8 Vulnerability-Management-Tipps: Wie Sie Schwachstellen effektiver managen

Foto: R R – shutterstock.com

Obwohl CISOs wissen, dass die Sicherheitsgrundlagen stimmen müssen, tun sich etliche Vertreter der Zunft noch schwer damit, ein solides Vulnerability-Management-Programm auf die Beine zu stellen. Hürden können dabei entstehen durch

• die Menge an Schwachstellen, die behoben werden müssen,

• das Tempo, das für die Behebung erforderlich ist oder

• die Ressourcen, die für eine effektive Behebung erforderlich sind.

Ein Beispiel ist die Log4j-Schwachstelle, die für Sicherheitsteams zahlreiche Herausforderungen mit sich brachte. Einer Umfrage der Non-Profit-Organisation ISC² zufolge benötigten 52 Prozent der befragten Sicherheitsexperten Wochen oder sogar mehr als einen Monat für die Behebung. Sicher, das Ausmaß von Log4j war beträchtlich. Dennoch zeigt dieser Wert, dass die Prozesse, die in Unternehmen zum Einsatz kommen, um Sicherheitsprobleme zu identifizieren, priorisieren und zu beheben, vielfach noch nicht ausgereift sind.

Vulnerability Management – Schwachstellen besser managen

Die folgenden Best Practices können Sie dabei unterstützen, ein effektives Programm für das Schwachstellen-Management aufzubauen.

1. Eigene Umgebung kennen

Sicherheitsexperten betonen stets, dass CISOs ihre zu schützende, technische Umgebung genau inventarisieren müssen, um ermitteln zu können, ob ihr Technologie-Stack bekannte oder ganz neue Schwachstellen aufweist.

Das ist allerdings leichter gesagt als getan: “Viele behaupten zwar, ihr Inventar im Blick zu haben, wissen aber nicht, was sich hinter den Kulissen abspielt. Das ist nach wie vor die größte Herausforderung”, meint Jorge Orchilles, zertifizierter Ausbilder beim SANS Institute, Mitbegründer des C2 Matrix-Projekts und CTO des Sicherheitsanbieters Scythe. “Wir werden auf Wegen kompromittiert, von denen wir vorher nicht wussten, dass sie existieren. Ich habe selbst erlebt, dass zwar ausgereifte Sicherheitsprozesse berücksichtigt wurden, aber kleinere Elemente und der Code selbst übersehen wurden.”

Orchilles rät Sicherheitsverantwortlichen dazu, eine detaillierte Übersicht ihrer technischen Umgebung zu erstellen, die sämtliche Komponenten (auch Programmierbibliotheken, was sich für Unternehmen, die die Log4j-Schwachstelle gepatcht haben, als unerlässlich erwiesen habe) umfasst. Darüber hinaus müssten CISOs sorgfältig darauf achten, diese Aufzeichnungen auch zu aktualisieren, wenn neue Systeme in Betrieb genommen werden.

2. Einen klaren Plan entwickeln

Schwachstellen zu scannen und zu beheben mag ausreichend erscheinen – Experten zufolge ist ein Ad-hoc-Ansatz dabei aber ineffizient und unzureichend. Beispielsweise könnten Sicherheitsteams wertvolle Zeit dafür aufwenden Schwachstellen zu beheben, die nur eine begrenzte Bedrohung für ihr Unternehmen darstellen, anstatt sich auf ein Problem mit höherem Risikopotenzial zu konzentrieren. Oder sie verzetteln sich in anderen Projekten und verschieben Vulnerability-Management-Tasks, bis ihr Zeitplan es wieder hergibt.

“Um solche Szenarien zu vermeiden, sollten CISOs einen programmatischen Ansatz für das Schwachstellen-Management verfolgen, der sowohl die Risikotoleranz ihres Unternehmens als auch die Prozesse zum Priorisieren und Beheben identifizierter Schwachstellen berücksichtigt”, empfiehlt Bryce Austin, CEO des Beratungsunternehmens TCE Strategy, Cybersecurity-Experte und Risikoberater. “Das Programm sollte auch festlegen, wie oft das Unternehmen Schwachstellen-Scans durchführt und Zeitpläne enthalten, die an die Veröffentlichungstermine von Patches durch die Hersteller gebunden sind.”

