broken glass

Mehrwert schaffen durch Vulnerability Management: Schwachstellen managen, messen und auswerten

Mehrwert schaffen durch Vulnerability Management: Schwachstellen managen, messen und auswerten
Sporadische Audits reichen für die IT-Sicherheit nicht aus. Die IT-Systemlandschaft muss kontinuierlich auf Schwachstellen geprüft werden. Dabei hilft ein Vulnerability Management, das die IT sichtbar macht, Sicherheitslücken aufdeckt und bei deren Behebung unterstützt.

Einen echten Mehrwert erzielt der CISO aber erst dann aus dem Vulnerability Management, wenn er damit gewisse Werte messen kann und es gegenüber dem Management zum Rapportieren einsetzen kann.

Mit Vulnerability Management können Sie Schwachstellen im Auge behalten. Es erstellt eine Inventarliste aller Schwachstellen, die anschliessend abgearbeitet werden können. Schwachstellen können durch fehlende oder durch neue Hard- oder Software-Updates entstehen. Darum spielt der Aktualisierungsprozess eine grosse Rolle.

KPSIs - Key Performance Security Indicators

Die Auswahl der richtigen Messgrössen (KPSIs) hilft, die Aktualisierungsprozesse im Unternehmen zu bewerten und Risiken für die IT-Infrastruktur zu erkennen. Können Sie die folgenden Fragen beantworten und gehören die Aufgaben zu Ihrem regelmässigen Reporting?

  • Wie viel Zeit benötigen Ihre IT-Spezialisten, um die Schwachstellen zu beheben?
  • Gibt es bzgl. der Behebungsdauer Unterschiede zwischen den Abteilungen?
  • Für welche Schwachstellen sind bereits Updates verfügbar?
  • Welche Schwachstellen können ohne grossen Aufwand durch Angreifer ausgenutzt werden? Für welche ist ein Exploit in einem bekannten Framework bereits verfügbar?
  • Ordnen Sie die Schwachstellen in allen Systemen nach Dringlichkeit zur Behebung?
  • Priorisieren Sie jene Updates bzw. Konfigurationsanpassungen, die das Risiko am stärksten reduzieren?
  • Bewerten Sie Schwachstellen mittels Predictive Rating?

Wenn Sie ein Vulnerability Management evaluieren, achten Sie darauf, dass es diese Fragen beantworten kann.

Denken Sie daran: Ausnutzbare Schwachstellen bedeuten einen möglichen Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit, wobei mit Kosten als Folgeerscheinung zu rechnen ist.
 

Deckt Ihr Updateprozess die gesamte Systemlandschaft ab?

Der CISO muss die Aktualisierungen im Griff haben. Von der Geschäftsleitung wird der Aufwand für den CISO oft unterschätzt. Hier ein paar Gründe, warum der Prozess nicht immer so trivial ist und an was man alles denken muss.

  • Server werden zentral pro Betriebssystemtyp durch entsprechende Teams gewartet und aktualisiert, eigenständige Systeme werden oft vernachlässigt.
  • Appliances und durch Partner betriebene Systeme sind oft eine Blackbox, nicht kontrollierbar und die Verantwortungsfrage ist nicht genügend geklärt.
  • Arbeitsstationen werden meist zentral verwaltet und aktualisiert, nicht gemanagte Systeme gehen oft vergessen.
  • Mobile Geräte sind nicht permanent mit dem Firmennetz verbunden und erschweren den kontinuierlichen Aktualisierungsprozess.
  • Netzwerkgeräte, wie Router, Switch und Firewalls,  sind im Perimeter und Access Bereich stark exponiert und gehen im Updateprozess oft vergessen.

Doppelter Boden durch Vulnerability Management

Sollte bei den oben genannten Punkten doch mal etwas vergessen gehen, so haben Sie mit einem Vulnerabiliy Managementdie Sicherheit, dass nochmals alle IT-Komponenten geprüft werden. Die so sichtbar gemachten Schwachstellen werden priorisiert und das Vulnerability Management bietet den IT-Spezialisten zusätlich eine Anleitung zur Behebung.

