Vernetzen Sie sich mit uns

Internet-Sicherheit

Grundlagen des Schwachstellenmanagements

mm
Veröffentlicht

Schwachstellenmanagement ist eine Kombination von Prozessen und Produkten, die darauf abzielen, eine Bestandsaufnahme der digitalen Infrastruktur eines Unternehmens zu führen, sie auf Schwachstellen zu untersuchen und die identifizierten Schwachstellen zu beheben. Es ist eine zyklische Praxis und der Antipode des bekannten IT-Sprichworts, das sagt: „Wenn es nicht kaputt ist, repariere es nicht.“ Dieses Prinzip funktioniert heutzutage in der Unternehmenssicherheit einfach nicht. Wenn digitale Assets nicht kontinuierlich überwacht und verstärkt werden, werden sie zu niedrig hängenden Früchten.

Ein Scanner ist nicht genug

Im Gegensatz zu Schwachstellenscanner, besteht das Hauptziel des Schwachstellenmanagements darin, die Sicherheit der Infrastruktur zu erhöhen und eine Notfallreaktion auf einige extrem gefährliche Bedrohungen bereitzustellen. Ein Schlupfloch in einem System zu finden ist die halbe Miete, aber es muss behoben werden, damit Bedrohungsakteure es nicht als Zugangspunkt ausnutzen können. Ebenso wichtig sind die Methoden der Schwachstellenbewertung und Priorisierung der erkannten Probleme basierend auf der Infrastruktur des Kunden. Scanner tun das nicht.

Das Schwachstellenmanagement ist im Wesentlichen ein Add-On zum Scanprozess, das erkannte Schwachstellen bewertet, priorisiert und behebt. Die Bedürfnisse der Kunden ändern sich, während das Hauptziel früher darauf hinauslief, eine Schwachstelle zu entdecken, geht es jetzt mehr um die Lösung des Problems.

Die von Vulnerability-Management-Systemen verwendeten Lizenzierungsmodelle basieren in der Regel auf der Anzahl der geschützten IP-Adressen. Dabei spielt es keine Rolle, wo sie sich befinden oder wie viele Installationen der Kunde benötigt. Die Kosten für einen Schwachstellen-Scanner hängen dagegen von der Anzahl der Installationen und den Scan-Parametern wie der Anzahl der Hosts ab.

Darüber hinaus gibt es verschiedene Arten von Installationen, wobei einige Anbieter eine unbegrenzte Nutzung ihrer Systeme anbieten. Der Preis kann auch durch die Ausstattung beeinflusst werden, von denen einige als kostenpflichtige Extras erhältlich sind.

Kriterien fĂĽr die Auswahl eines Schwachstellen-Management-Systems

Zu den wichtigsten Merkmalen zählen die Größe des Unternehmens, die Anzahl seiner Niederlassungen in verschiedenen Zeitzonen sowie die Produktlokalisierung, also die Fähigkeit, regionen- und branchenspezifische Schwachstellen zu erkennen.

Ein interessanter Faktor ist, wie gut die InfoSec- und IT-Abteilungen des Unternehmens die notwendigen Features der Lösung aushandeln können. InfoSec-Spezialisten priorisieren normalerweise die Erkennung von Schwachstellen, während sich IT-Teams hauptsächlich auf die Patch-Bereitstellung konzentrieren. Daher wird die Überlappung dieser beiden Bereiche die Parameter des Systems definieren.

Ein Blick auf die Vollständigkeit und Häufigkeit der Updates sowie auf die vom Scanner unterstützten Betriebssysteme lohnt sich ebenfalls. Das ideale Vulnerability-Management-System sollte auch in den Kontext der Branche passen, die das Unternehmen repräsentiert, und der Anwendungen, die es derzeit verwendet.

In der Phase der Vertragsunterzeichnung kann der Anbieter dem Kunden versichern, dass er bereit ist, später neue Produkte und Funktionen hinzuzufügen. Leider halten einige Anbieter solche Zusagen nicht immer durch. Daher ist es am besten, sich auf die leicht verfügbare Funktionalität der Lösung zu konzentrieren.

Ein nützliches Feature von jedem Schwachstellenmanagementsystem ist die Möglichkeit, Ihre eigene Schwachstellendatenbank mit Informationen aus Drittquellen anzureichern. Es ist auch großartig, wenn die Lösung ein Beispiel für einen Exploit liefern kann, der eine bestimmte Schwachstelle huckepack nimmt.

Die meisten Kunden stehen vor einem klassischen Dilemma: von Anfang an einen kostenlosen Scanner zu verwenden oder eine kommerzielle Lösung zu erwerben. Die Pflege einer aktuellen Schwachstellendatenbank ist ein langwieriger und teurer Prozess. Im Falle eines kostenlosen Produkts muss das Entwicklungsteam daher möglicherweise andere Bereiche seiner Tätigkeit priorisieren, um alternative Einnahmequellen zu erschließen, was erklärt, warum diese Scanner einige Einschränkungen haben.