“Ein gutes Vulnerability-Management-Programm braucht definierte Prozesse und Richtlinien, ein festes Team und gute Führung”, fügt Farid Abdelkader, Managing Director of Technology Risk, beim Beratungsunternehmen Protiviti. “Ermitteln Sie ihre Performance mit Hilfe von Leistungsindikatoren, identifizieren sie verbesserungswürdige Bereiche und zeigen Sie die Fortschritte im Laufe der Zeit auf.”

Laut Austin verfügen Unternehmen mit ausgereiften Schwachstellen-Management-Programmen darüber hinaus über einen Reporting-Prozess zur Berichterstattung ihrer Aktivitäten an die Unternehmensleitung, um dieser die Bedeutung dieser Aufgabe und auch die Erfolge zu zeigen: “Das trägt dazu bei, dass Aufmerksamkeit gewährleistet ist und Vulnerability Management wie jedes andere Geschäftsrisiko im Unternehmen behandelt wird.”

3. Festlegen, was für Ihr Unternehmen “kritisch” bedeutet

Es werden ständig neue Schwachstellen entdeckt. Kombiniert man diese mit der Anzahl der bereits bekannten Schwachstellen, kommt man zum Ergebnis, dass es fast unmöglich ist, alle zu behebenden Probleme zu bewältigen. Eine Schwachstellen-Priorisierung ist nach Meinung von Abdelkader daher unerlässlich: “Ordnen Sie Vorfälle entsprechend ihrer Kritikalität ein. Stellen Sie sich die Frage, was passiert, wenn es zu einem Breach kommt und wie sich das auf Daten und Systeme auswirkt. Zudem sollten sie die Frage nach den Auswirkungen für Geschäft, Kunden und Reputation stellen. Es geht darum, das tatsächliche Risiko für die Assets und das Risiko für einen Vorfall zu verstehen.”

Diese Priorisierung kann sich an Klassifizierungen orientieren, die von Schwachstellen-Scans, Anbietern und anderen Sicherheitsinstitutionen angeboten werden. Allerdings sollte der Prozess die Risikotoleranz des jeweiligen Unternehmens, seine technische Umgebung, Branche und mehr berücksichtigen, wie Austin weiß: “Die Definition von kritisch muss im Kontext Ihres Unternehmens, Ihrer kritischen Assets und Ressourcen, Ihrer Daten und der Gefährdung durch eine kritische Bedrohung gesehen werden.”

Schließlich, so der Experte, stelle eine Schwachstelle in einem isolierten, nur intern genutzten System ein anderes Risiko dar als eine Lücke in einem mit dem Internet verbundenen System. Dennoch finde diese Anpassung und Priorisierung auf Grundlage des eigenen Risikoprofils nicht immer statt: “Viele Vulnerability-Management-Programme beginnen mit einer Liste von Schwachstellen-Scans und nicht mit den kritischen Risiken für das Unternehmen.”

4. Risiken überdenken und priorisieren

Die individuelle Risikotoleranz festzulegen und ein Verfahren zur Priorisierung zu schaffen, sind für ein starkes Schwachstellen-Management-Programm unerlässlich. Allerdings sollten diese Tasks nicht als einmalig betrachtet werden.

“Sie sollten mindestens einmal im Jahr – und bei jeder größeren Veränderung innerhalb des Unternehmens oder der IT-Umgebung – auf den Prüfstand gestellt werden”, empfiehlt Austin.

5. Frameworks und Systeme nutzen

Um alle Aufgaben im Bereich Vulnerability Management zu stemmen, müssen CISOs das Rad nicht neu erfinden: Verschiedene Organisationen, hierzulande etwa das BSI, haben Frameworks und andere Systeme entwickelt, die Sicherheitsentscheider beim Management von Schwachstellen unterstützen.

“Diese bieten Verteidigern die Möglichkeit, Schwachstellen zu betrachten und zu verstehen, wie ein Angreifer sie nutzen könnte. Das können sie nutzen, um Schwachstellen und Ihre Reaktion darauf zu priorisieren”, erklärt Jon Baker, Mitbegründer und amtierender Director of Research and Development am MITRE Engenuity Center for Threat-Informed Defense.

