Thought Leadership
Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer Bestandteil einer hohen IT-Sicherheit. Traditionelle Ansätze sind allerdings angesichts der horrenden Zahl potenzieller Sicherheitslücken zum Scheitern verurteilt, erklärt NTT Security (Germany). Nur eine starke Priorisierung ermöglicht ein effizientes Schwachstellenmanagement.
Ein wesentlicher Aspekt bei der IT-Sicherheit ist das Vulnerability und Patch Management, bei dem Unternehmen allerdings schnell an Grenzen stoßen – schlicht und ergreifend durch die hohe Anzahl von Verwundbarkeiten. Das Verzeichnis bekannter Sicherheitslücken in IT-Systemen, der von der Mitre Corporation in Zusammenarbeit mit Herstellern von Sicherheitssoftware, Behörden und Bildungseinrichtungen verwaltete Industriestandard CVE (Common Vulnerabilities and Exposures), enthält allein für 2017 14.714 Meldungen über neue Verwundbarkeiten und aktuell sind es bereits über 12.000. Ein 100-Prozent-Ansatz beim Patchen ist somit kaum realistisch.
Die Lösung für diese Herausforderung lautet: Etablierung eines intelligenten, also eines sogenannten Smart-Vulnerability-Managements. Es setzt bei der Bestandsaufnahme der IT an und bewertet, filtert und priorisiert Risiken. Die Risikoabschätzung ist von zentraler Bedeutung, da jedes Unternehmen ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse ermittelt werden muss. Darauf bauen dann alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf.
Ein Smart-Vulnerability-Management scannt IT-Systeme und untersucht sie auf Schwachstellen. Dabei nutzt es auch systemübergreifende Informationen, die eine Priorisierung ermöglichen. Tritt etwa eine Schwachstelle bei den Microsoft Remote Desktop Services (RDS) auf, muss nicht zwangsläufig ein Patchen aller Windows-Server mit hoher Priorität erforderlich sein. So liegen durch Echtzeit-Informationen der Firewall Erkenntnisse darüber vor, welche Windows-Systeme überhaupt über das Microsoft Remote Desktop Protocol (RDP) erreichbar sind. Und über die von vielen Unternehmen genutzten Intrusion-Prevention- und Intrusion-Detection-Systeme sind eventuell bereits Pattern-Updates für diese Verwundbarkeit vorhanden. Setzt ein Unternehmen zudem eine Configuration Management Database (CMDB) ein, kennt es auch diejenigen Systeme, die überhaupt kritische Daten beinhalten. Auch durch die damit mögliche Priorisierung können Patch-Prozesse entscheidend optimiert werden.
Weiß ein Unternehmen, an welchem Ort wichtige Daten liegen und sicherheitsrelevante Gefahren bestehen, kann es überdies nicht nur gezielt reagieren, sondern auch proaktive Vorkehrungen treffen und frühzeitig in entsprechende Security-Maßnahmen investieren. Dazu zählen zum Beispiel die Transportverschlüsselung, der Einsatz sicherer Authentifizierungsmethoden, effiziente Berechtigungsmodelle, die Datenverschlüsselung und die Netzwerksegmentierung – immer angepasst auf die jeweilige Risikolage.
„Traditionelle Vulnerability-Management-Prozesse sind zeitaufwändig, ressourcenintensiv und ineffizient und fokussieren oft die falschen Kriterien, sodass Sicherheits- und Compliance-Lücken die Folge sein können“, betont Matthias Straub, Director Consulting Deutschland und Österreich bei NTT Security. „Ein Smart-Vulnerability-Management-Ansatz hingegen, der auf Priorisierung basiert, adressiert primär die größten Schwachstellen in einer IT-Umgebung. Er bietet damit eine schnelle und effiziente Möglichkeit für die Umsetzung eines erfolgreichen Vulnerability-Managements – auch wenn eine große Anzahl potenzieller Schwachstellen zu berücksichtigen ist.“
Ein umfassendes intelligentes Smart-Vulnerability-Managementsystem beinhaltet:
- Identifizierung: Echtzeit-Vulnerability-Informationen in einer zentralen Datenbank
- Priorisierung: Kunden- und anforderungsspezifische Schwachstellen-Klassifizierung
- Management: Remediation-Tracking, Kunden-Reports, -Dashboards und -Charts
- Audit: Auditierbare Aufzeichnungen von Remediation-Prozessen von der Schwachstellen-Identifizierung bis zur -Beseitigung
- Vulnerability-Threat-Korrelation
- Asset-bezogenes Scheduling, Scanning und Reporting