Das 1x1 des Schwachstellen-Managements (Vulnerability Management)

Wenn Sie sich bisher noch nicht mit Vulnerability Management auseinander gesetzt haben, finden Sie hier ein paar allgemeine Informationen zum Thema.

Was sind Schwachstellen?

  • Fehler in der Soft- oder Hardware sowie unsichere Konfiguration.
  • Sie erlauben es einem Angreifer Daten zu stehlen, Systeme lahm zu legen oder gar in diese einzudringen und die Kontrolle zu übernehmen.

Wer ist von Schwachstellen betroffen?

  • Jedes zur elektronischen Datenverarbeitung verwendete Gerät kann betroffen sein, vom Mobiltelefon bis zum Enterprise Server.
  • Sie betreiben selbst keine IT-Komponenten? Auch Infrastruktur, die durch einen IT-Service-Provider gestellt wird, kann anfällig sein.

Wie behebt man die Schwachstellen?

  • Ein Vulnerability Management liefert Anweisungen zur Behebung von Schwachstellen. Es empfiehlt z. B. die Installation von Updates oder die Anpassung der Konfiguration.

Benötige ich ein Vulnerability Management auch wenn Updates regelmässig installiert werden?

  • Ja, denn für viele Schwachstellen sind keine Updates verfügbar.
  • Veraltete oder im Updateprozess vergessene Systeme werden durch ein Vulnerability Management sichtbar gemacht.
  • Schwachstellen stellen für die Organisation ein fortwährend wachsendes Risiko dar.

Welche Schwachstellen sind kritisch und welche sollte man zuerst beheben?

  • Das Vulnerability Management ermittelt jene Schwachstellen, welche das grösste Risiko für Ihr Unternehmen darstellen.
  • Das Risiko wird abhängig von der Schwachstelle selbst, deren Alter, der Komplexität zur Ausnutzung, der Verfügbarkeit von Updates und der Häufigkeit des Auftretens auf Ihren Systemen berechnet.
  • Wie geschäftskritisch ein System oder eine Applikation eingestuft wird, ist von zentraler Bedeutung für die Priorisierung im Aktualisierungsprozess.

Wie stelle ich sicher, dass Updates eingespielt wurden?

  • Mit dem Vulnerability Management kann überprüft werden, ob eine Schwachstelle behoben wurde.
  • Regelmässige Reports visualisieren die Anzahl der Schwachstellen und wie schnell sie behoben werden müssen, sowie den Fortschritt und die Effizienz in der Schwachstellenbehebung.

Was geschieht mit Schwachstellen, die nicht behoben werden können?

  • Dann empfiehlt sich eine verstärkte Überwachung der Komponenten, z. B. durch einen SIEM- oder SOC-Service.
  • Kompensationskontrollen z. B. Härtung der Systemumgebung durch WAF, 2FA und Segmentierung.
  • Ersatz der betroffenen Komponenten.
     

Vulnerability Management von Tenable als Werkzeug für das Security Operations Center

Das Vulnerability Management Tenable ist ein wichtiges Werkzeug für das SOC.Die Analysten im SOC profitieren von der durch Tenableerstellten Inventarliste aller Assets und Schwachstellen. Dies erleichtert folgende Aufgaben:

  • Abgleich von Schwachstellen mit Verdachts- und Sicherheitsvorfällen.
  • Proaktive Überwachung oder Isolierung von gefährdeten Systemen.
  • Abfrage von bestimmten Schwachstellen nach Bedarf.
  • Priorisierung von Meldungen.

Vulnerability Management as a Service (SaaS)

terreActive bietet das Vulnerability Management von Tenable auch als VulMgmt-as-a-Service im Rahmen der SOC-Dienstleistungen an.Dabei übernimmt terreActive alle Aufgaben vom Schwachstellen-Scan bis zur Empfehlung von Massnahmen zur Reduzierung der Risiken und informiert den Kunden mittels Reporting.

Die Lösung von Tenable ist mandantenfähig und für verteilte Installationen geeignet, heisst, das Vulnerability Management wird pro Standort oder Zone eingerichtet, kann aber zentral gemanaged werden. Zudem stehen verschiedene Scanvarianten zur Verfügung (Netzwerk, automatisiert, Agent). terreActive ist offizieller Silver Partner von tenable in der Schweiz.