Romolo Tavani - stock.adobe.com
Schwachstellenanalyse und -management im Überblick
Schwachstellenanalyse und Schwachstellenmanagement sind unterschiedliche, aber verwandte Begriffe in der Security. Grund genug, Gemeinsamkeiten und Unterschiede zu betrachten.
Im Bereich der Cybersicherheit herrscht kein Mangel an Fachausdrücken. Leider werden viele Begriffe gleichbedeutend, aber falsch verwendet. Schauen wir uns zwei ähnlich klingende Begriffe und ihre wahre Bedeutung an: Schwachstellenanalyse und Schwachstellenmanagement.
Was versteht man unter Schwachstellenanalyse?
Eine Schwachstellenbewertung oder Schwachstellenanalyse ist ein Scan der IT- und Netzinfrastruktur, bei dem nach Sicherheitslücken und Schwachstellen gesucht wird. Bewertungen können manuell durch das IT-Sicherheitsteam oder als automatisierter Prozess durchgeführt werden. Letzteres wird oft bevorzugt, damit sich die Mitarbeiter auf dringendere Probleme konzentrieren können.
Bei einer Schwachstellenanalyse werden in der Regel Server, Workstations und drahtlose Geräte gescannt. Auch Software kann analysiert werden; am häufigsten werden Webanwendungen untersucht.
Um einen Scan durchzuführen, stellen die Teams dem Scanner eine Liste von IP-Adressen und Domänennamen zur Verfügung. Der Test kann nur wenige Minuten dauern oder sich über mehrere Stunden erstrecken.
Nach Abschluss des Scans erhält das Team einen Bericht, der einen umfassenden Überblick über die entdeckten Schwachstellen und Sicherheitslücken bietet. Anhand eines Bewertungssystems wird der Grad der gefundenen Schwachstellen kategorisiert. So können einige Schwachstellen vernachlässigbar sein und keine Abhilfemaßnahmen erfordern, während andere schwerwiegend sein können und sofortige Aufmerksamkeit erfordern.
Bedenken Sie, dass ein Schwachstellenscan meist passiv ist. Er findet bestehende Lücken und Schwachstellen, ob bekannt oder nicht. Ein Scan taucht nicht tiefer in die IT- und Netzinfrastruktur ein. Tiefer gehende Untersuchungen werden durch Penetrationstests durchgeführt.
Schwachstellenanalysen können je nach Ausprägung aufgrund ihrer geringen Kosten sehr attraktiv sein. Dass Scannen auf Schwachstellen hat auch Nachteile. Die Empfehlungen zur Behebung der Schwachstellen sind häufig allgemeiner Natur und nicht unbedingt auf jedes Unternehmen zugeschnitten. Der Test nutzt die entdeckten Schwachstellen nicht weiter aus, um herauszufinden, wie sie überhaupt in das System gelangt sind. Ein Penetrationstest ist der beste Ansatz, um diese Frage zu beantworten.
Wofür steht Schwachstellenmanagement?
Während ein Schwachstellenscan meist eine einmalige Überprüfung darstellt, ist das Schwachstellenmanagement ein fortlaufender, dynamischer Prozess. Es hilft den Sicherheitsteams bei der Verwaltung und Behebung von Schwachstellen, die bei einer Überprüfung entdeckt wurden. Die Verwaltung und Behebung einer bestimmten Schwachstelle kann je nach Schweregrad Wochen oder Monate dauern.
Schwachstellenanalysen sollten mindestens einmal im Quartal durchgeführt werden. Das nachfolgende Schwachstellenmanagementprogramm wird daher mindestens so lange dauern. Dieser Zeitrahmen gibt den Sicherheitsteams die Möglichkeit, Schwachstellen oder Sicherheitslücken zu beheben.
Eine typische Methodik für das Schwachstellenmanagement umfasst die folgenden Schritte:
Bewerten. In diesem Zeitraum wird der Schwachstellenscan durchgeführt und der Bericht erhalten.
Setzen Sie Prioritäten bei den Ergebnissen. In einem Bericht wird der Schweregrad der bei der Überprüfung entdeckten Schwachstellen in der Regel als niedrig, mittel oder hoch eingestuft. Unternehmen sollten diese Schwachstellen auf der Grundlage des etablierten CVSS (Common Vulnerability Scoring System) weiter klassifizieren.
Maßnahmen ergreifen. Beheben Sie anhand der eingestuften Schwachstellen sofort alle Schwachstellen, die als hoch oder kritisch eingestuft sind. Beheben Sie anschließend alle Schwachstellen mit einer mittleren Bewertung.
Beurteilen Sie die Situation neu. Führen Sie nach Abschluss der Abhilfemaßnahmen einen weiteren Schwachstellenscan durch. Die meisten Anbieter bieten mehrere Scans gegen eine jährliche Pauschalgebühr an, so dass die Durchführung von zwei Scans pro Quartal möglicherweise nichts kostet.
Wenn bei der zweiten Überprüfung dieselben oder neue Schwachstellen entdeckt werden, muss der Prozess des Schwachstellenmanagements wiederholt werden. Ziel ist es, keine Schwachstellen zu finden, aber das ist nicht realistisch. Achten Sie darauf, dass Lücken und Schwachstellen nicht wieder auftauchen; deshalb ist es wichtig, den Verwaltungsprozess zu durchlaufen.