Tools unter dem Dach des Schwachstellenmanagements

Zu den Lösungen, die zur Organisation des Schwachstellenmanagementprozesses in einem Unternehmen erforderlich sind, gehören:

  •       Verschiedene Instrumente zum Sammeln von Informationen ĂĽber Schwachstellen, wie z. B. Scanner, Tools zur Verarbeitung von Daten aus Drittquellen und von InfoSec-Spezialisten unabhängig gesammelte Informationsquellen
  •       Tools zur Priorisierung von Schwachstellen, die CVSS-Scores definieren und den Wert des möglicherweise von dem Fehler betroffenen Assets messen.
  •       Tools fĂĽr die Interaktion mit externen Datenbanken.
  •       Systeme, die eine Schwachstelle im Kontext der Organisation, ihrer Infrastruktur und der globalen Angriffsfläche behandeln.

Asset-Management und automatische Patches

Der Asset-Management-Prozess sollte einen maximalen Automatisierungsgrad aufweisen, die gesamte Infrastruktur der Organisation abdecken und regelmäßig stattfinden. Es ist unmöglich, Schwachstellen zu priorisieren, wenn diese Bedingungen nicht erfüllt sind. Außerdem gibt es keine Möglichkeit, die IT-Infrastruktur einer Organisation zu kontrollieren, ohne genau zu wissen, woraus sie besteht. Daher ist das Asset Management ein enorm wichtiger Bestandteil des Schwachstellenmanagements.

Die wichtigste Voraussetzung für die Automatisierung der Patch-Management Der Prozess besteht darin, jeder Schwachstellensignatur eine bestimmte Kennung zuzuweisen und sicherzustellen, dass das nächste Update sie behebt. Dies ist ein komplexer Workflow mit vielen Fallstricken. Die Folgen des Überspringens eines einzelnen Updates können katastrophal sein, daher muss die Patch-Bereitstellung so gut wie möglich koordiniert werden.

Es ist auch wichtig, automatische Patches an einen bestimmten Anwendungsbereich anzupassen. Für Workstations ist es akzeptabel, Aktualisierungen des Betriebssystems und grundlegender Software wie Browser und Office-Apps einzuschränken. Bei Servern ist es komplizierter, weil viel auf dem Spiel steht und ein fehlerhaftes Update die Verfügbarkeit geschäftskritischer IT-Ressourcen beeinträchtigen kann.

Wenn es um die Überwachung der Unternehmensinfrastruktur geht, ziehen die meisten Unternehmen das Scannen der Installation von Agenten auf Endpunkten vor, da dies häufig der Fall ist Einstiegspunkte für Malware. Wenn der Host jedoch nicht auf andere Weise erreichbar ist, müssen Sie Datenerfassungsanwendungen verwenden.

Wie bereits erwähnt, macht die nahtlose Interaktion zwischen InfoSec und IT-Abteilungen den Unterschied. Die beiden Teams müssen sich auf Richtlinien einigen, die festlegen, wer für die Installation von Updates für bestimmte Ressourcen verantwortlich ist und wie oft dies geschieht. Im Wesentlichen sollte der Schwachstellen-Management-Prozess darauf hinauslaufen, die Einhaltung solcher Vereinbarungen zu überwachen und dringende Patches zu installieren.

Wie sieht die Zukunft fĂĽr Vulnerability Management Systeme aus?

An dieser Stelle ist ein deutlicher Trend zu einer zunehmenden Automatisierung der Asset-Überwachung und der Patch-Bereitstellung zu erkennen. Da Unternehmensinfrastrukturen weiterhin in die Cloud, liegt es im Bereich des Möglichen, dass der Prozess des Schwachstellen-Scannens auf die Überprüfung der Cloud-Sicherheitseinstellungen reduziert wird. Ein weiterer evolutionärer Vektor läuft auf die Verbesserung von Schwachstellenbewertungssystemen hinaus. Die Tools zur Priorisierung von Schwachstellen werden mehr Daten enthalten, insbesondere zu den am meisten „ausnutzbaren“ Schwachstellen.

Es besteht auch eine gute Chance, dass diese Systeme in den nächsten Jahren auf eine All-in-One-Logik umgestellt werden, bei der eine einzige Lösung ein vollständiges Spektrum an InfoSec-Managementinstrumenten bietet. Das Aufkommen einer allumfassenden Plattform, die neben anderen Schutzfunktionen auch Funktionen für Schwachstellenmanagement, Asset-Management und Risikomanagement umfasst, ist sehr wahrscheinlich. Vielleicht wird es eine zentrale Konsole für das Schwachstellenmanagement für alle Elemente der digitalen Infrastruktur geben – von einem Server oder Drucker bis hin zu einem Container auf einem dedizierten Host.

Verwandte Themen:
mm

David Balaban ist ein Computersicherheitsforscher mit über 17 Jahren Erfahrung in der Malware-Analyse und der Bewertung von Antivirensoftware. David rennt MacSecurity.net und Datenschutz-PC.com Projekte, die Expertenmeinungen zu aktuellen Themen der Informationssicherheit präsentieren, darunter Social Engineering, Malware, Penetrationstests, Threat Intelligence, Online-Datenschutz und White-Hat-Hacking. David verfügt über umfassende Erfahrung in der Fehlerbehebung bei Malware, wobei sein Schwerpunkt in letzter Zeit auf der Bekämpfung von Ransomware liegt.