Schwachstellen-Management ermöglicht die kontinuierliche Identifizierung und Bewertung von Risiken in Ihrer gesamten Umgebung.
2023 Mid-Year Threat ReportSchwachstellenmanagement ist der Prozess, mit dessen Hilfe Sicherheitslücken in Systemen und in der auf diesen Systemen laufenden Software erkannt, bewertet, behandelt und gemeldet werden. Dies, zusammen mit der Implementierung anderer Sicherheitstaktiken, ist für Unternehmen entscheidend, um mögliche Bedrohungen zu priorisieren und ihre „Angriffsfläche” zu minimieren.
Sicherheitslückenwiederum beziehen sich auf technologische Schwächen, die es Angreifern ermöglichen, ein Produkt und die darin enthaltenen Informationen zu kompromittieren.Dieser Prozess muss kontinuierlich durchgeführt werden, um mit im Laufe der Zeit neu zu Netzwerken hinzugefügten Systemen, Änderungen an Systemen sowie der Entdeckung neuer Schwachstellen Schritt zu halten.
Ein Vulnerability Management System kann dabei helfen, diesen Prozess zu automatisieren. Dabei werden ein Schwachstellenscanner und manchmal auch Endpoint-Agents genutzt, um eine Vielzahl von Systemen in einem Netzwerk zu inventarisieren und Schwachstellen darin zu erkennen.
Sobald Schwachstellen erkannt werden, muss das Risiko, das sie darstellen, in verschiedenen Kontexten bewertet werden, um zu entscheiden, wie am besten mit ihnen umzugehen ist. So kann beispielsweise eine Schwachstellenvalidierung ein wirksamer Weg sein, die wirkliche Schwere einer Schwachstelle in ihrem Kontext zu ermitteln.
Im Allgemeinen ist ein Vulnerability Assessment ein Teil des vollständigen Vulnerability Management-Programms. Unternehmen werden wahrscheinlich mehrere Vulnerability Assessments durchführen, um mehr Informationen über ihren Vulnerability Management-Aktionsplan zu erhalten.
Das Herzstück einer typischen Lösung für das Vulnerability Management ist ein Schwachstellenscanner. Der Scan besteht aus vier Phasen:
Schwachstellenscanner können eine Vielzahl von Systemen in einem Netzwerk erkennen, wie Laptops und Desktops, virtuelle und physische Server, Datenbanken, Firewalls, Switches, Drucker usw. Identifizierte Systeme werden auf verschiedene Attribute untersucht: Betriebssystem, offene Ports, installierte Software, Benutzerkonten, Dateisystemstruktur, Systemkonfigurationen und vieles mehr.
Diese Informationen werden dann verwendet, um bekannte Schwachstellen mit den gescannten Systemen zu verknüpfen. Um diesen Zusammenhang herstellen zu können, nutzen Schwachstellenscanner eine Schwachstellen- und Exploitdatenbank, die eine Liste mit veröffentlichten Schwachstellen enthält.
Die ordnungsgemäße Konfiguration von Schwachstellenscans ist ein wichtiger Bestandteil einer Schwachstellenmanagement-Lösung. Schwachstellen-Scanner können manchmal die Netzwerke und Systeme stören, die sie scannen. Wenn während der Spitzenzeiten eines Unternehmens nicht genug Netzwerkbandbreite zur Verfügung steht, sollten Schwachstellenscans außerhalb der normalen Geschäftszeiten durchgeführt werden.
Sollten einige Systeme in einem Netzwerk instabil werden oder während des Scanvorgangs auf unvorhergesehene Weise reagieren, müssen sie möglicherweise von den Schwachstellenscans ausgeschlossen werden oder die Scans müssen nachjustiert werden, damit sie weniger Störungen verursachen. Adaptives Scannen ist ein neuer Ansatz zur weiteren Automatisierung und Vereinfachung von Schwachstellenscans bei Veränderungen im Netzwerk.
Wenn beispielsweise ein neues System erstmals mit einem Netzwerk verbunden wird, wird ein Schwachstellenscanner nur dieses eine System so schnell wie möglich scannen, anstatt auf den wöchentlichen oder monatlichen Scan des gesamten Netzwerks zu warten.
Schwachstellenscanner sind jedoch nicht mehr der einzige Weg, um Schwachstellendaten eines Systems zu sammeln. Endpoint-Agents ermöglichen Schwachstellenmanagement-Lösungen, um kontinuierlich Schwachstellendaten von Systemen zu sammeln, ohne dass Netzwerk-Scans durchgeführt werden müssen.
Dies hilft Unternehmen dabei, aktuelle Daten über Systemschwachstellen vorzuhalten, ist jedoch abhängig davon, ob beispielsweise die Laptops der Mitarbeiter mit dem Netzwerk des Unternehmens oder dem Heimnetzwerk der Mitarbeiter verbunden sind.
Unabhängig davon, wie eine Schwachstellenmanagement-Lösung diese Daten sammelt, können diese verwendet werden, um Berichte, Metriken und Dashboards für viele unterschiedliche Arten von Zielgruppen zu erstellen.
