Anzeige

Anzeige

Sicherheit_Schloss

Vulnerability Management ist eine der grundlegenden Methoden in der Cybersicherheit, um sich vor Hackerangriffen zu schützen. Es handelt sich zwar um eine grundlegende Form der Sicherheitskontrolle, sie erfolgreich zu implementieren ist aber nicht ganz trivial. 

Sicherheitsexperten betrachten VM oft als eher weniger aufregendes Thema und setzen es üblicherweise einfach mit einem "Scan- und Patch"-Zyklus gleich. Ein großer Teil eines typischen VM-Programms basiert tatsächlich auf Prozessen zum Scannen von Schwachstellen und dem Einspielen von Patches. Dazu kommen allerdings eine ganze Reihe anderer Dinge, die es zu tun gilt, damit VM auch die erwarteten Ergebnisse liefert.

Eines der wichtigsten Elemente ist die Priorisierung der Ergebnisse. Den meisten Unternehmen ist klar, dass es kaum oder gar nicht möglich ist, jede offene Schwachstelle zu patchen. Wenn man nicht alles patchen kann, was sollte man dann zuerst patchen? In diesem Bereich gibt es viele interessante Fortschritte. Wo früher lediglich der Schweregrad einer Schwachstelle ausschlaggebend war (der alte CVSS-Wert), ist es jetzt ein ausgefeiltes Verfahren, das unterschiedliche Data Points, unter anderem Threat Intelligence, einbezieht. Die EPSS-Untersuchungen von Kenna Security sind ein gutes Beispiel dafür, wie weit die Praxis der Priorisierung von Schwachstellen im Vergleich zu den alten CVSS-Zeiten bereits fortgeschritten ist.

Aber, selbst wenn Sie zuverlässig entscheiden können, was zuerst gepatcht werden soll, gibt es dennoch Fälle, bei denen es nicht reicht, einen Patch einzuspielen. Einige Schwachstellen betreffen nicht nur einen Bug, sondern weitere Probleme, wie etwa veraltete Software und Protokolle innerhalb einer Umgebung. In solchen Fällen braucht man normalerweise einen komplexeren Ansatz. 

Dabei wird eine zusätzliche Komponente des VM-Prozesses wichtig, die sogenannten Compensating Controls. Compensating Controls werden dann verwendet, wenn man das mit einer Schwachstelle verbundene Risiko senken will, solange es nicht möglich ist, sie vollständig zu beheben. IPS einzusetzen ist eine typische Compensating Control Vorgehensweise. Man kann sie verwenden, wenn beispielsweise noch kein Patch verfügbar ist, oder um das Risiko so lange zu minimieren, bis man sich sicher genug fühlt (normalerweise nachdem man während eines Wartungsfensters die entsprechenden Tests durchgeführt hat). An dieser Stelle kommen gewöhnlich Sicherheitskontrollen zum Einsatz, die die Auswirkungen eines Schwachstellen-Exploits vermeiden oder begrenzen sollen. Solche Tools werden idealer Weise verwendet, um bestehende Risiken zu kompensieren. Aber es gibt noch etwas anderes, dass ich bei diesem Stand der Diskussionen gerne zur Sprache bringe: Monitoring. 

Denken Sie kurz darüber nach. Sie haben eine offene Schwachstelle, die Sie noch nicht patchen können. Ein Exploit ist verfügbar, ebenso wie jede Menge Informationen dazu, wie er genutzt wird. Selbst wenn Sie nicht vermeiden können, dass die Schwachstelle ausgenutzt wird, stehen Ihnen all diese Informationen zur Verfügung. Auf dieser Basis können Sie einen Anwendungsfall für das Monitoring erstellen, der sich auf den Exploit genau dieser speziellen Schwachstelle konzentriert. Sie wissen, dass die Schwachstelle da ist, und dass sie ausgenutzt werden kann. Warum also nicht Informationen zusammenstellen, um nach diesem Exploit zu suchen? Sie wissen, dass Ihr Unternehmen derzeit für Angriffe dieser Art anfällig ist. Es ist also sinnvoll, die von diesem Anwendungsfall generierten Warnungen zu priorisieren.

Augusto Barros, VP Solutions bei Securonix, www.securonix.com/


Artikel zu diesem Thema

Hackerangriff
Okt 07, 2020

Risikobasierter Ansatz beim Patch-Management

Gefühlt häufen sich die Meldungen über Hackerangriffe, die bei namhaften Unternehmen…

Weitere Artikel

Open Source

Open Source Intelligence erhöht die IT-Sicherheit in Unternehmen

Open Source Intelligence (OSINT) ist ein Konzept, das als Element der IT-Sicherheitsstrategie in Unternehmen zunehmend an Bedeutung gewinnt.
Cyber Security Risk

Wie COVID-19 die IT-Sicherheit in KMU beeinträchtigt

Capterra, die Bewertungsplattform für Unternehmenssoftware, veröffentlicht eine Studie zum Stand der IT-Sicherheit in deutschen KMU.

Schwerwiegende Sicherheitslücke in Microsoft Teams

Tenable hat heute Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams bekannt gegeben, die vom Zero-Day Research Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power Apps-Funktionalität könnten Bedrohungsakteure dauerhaften…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.