Thought Leadership
Priorisierung gilt gemeinhin als Lösung für die Bewältigung mehrerer anfallender Aufgaben. Auch bei der Arbeit mit Netzwerken und ihren Sicherheitslücken gibt es kritische und weniger kritische Fälle. Allerdings ist ein Aufschieben bei Sicherheitsproblemen im Netzwerk keine Option.
Das zeigt auch der Verizon 2016 Breach Investigations Report: Während 85 Prozent des erfolgreichen Exploit-Verkehrs auf die Top 10 der Netzwerkschwachstellen zurückzuführen ist, sind es vor allem häufige Sicherheitsrisiken und -lücken (Englisch: common vulnerabilities and exposers, kurz: CVEs), die mit 15 Prozent Exploit-Verkehr-Anteil leicht zu verhindern wären, aber aufgrund ihrer niedrigen Priorität nicht behoben werden.
Um gegen dieses Problem vorzugehen kann man sich an vier Best Practice-Beispielen für ein umfangreiches Sicherheitslücken-Management-Programm orientieren, mit dessen Hilfe man auf sicherem Wege durch den Gefahrendschungel navigieren kann.
1. Frühzeitig und oft nach Schwachstellen scannen
Ein Problem, das nicht genau erfasst und erkannt wird, kann auch nicht behoben, ein unbekanntes Netzwerk nicht ausreichend geschützt werden. Sind nicht genügend Daten vorhanden, kann keine genaue Identifikation und Priorisierung für die Behebung der Gefahren für das eigene Netzwerk erfolgen. Sollte das Unternehmen eigene Software entwickeln, ist es zudem wichtig, so früh wie möglich mit dem Scannen der Software zu beginnen, um die allgemeine Sicherheit zu erhöhen und potenzielle Gefahrenbehebungskosten auf ein Minimum zu reduzieren.
2. Daten verständlich und prozessfähig machen
Hat man die Scan-Daten gesammelt reicht es nicht, sie in einer Auflistung an alle Stakeholder zu verschicken. Selbst gemäß dem Fall, dass jeder einzelne Report geöffnet wird, ist der Weg nach wie vor ungeeignet, um Risiken abzuwägen. Dies käme 100 E-Mails gleich, die allesamt mit „dringend“ gekennzeichnet sind. Die Frage, die sich dabei stellt ist: Wie sollen Unternehmen eine Risiko-Rangliste festlegen, wenn alle Schwachstellen ein Risiko darstellen?
Aus diesem Grund müssen die Scan-Ergebnisse so präsentiert werden, dass sie leicht verständlich und nachvollziehbar sind – sowohl für die Sicherheitsabteilung als auch für Geschäftsentscheider. Darin sollte enthalten sein, wie schwerwiegend ein Problem ist, wie lange es schon besteht und was damit zu tun ist. Man benötigt einen schnellen, automatisierten und somit wiederholbaren Prozess, der die risikoreichen Netzwerk-Schwachstellen mit dessen Behebung in Verbindung bringt und so in kürzester Zeit für ein besseres Verständnis sorgt.
3. In den Kontext setzen
Nur mit genügend Kontext-Wissen kann man eine richtige Reaktion sicherstellen. Wenn jemand „Feuer“ ruft, werden mehr Informationen gebraucht, um zu wissen, ob man helfen kann, wegrennen oder die Feuerwehr verständigen soll. Und genauso verhält es sich auch mit der Behebung von Sicherheitslücken in Netzwerken. Der Kontext wird benötigt, um ein Problem zu verstehen und die nächsten Schritte planen zu können.
Auch mit ausführlichen Scan-Daten wird immer noch mehr Kontext-Information verlangt. Welche Netzwerk-Teile könnten betroffen sein? Wo befinden sich diese? Gibt es bereits einen Patch zur Behebung des Problems? Falls ja, wann kann er ausgerollt werden? Falls nicht, kann man die Risiken vorrübergehend zumindest eindämmen?
4. Verständnis für und Umgang mit Schwachstellen verbessern
Man lernt nie aus. Die stetige Verbesserung der Fähigkeit, ein Problem in einen Kontext zu setzen und dieses Kontext-Wissen zu transportieren, macht es insgesamt einfacher auf Schwachstellen zu reagieren. Zusätzlich hilft es, diesen Kontext mit nachvollziehbaren Daten zu untermauern. So erhöht sich sogenannte „Vulnerability Intelligence“, beziehungsweise das Verständnis für Schwachstellen und wie damit umzugehen ist. Dadurch können Unternehmen ihren Sicherheitslücken-Management-Ansatz regelmäßig an die Entwicklungen der Gefahren anpassen, um die Zeitspanne zwischen Entdeckung einer Schwachstelle bis zu ihrer Behebung zu verkürzen. So verringert sich ganz automatisch auch das allgemeine Risiko, einem Angriff auf das Netzwerk schutzlos gegenüber zu stehen.
Fazit
Die Angreifer fahren zweigleisig. Sie wissen um das Prioritäten-Problem von Netzwerk-Verwaltern und nutzen Schwachstellen mit niedriger Behebungspriorität aus, um so viel wie möglich an Daten zu stehlen. Währenddessen arbeiten sie weiter an ihren Strategien. Es ist also erforderlich, dass die Management-Strategie auf umfassenden, aktuellen Scan-Daten basiert und der Gefahren-Kontext schnell und einfach hergeleitet werden kann. Nur so können Unternehmen der Prioritäten-Falle entkommen und die richtigen Entscheidungen treffen, um die Risiken durch aktuelle Gefahren und CVEs einzudämmen.
Ingo Marienfeld, Geschäftsführer bei BMC Deutschland
