Anzeige

Bergtour

Die ersten wichtigen Schritte zu einem ausgereiften Vulnerability-Management-Programm sind im Allgemeinen der schwierigste Teil des Prozesses. Setzen Sie sich deshalb ehrgeizige, aber erreichbare Ziele.

Das erleichtert es Ihnen, Fortschritte bei der Weiterentwicklung des Programms zu markieren. Stufe für Stufe wird das Programm effizienter und die ursprünglich weitgehend manuellen

Anstrengungen durch einen höheren Automatisierungsgrad, mehr Geschwindigkeit und klar definierte Prozesse ersetzt. Eine äußerst brauchbare Ressource in frühen Phasen des VM-Programms, ist das Capability Maturity Model.

Das Capability Maturity Model – Wegweiser in frühen Phasen

Das Capability Maturity Model (CMM) - ein Modell, das vom US-Verteidigungsministerium zur Verbesserung von Prozessen entwickelt wurde – vermittelt Ihnen eine Vorstellung, wie Sie ein VM-Programm auf das nächste Maturity Level heben. Das CMM ist ein Modell, mit dessen Hilfe man einen Prozess inkrementell und definierbar entwickeln und verfeinern kann. Es beinhaltet fünf Stufen:

CMM Stufe 1: „Initial“

Auf der „Initial“ Stufe eines VM-Programms existieren nur wenige Prozesse und Verfahren. Schwachstellen-Scans werden von einem Drittanbieter als Teil eines Penetrationstests oder von externen Auditoren durchgeführt. Diese Scans werden in der Regel ein bis vier Mal pro Jahr aufgrund einer behördlichen Auflage oder auf Anfrage eines Auditors durchgeführt. Das Unternehmen behebt in der Regel alle "kritischen" oder "hohen" Risiken und stellt sicher, dass es die erforderlichen Compliance-Anforderungen erreicht oder beibehält. Die verbleibenden Informationen werden in der Regel archiviert, sobald eine positive Bewertung erfolgt. Jeden Tag werden neue Schwachstellen aufgedeckt. Deshalb bleiben Unternehmen auf dieser Stufe weiterhin leichte Beute für Angreifer und in den Intervallen zwischen den Bewertungen anfällig.

CMM Stufe 2: „Managed“

Auf der „Managed“ Stufe eines VM-Programms führt man interne Scans durch. Das Unternehmen entscheidet sich für eine VM-Lösung und beginnt regelmäßiger - normalerweise wöchentlich oder monatlich - zu Scannen. Vielen Unternehmen fehlt auf dieser Stufe die Unterstützung des Managements.

Eine der Gründe für die oftmals begrenzten Budgets, die dazu führen, dass man sich für kostengünstige oder kostenfreie Lösungen entscheidet. Low-End-Lösungen bieten grundlegende Scan-Funktionen, sind aber in Bezug auf die Zuverlässigkeit der Datenerfassung, ihre Fähigkeit den Geschäftskontext einzubeziehen, beim Grad der Automatisierung und ihren Möglichkeiten die betriebliche Effizienz zu verbessern deutlich eingeschränkt.

CMM Stufe 3: „Defined“

Auf der „Defined“ Stufe sind Prozesse und Verfahren im gesamten Unternehmen klar definiert und verstanden. Das Informationssicherheitsteam hat die Unterstützung der Geschäftsleitung und genießt das Vertrauen der Systemadministratoren. Authentifizierte Schwachstellen-Scans finden auf diesem Level täglich oder wöchentlich statt und generieren zielgruppenspezifische Berichte. Systemadministratoren bekommen Schwachstellenberichte, während das Management Reports zu den Risikotrends erhält. VM-Statusdaten werden im gesamten Informationssicherheits-Ökosystem geteilt, um verwertbare Informationen bereitzustellen. Bei kritischen Assets werden VM-Agenten für eine optimierte Datenerfassung eingesetzt, ohne dass Anmeldeinformationen gescannt werden müssen.

CMM Stufe 4: „Quantitatively Managed“

Wenn ein VM-Programm „Quantitatively Managed“ ist, sind die spezifischen Attribute des Programms quantifizierbar, und dem Managementteam werden Metriken zur Verfügung gestellt. Das Unternehmen verwendet klar definierte Pass/Fail-Kriterien für die Bewertung der CI/CD-Pipeline, und es existiert eine Strategie für die Remediation oder Entfernung nicht konformer Images und Container. Diese Metriken lassen sich ganzheitlich für das Unternehmen betrachten oder nach verschiedenen Geschäftsbereichen aufschlüsseln. Bei dieser Vorgehensweise erkennt man sofort, welche Bereiche ihr Risiko gesenkt haben und welche hinterherhinken.

CMM Stufe 5: „Optimizing“

Auf der „Optimizing“-Stufe werden die zuvor definierten Metriken zur Optimierung herangezogen. Sobald diese Ziele konsistent erreicht sind, werden neue und aggressivere Ziele definiert, um die Prozesse kontinuierlich zu verbessern.

Prioritäten setzen

Auf der zweiten Stufe "Managed" - und darüber hinaus - verfügen Unternehmen über eine interne Lösung, die sie regelmäßig für die Schwachstellenanalyse einsetzen. Wenn Sie regelmäßige Scans mit einer VM-Lösung ausführen, häufen Sie ein Menge an Daten an, die in umsetzbare Reaktionen umgesetzt werden müssen.

Sicherheitsteams haben weder die Zeit noch die Ressourcen, erhalten leicht viel zu viele Daten, aber zu wenig Einblicke. Betrachten wir beispielsweise das Asset-Inventar. Nach welchen Kriterien entscheiden Sie, auf welche Systeme im Unternehmen Sie Ihre Anstrengungen konzentrieren müssen? Einige Systeme, die einem hier in den Sinn kommen können, sind Code-Repositories, die DMZ oder sogar der Laptop einer hochrangigen Führungskraft.

Konzentrieren Sie sich auf Assets, indem Sie zwischen den wesentlichen Geschäfts- und Sicherheitszielen abwägen. Angenommen, das nächste Change-Control-Fenster für Server in der DMZ ist vier Monate entfernt. Aufgrund der Zeitspanne zwischen Bewertung und verfügbarem Change-Fenster ist dies vermutlich nicht der beste Ausgangspunkt. Andererseits können gerade diese Systeme von besonders hohem Wert sein. Dann brauchen Sie anhand des Status sofort eine Einschätzung, oder die Möglichkeit im Notfall sofort ein Change Control-Fenster einzurichten. Etwa, wenn man eine Schwachstelle beheben muss, zu der es bereits Exploits gibt. Der Wenn Sie ein CMM zusammen mit einer realistischen internen Priorisierung für die wichtigsten Vermögenswerte einsetzen, sind Sie einigermaßen für den weiteren Aufstieg präpariert.

Lesen Sie hier den Teil 1 der Serie Die Tour auf den „Vulnerability Management Mountain“

Frank Augenstein, Senior Sales Engineer D/ACH
Frank Augenstein
Senior Sales Engineer D/ACH, Tripwire

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Automatisierung
Mai 26, 2020

Unternehmen müssen integrierte Automatisierungsstrategie verfolgen

Kofax, ein Anbieter von Intelligent Automation-Software für die Automatisierung und…
DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…
Schritte / Hacker mit Hoody
Dez 10, 2019

Software Vulnerability Management: Hackern zwei Schritte voraus

Der Kampf gegen Hackerangriffe gleicht einem Formel-1-Rennen: Der Schnellste gewinnt.…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!