Nachdem Sicherheitslücken identifiziert wurden, müssen sie bewertet werden, damit die von ihnen ausgehenden Risiken angemessen und in Übereinstimmung mit dem Rahmen des Schwachstellen-Management-Programmseiner Organisation behandelt werden. Schwachstellen-Management-Plattformen bieten verschiedene Risikobewertungen und Scores für Schwachstellen, wie z. B. CVSS-Scores (Common Vulnerability Scoring System). Diese Ergebnisse geben Unternehmen Auskunft darüber, auf welche Schwachstellen sie sich zuerst konzentrieren sollten. Jedoch hängt das echte Risiko einer jeden Schwachstelle von einigen anderen Faktoren ab, die über diese standardisierten Risikobewertungen und Scores hinausgehen.
Wie jedes Sicherheitstool sind Schwachstellenscanner nicht perfekt. Ihre falsch positive Quote bei der Erkennung von Schwachstellen ist zwar niedrig, aber dennoch größer als null. Die Durchführung von Schwachstellen-Validierungen mittels Penetrationstest-Tools und -Verfahren trägt dazu bei, falsch positive Ergebnisse auszumerzen, damit Unternehmen ihre Aufmerksamkeit auf den Umgang mit echten Schwachstellen richten können.
Die Ergebnisse von Schwachstellen-Validierungen oder umfangreichen Penetrationstests sind häufig eine aufschlussreiche Erfahrung für Unternehmen, die überzeugt waren, dass sie ausreichende Sicherheitsvorkehrungen getroffen hatten oder dass die Schwachstelle gar nicht so riskant wäre.
Sobald eine Schwachstelle bestätigt und als Risiko eingestuft wurde, besteht der nächste Schritt darin, gemeinsam mit den beteiligten Akteuren im Unternehmen oder Netzwerk Priorisierungen vorzunehmen, wie die Schwachstelle behandelt werden soll. Es gibt verschiedene Möglichkeiten, Schwachstellen zu behandeln, darunter:
Schwachstellenmanagement-Lösungen liefern empfohlene Methoden für die Beseitigung von Schwachstellen. Gelegentlich ist eine empfohlene Methode nicht die optimale Lösung zur Beseitigung einer Schwachstelle. In diesen Fällen müssen ein Sicherheitsteam, die Systemverantwortlichen und Systemadministratoren des Unternehmens die richtige Vorgehensweise festlegen.Manchmal kann die Beseitigung ganz einfach durch Anwendung eines sofort verfügbaren Software-Patches erfolgen, ein anderes Mal ist der komplexe Austausch einer Reihe von physischen Servern im Netzwerk eines Unternehmens erforderlich.
Nach Abschluss der Beseitigungsmaßnahmen empfiehlt es sich an, einen weiteren Schwachstellenscan durchzuführen, um sicher zu gehen, dass die Schwachstelle vollständig beseitigt wurde.
Allerdings müssen nicht alle Schwachstellen behoben werden. Wenn beispielsweise der Schwachstellenscanner einer Organisation Schwachstellen in Adobe Flash Player auf ihren Computern identifiziert hat, Adobe Flash Player jedoch vollständig für die Verwendung in Webbrowsern und anderen Clientanwendungen deaktiviert wurde, könnten diese Schwachstellen durch eine kompensierende Kontrolle als ausreichend gemindert angesehen werden.
Die Durchführung regelmäßiger und kontinuierlicher Schwachstellenbewertungen erlaubt es Unternehmen, im Laufe der Zeit die Geschwindigkeit und die Effizienz ihres Vulnerability-Management-Programms zu verstehen. Schwachstellenmanagement-Tools besitzen normalerweise mehrere Optionen für den Export und die Visualisierung der in Schwachstellenscans gesammelten Daten mittels einer Vielzahl von anpassbaren Berichten und Dashboards.
Dies erleichtert IT-Teams nicht nur das Verständnis dessen, welche Beseitungsverfahren ihnen helfen, den größten Teil der Schwachstellen mit möglichst geringem Aufwand zu beheben oder unterstützt Sicherheitsteams dabei, Schwachstellentrends in verschiedenen Teilen ihres Netzwerks zu überwachen, sondern es hilft Unternehmen auch bei der Einhaltung von Compliance- und regulatorischen Anforderungen.
Bedrohungen und Angreifer ändern sich ständig, genauso wie Unternehmen ständig neue mobile Geräte, Cloud-Dienste, Netzwerke und Anwendungen in ihre Umgebung einfügen. Bei jeder Änderung besteht das Risiko, dass in Ihrem Netzwerk ein neues Loch geöffnet wird, das es Angreifern ermöglicht, sich Zutritt zu verschaffen und mit Ihren Schätzen zu verschwinden.
Jedes Mal, wenn Sie einen neuen Partner, Mitarbeiter, Klienten oder Kunden gewinnen, öffnen Sie Ihr Unternehmen für neue Möglichkeiten, aber Sie setzen es auch neuen Schwachstellen, Angriffen und Bedrohungen aus. Ihr Unternehmen gegen diese Bedrohungen zu schützen, erfordert eine Schwachstellenmanagement-Lösung, die mit diesen Änderungen Schritt halten und sich an alle diese Änderungen anpassen kann. Wenn dies nicht der Fall ist, sind Ihnen die Angreifer immer einen Schritt voraus.