Anzeige

Sicherheit_Schloss

Vulnerability Management ist eine der grundlegenden Methoden in der Cybersicherheit, um sich vor Hackerangriffen zu schützen. Es handelt sich zwar um eine grundlegende Form der Sicherheitskontrolle, sie erfolgreich zu implementieren ist aber nicht ganz trivial. 

Sicherheitsexperten betrachten VM oft als eher weniger aufregendes Thema und setzen es üblicherweise einfach mit einem "Scan- und Patch"-Zyklus gleich. Ein großer Teil eines typischen VM-Programms basiert tatsächlich auf Prozessen zum Scannen von Schwachstellen und dem Einspielen von Patches. Dazu kommen allerdings eine ganze Reihe anderer Dinge, die es zu tun gilt, damit VM auch die erwarteten Ergebnisse liefert.

Eines der wichtigsten Elemente ist die Priorisierung der Ergebnisse. Den meisten Unternehmen ist klar, dass es kaum oder gar nicht möglich ist, jede offene Schwachstelle zu patchen. Wenn man nicht alles patchen kann, was sollte man dann zuerst patchen? In diesem Bereich gibt es viele interessante Fortschritte. Wo früher lediglich der Schweregrad einer Schwachstelle ausschlaggebend war (der alte CVSS-Wert), ist es jetzt ein ausgefeiltes Verfahren, das unterschiedliche Data Points, unter anderem Threat Intelligence, einbezieht. Die EPSS-Untersuchungen von Kenna Security sind ein gutes Beispiel dafür, wie weit die Praxis der Priorisierung von Schwachstellen im Vergleich zu den alten CVSS-Zeiten bereits fortgeschritten ist.

Aber, selbst wenn Sie zuverlässig entscheiden können, was zuerst gepatcht werden soll, gibt es dennoch Fälle, bei denen es nicht reicht, einen Patch einzuspielen. Einige Schwachstellen betreffen nicht nur einen Bug, sondern weitere Probleme, wie etwa veraltete Software und Protokolle innerhalb einer Umgebung. In solchen Fällen braucht man normalerweise einen komplexeren Ansatz. 

Dabei wird eine zusätzliche Komponente des VM-Prozesses wichtig, die sogenannten Compensating Controls. Compensating Controls werden dann verwendet, wenn man das mit einer Schwachstelle verbundene Risiko senken will, solange es nicht möglich ist, sie vollständig zu beheben. IPS einzusetzen ist eine typische Compensating Control Vorgehensweise. Man kann sie verwenden, wenn beispielsweise noch kein Patch verfügbar ist, oder um das Risiko so lange zu minimieren, bis man sich sicher genug fühlt (normalerweise nachdem man während eines Wartungsfensters die entsprechenden Tests durchgeführt hat). An dieser Stelle kommen gewöhnlich Sicherheitskontrollen zum Einsatz, die die Auswirkungen eines Schwachstellen-Exploits vermeiden oder begrenzen sollen. Solche Tools werden idealer Weise verwendet, um bestehende Risiken zu kompensieren. Aber es gibt noch etwas anderes, dass ich bei diesem Stand der Diskussionen gerne zur Sprache bringe: Monitoring. 

Denken Sie kurz darüber nach. Sie haben eine offene Schwachstelle, die Sie noch nicht patchen können. Ein Exploit ist verfügbar, ebenso wie jede Menge Informationen dazu, wie er genutzt wird. Selbst wenn Sie nicht vermeiden können, dass die Schwachstelle ausgenutzt wird, stehen Ihnen all diese Informationen zur Verfügung. Auf dieser Basis können Sie einen Anwendungsfall für das Monitoring erstellen, der sich auf den Exploit genau dieser speziellen Schwachstelle konzentriert. Sie wissen, dass die Schwachstelle da ist, und dass sie ausgenutzt werden kann. Warum also nicht Informationen zusammenstellen, um nach diesem Exploit zu suchen? Sie wissen, dass Ihr Unternehmen derzeit für Angriffe dieser Art anfällig ist. Es ist also sinnvoll, die von diesem Anwendungsfall generierten Warnungen zu priorisieren.

Augusto Barros, VP Solutions bei Securonix, www.securonix.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hackerangriff
Okt 07, 2020

Risikobasierter Ansatz beim Patch-Management

Gefühlt häufen sich die Meldungen über Hackerangriffe, die bei namhaften Unternehmen…

Weitere Artikel

Security Schild

Zero Trust

Der Begriff „Zero Trust“ zeigt in aktuellen Studien, Marktanalysen, IT-Sicherheitsstrategien und Fachbeiträgen eine gewisse Dauerpräsenz. Ob es nun das „Zero Trust Maturity Model“ ist, ein „Zero Trust Network Access (ZTNA)“ oder das „Continous Adaptive Risk…
Cybersecurity

BSIMM: Ein Fahrplan in Richtung Softwaresicherheit

Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen…
Phishing

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird aktuell breit diskutiert. Theoretische Untersuchungen sollen herausgefunden haben, dass simulierte Phishing-Kampagnen einen negativen Einfluss auf das Betriebsklima, die…
Cyberrisk

Veränderung der Cybersicherheit durch Corona

Die globale Covid-19-Pandemie hat Arbeitnehmer auf der ganzen Welt in neue Routinen und Verhaltens- und Arbeitsweisen gedrängt: Sie arbeiten nun im Homeoffice, treffen sich online und müssen sich täglich neuen Herausforderungen stellen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!