Anzeige

Bergtour

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit dem Unternehmen sich auseinandersetzen. Diesen Prozess effektiv zu gestalten ist alles andere als ein Spaziergang im Park. Der Vergleich mit einer ambitionierten Bergtour trifft es eher. 

Bei der Implementierung eines ausgereiften VM-Programms ist viel sorgfältige Arbeit gefragt und gerade in den Anfangsphasen erscheint der Gipfel – um im Bild zu bleiben – so gut wie unerreichbar. Hat man aber die erforderlichen Anstrengungen unternommen wird man mit einer spektakulären Aussicht von oben belohnt.

Bevor wir an dieser Stelle tiefer in die Materie einsteigen, ist es sinnvoll einige Schlüsselbegriffe rund um VM zu klären. Die folgenden Definitionen gehen auf das NIST (National Institute for Standards and Technology) zurück:

  • Schwachstelle: Schwachstelle in einem Informationssystem, innerhalb von Sicherheitsverfahren, internen Kontrollen oder bei der Implementierung, die von Bedrohungsakteuren ausgenutzt oder ausgelöst werden können.
  • Asset: Alles, was innerhalb eines Unternehmens von Wert ist, wie z. B. ein anderes Unternehmen, eine Person, ein Computer, ein IT-System, ein IT-Netzwerk, ein IT-Schaltkreis, Software (sowohl installiert als auch physisch), eine virtuelle Computerplattform (wie in der Cloud und in der virtualisierten Datenverarbeitung üblich) und die zugehörige Hardware.
  • Schwachstellenbewertung: Formale Beschreibung und Bewertung von Schwachstellen in einem Informationssystem.
  • Behebung: Die eigentliche Beseitigung einer Schwachstelle oder einer Bedrohung.

Bitte nicht wie Sisyphos 

Moderne Unternehmen haben mehr Endpunkte zu verwalten als jemals zuvor. Einige von ihnen sind vermutlich nur gelegentlich mit dem Netzwerk verbunden, was es zusätzlich erschwert, sie auf dem neuesten Stand zu halten. Der fluktuierende Zustand von Netzwerk und Geräten wird unter Umständen noch um einiges komplizierter. Vulnerability Management wird in der Cloud mit DevOps-Geschwindigkeit und in Umgebungen ausgeführt werden müssen, die elastisch, verteilt und dynamisch sind ... die Liste ließe sich nahezu unendlich fortsetzen. Wenn Sie sich bei dem Gedanken, VM über eine so heikle Angriffsfläche laufen zu lassen, wie Sisyphos aus der griechischen Mythologie fühlen, ist das nur zu verständlich. 

Kann man ein VM-Programm aber in überschaubare Einheiten aufgliedern. Ähnlich wie Sie es bei einer ambitionierten Bergtour tun würden: Sie müssen wissen, was Sie an Inventar berücksichtigen müssen und an Ausrüstung zur Verfügung haben und brauchen, sie wählen Ihre Partner sorgfältig aus und sie planen die Route anhand einer Karte des Geländes. Der Vulnerability Management-Plan entwickelt sich im Laufe der Zeit und sollte in jeder Phase klar und detailliert sein, und genau dokumentiert werden.

Bewerten Sie Ihr Inventar

Es klingt selbstverständlich zu wissen, welche Assets/Systeme es in einer Umgebung gibt. Die Frage nach dem tatsächlichen Bestand ist aber oft viel schwieriger zu beantworten als es auf den ersten Blick den Anschein hat. Das gilt verschärft für „Work-from-Home“- und „Bring-your-own-Device“-Umgebungen. Cloud und virtuelle Assets machen die Bestandsaufnahmen nicht leichter. Stellen Sie zunächst sicher, dass Ihre Configuration Management Database (CMDB) auf dem aktuellsten Stand ist. Der einfachste Weg, eine genaue Bewertung aller Systeme zu bekommen, ist ein eingehender Netzwerk-Scan. 

Dazu gibt es sehr gut geeignete Vulnerability Management-Tools. Die sollten in jedem Fall alle IP-Adressen im Netzwerk scannen und die benötigten Informationen zu sämtlichen Systemen liefern.

Die Ausrüstung 

Ohne die richtige Ausrüstung würden Bergsteiger schnell in große Schwierigkeiten geraten, genau wie Cybersicherheitsteams. Man muss schon eine ganze Menge Rechercheaufwand betreiben, um die geeigneten Tools zu finden, die im besten Falle ein optimales Preis-/Leistungsverhältnis bieten und mit der bestehenden Technologieumgebung gut zusammenspielen. Achten Sie darauf, die wesentlichen IT- und Sicherheitsprozesse zu integrieren. 

Wählen Sie Ihre Partner aus

as Besteigen des VMM ist keine Solo-Tour. Zu einem erfolgreichen VM-Programm gehören Zusammenarbeit und der Informationsaustausch zwischen Penetrationstest-Teams, Sicherheitsberatern, Geschäftspartnern, Branchenkontakten usw. Entscheiden Sie sich für einen VM-Anbieter, der Ihnen Zugriff auf das Research-Team und die ermittelten Schwachstelleninhalte gewährt und Sie unterstützt. 

Die Karte 

Bevor Sie Ihr erstes automatisiertes VM-Tool käuflich erwerben oder bestehende Tools aufrüsten, sollten Sie Ihr Netzwerklayout und die spezifischen Anforderungen innerhalb der Umgebung kennen. Wie bei einer realen Bergbesteigung dürfen Sie die Umgebung nicht außer Acht lassen. Ob Sie einen Gipfel im Himalaja besteigen oder den Kilimandscharo, macht einen nicht ganz geringen Unterschied. Wenn Sie erfolgreich sein wollen, inventarisieren Sie auch die Anforderungen des betreffenden Netzwerks. 

Setzen Sie im Unternehmen kurzlebige Assets ein, die im Netzwerk kommen und gehen? Brauchen Sie VM in Cloud- und Containerumgebungen? Wenn Sie sich diese Fragen frühzeitig stellen, hilft Ihnen das, wenn Sie in größere Höhen aufgestiegen sind. Sofern Sie keine sehr flache und überschaubare Netzwerkwerkumgebung haben, müssen Sie entscheiden, wie Sie Ihr Netzwerk für die Bewertung am besten segmentieren. Populär sind die Aufteilung nach Funktionsgruppen oder Geschäftseinheiten/Abteilungen, Ownership eines Systemadministrators und geografische Lage.

Wie die meisten komplexen Cybersicherheitsprozesse kann niemand VM an einem Tag perfekt implementieren oder es nach dem bekannten Motto „Einrichten und vergessen“ handhaben. Es braucht Zeit, den Gipfel der VM Maturity zu erreichen, und nicht selten ist der erste Schritt auch der schwierigste.
 

Frank Augenstein, Senior Sales Engineer D/ACH
Frank Augenstein
Senior Sales Engineer D/ACH, Tripwire

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!