• Das CVE (Common Vulnerabilities and Exposures) -System von MITRE gibt beispielsweise schon seit 1999 Auskunft über öffentlich bekannte Schwachstellen und Bedrohungen sowie deren Verbindung zu bestimmten Codebasen.

• Darüber hinaus können Unternehmen auch die NIST Special Publication 800-30 für Risikobewertungen verwenden.

• Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, das Unternehmen dabei unterstützt, den Schweregrad von Sicherheitslücken im Sinne der Priorisierung einzuordnen.

• Schließlich steht Unternehmen auch das MITRE ATT&CK-Framework (das auf CVE basiert) zur Verfügung, um die Schwachstellen zu priorisieren, die im Rahmen einer umfassenden, auf Bedrohungen basierenden Verteidigungsstrategie berücksichtigt werden müssen.

6. Die Schwachstellen Dritter

Bekanntlich war die Log4j-Schwachstelle auch deshalb so problematisch, weil das Log4j-Tool weit verbreitet ist und in vielen Anwendungen vorhanden ist, die sowohl von IT-Teams in Unternehmen als auch von Softwareanbietern entwickelt wurden. “Diese Bedrohung hat verdeutlicht, dass Sicherheitsentscheider auch Schwachstellen, die sich über die Produkte ihrer Anbieter oder sonstige Dritte einschleichen, verstehen, bewerten, priorisieren und entschärfen müssen”, meint Baker.

Für die Sicherheitsteams von Unternehmen sei das herausfordernd, da sie oft nicht wüssten, welche Vulnerabilities in den Lösungen der Anbieter vorhanden sind – und möglicherweise nicht einmal in der Lage seien, Scans auf diesen Systemen durchzuführen: “Hier fehlt es an Transparenz in Bezug auf den Code und die Tools, die von den Systemen, auf die wir uns verlassen, genutzt werden. In einigen Fällen kann das durch Software Bill of Materials (SBOMs) abgemildert werden.”

Baker rät CISOs, die Vereinbarungen mit den Anbietern hinsichtlich deren Rolle beim Management von Schwachstellen in ihren Produkten zu überprüfen. Wenn nötig, sollten Entscheider entsprechende Vertragsklauseln hinzufügen, die die Wahrscheinlichkeit einschränken, dass ein Fehler unbemerkt bleibt oder nicht behoben wird: “Das ist Teil Ihres Vulnerability-Management-Programms. Sie müssen auch verstehen, wie Anbieter und Drittanbieter Schwachstellen verfolgen, priorisieren und patchen.”

7. Checks & Balances einrichten

Eine weitere bewährte Praxis: Übertragen Sie das Schwachstellen-Management nicht ans IT-Team. Sicherheitsexperten zufolge sollten CISOs eine ausgebildete Person oder ein spezielles Team damit betrauen

• Schwachstellen zu identifizieren,

• Prioritäten festzulegen,

• Sicherheitslücken zu beheben sowie

• Abhilfemaßnahmen und Schadensbegrenzung zu betreiben.

“Sie brauchen jemanden, der in gesunder Spannung zu den Teams arbeitet, die die eigentlichen Patches durchführen, denn für die Mitarbeiter im Infrastrukturteam bedeuten mehr Patches mehr Arbeit. Jede Selbstüberwachungsfunktion ist deutlich anfälliger für Apathie. Man braucht ein Checks-and-Balances-System”, meint Baker.

8. In Tools und Teams investieren

Effektives Vulnerability Management braucht die richtigen Mitarbeiter, Prozesse und Technologien. Viele Unternehmen haben etwas davon, aber nicht alles. Und sie haben Probleme damit, diese drei Elemente zusammenzubringen: “Security-Teams verfügen zwar in der Regel über Scanning-Tools, haben aber für gewöhnlich nichts mit der Automatisierung zu tun, die nötig wäre, um das daraus resultierende Arbeitsaufkommen zu bewältigen”, sagt Baker.

Darüber hinaus müssten Sicherheitsentscheider und ihre Unternehmen auch die Ressourcen bereitstelllen, die für den Erfolg dieser Teams nötig sind, ergänzt Orchilles. “Ich habe CISOs erlebt, die in ein neues Tool investiert haben, aber weder in die Mitarbeiter, die benötigt werden, um die Technologie zu bedienen, noch die erforderlichen Schulungen oder das Change Management. Tools allein sind keine Lösung.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.