Thought Leadership
Vulnerability Management ist eine der grundlegenden Methoden in der Cybersicherheit, um sich vor Hackerangriffen zu schützen. Es handelt sich zwar um eine grundlegende Form der Sicherheitskontrolle, sie erfolgreich zu implementieren ist aber nicht ganz trivial.
Sicherheitsexperten betrachten VM oft als eher weniger aufregendes Thema und setzen es üblicherweise einfach mit einem “Scan- und Patch”-Zyklus gleich. Ein großer Teil eines typischen VM-Programms basiert tatsächlich auf Prozessen zum Scannen von Schwachstellen und dem Einspielen von Patches. Dazu kommen allerdings eine ganze Reihe anderer Dinge, die es zu tun gilt, damit VM auch die erwarteten Ergebnisse liefert.
Eines der wichtigsten Elemente ist die Priorisierung der Ergebnisse. Den meisten Unternehmen ist klar, dass es kaum oder gar nicht möglich ist, jede offene Schwachstelle zu patchen. Wenn man nicht alles patchen kann, was sollte man dann zuerst patchen? In diesem Bereich gibt es viele interessante Fortschritte. Wo früher lediglich der Schweregrad einer Schwachstelle ausschlaggebend war (der alte CVSS-Wert), ist es jetzt ein ausgefeiltes Verfahren, das unterschiedliche Data Points, unter anderem Threat Intelligence, einbezieht. Die EPSS-Untersuchungen von Kenna Security sind ein gutes Beispiel dafür, wie weit die Praxis der Priorisierung von Schwachstellen im Vergleich zu den alten CVSS-Zeiten bereits fortgeschritten ist.
Aber, selbst wenn Sie zuverlässig entscheiden können, was zuerst gepatcht werden soll, gibt es dennoch Fälle, bei denen es nicht reicht, einen Patch einzuspielen. Einige Schwachstellen betreffen nicht nur einen Bug, sondern weitere Probleme, wie etwa veraltete Software und Protokolle innerhalb einer Umgebung. In solchen Fällen braucht man normalerweise einen komplexeren Ansatz.
Dabei wird eine zusätzliche Komponente des VM-Prozesses wichtig, die sogenannten Compensating Controls. Compensating Controls werden dann verwendet, wenn man das mit einer Schwachstelle verbundene Risiko senken will, solange es nicht möglich ist, sie vollständig zu beheben. IPS einzusetzen ist eine typische Compensating Control Vorgehensweise. Man kann sie verwenden, wenn beispielsweise noch kein Patch verfügbar ist, oder um das Risiko so lange zu minimieren, bis man sich sicher genug fühlt (normalerweise nachdem man während eines Wartungsfensters die entsprechenden Tests durchgeführt hat). An dieser Stelle kommen gewöhnlich Sicherheitskontrollen zum Einsatz, die die Auswirkungen eines Schwachstellen-Exploits vermeiden oder begrenzen sollen. Solche Tools werden idealer Weise verwendet, um bestehende Risiken zu kompensieren. Aber es gibt noch etwas anderes, dass ich bei diesem Stand der Diskussionen gerne zur Sprache bringe: Monitoring.
Denken Sie kurz darüber nach. Sie haben eine offene Schwachstelle, die Sie noch nicht patchen können. Ein Exploit ist verfügbar, ebenso wie jede Menge Informationen dazu, wie er genutzt wird. Selbst wenn Sie nicht vermeiden können, dass die Schwachstelle ausgenutzt wird, stehen Ihnen all diese Informationen zur Verfügung. Auf dieser Basis können Sie einen Anwendungsfall für das Monitoring erstellen, der sich auf den Exploit genau dieser speziellen Schwachstelle konzentriert. Sie wissen, dass die Schwachstelle da ist, und dass sie ausgenutzt werden kann. Warum also nicht Informationen zusammenstellen, um nach diesem Exploit zu suchen? Sie wissen, dass Ihr Unternehmen derzeit für Angriffe dieser Art anfällig ist. Es ist also sinnvoll, die von diesem Anwendungsfall generierten Warnungen zu priorisieren.
Augusto Barros, VP Solutions bei Securonix, www.securonix.com/
