfahren. Verantwortliche verwenden diesen Ansatz in der Regel für Schwachstellen mit geringer Wahrscheinlichkeit und geringen Auswirkungen, die einfach keine Abhilfemaßnahmen erforderlich machen.
Security-Teams fühlen sich häufig von der Anzahl an Berichten, die Schwachstellenscans zurückliefern, überfordert. Die Entwicklung eines vollständigen Lagebildes der Schwachstellensituation und ein risikobasierter Ansatz unterstützen dabei, die Herausforderung zu bewältigen. So lassen sich die begrenzten Ressourcen für das Schwachstellenmanagement effizient und effektiv einsetzen.