Anzeige

Bergtour

Die ersten wichtigen Schritte zu einem ausgereiften Vulnerability-Management-Programm sind im Allgemeinen der schwierigste Teil des Prozesses. Setzen Sie sich deshalb ehrgeizige, aber erreichbare Ziele.

Das erleichtert es Ihnen, Fortschritte bei der Weiterentwicklung des Programms zu markieren. Stufe für Stufe wird das Programm effizienter und die ursprünglich weitgehend manuellen

Anstrengungen durch einen höheren Automatisierungsgrad, mehr Geschwindigkeit und klar definierte Prozesse ersetzt. Eine äußerst brauchbare Ressource in frühen Phasen des VM-Programms, ist das Capability Maturity Model.

Das Capability Maturity Model – Wegweiser in frühen Phasen

Das Capability Maturity Model (CMM) - ein Modell, das vom US-Verteidigungsministerium zur Verbesserung von Prozessen entwickelt wurde – vermittelt Ihnen eine Vorstellung, wie Sie ein VM-Programm auf das nächste Maturity Level heben. Das CMM ist ein Modell, mit dessen Hilfe man einen Prozess inkrementell und definierbar entwickeln und verfeinern kann. Es beinhaltet fünf Stufen:

CMM Stufe 1: „Initial“

Auf der „Initial“ Stufe eines VM-Programms existieren nur wenige Prozesse und Verfahren. Schwachstellen-Scans werden von einem Drittanbieter als Teil eines Penetrationstests oder von externen Auditoren durchgeführt. Diese Scans werden in der Regel ein bis vier Mal pro Jahr aufgrund einer behördlichen Auflage oder auf Anfrage eines Auditors durchgeführt. Das Unternehmen behebt in der Regel alle "kritischen" oder "hohen" Risiken und stellt sicher, dass es die erforderlichen Compliance-Anforderungen erreicht oder beibehält. Die verbleibenden Informationen werden in der Regel archiviert, sobald eine positive Bewertung erfolgt. Jeden Tag werden neue Schwachstellen aufgedeckt. Deshalb bleiben Unternehmen auf dieser Stufe weiterhin leichte Beute für Angreifer und in den Intervallen zwischen den Bewertungen anfällig.

CMM Stufe 2: „Managed“

Auf der „Managed“ Stufe eines VM-Programms führt man interne Scans durch. Das Unternehmen entscheidet sich für eine VM-Lösung und beginnt regelmäßiger - normalerweise wöchentlich oder monatlich - zu Scannen. Vielen Unternehmen fehlt auf dieser Stufe die Unterstützung des Managements.

Eine der Gründe für die oftmals begrenzten Budgets, die dazu führen, dass man sich für kostengünstige oder kostenfreie Lösungen entscheidet. Low-End-Lösungen bieten grundlegende Scan-Funktionen, sind aber in Bezug auf die Zuverlässigkeit der Datenerfassung, ihre Fähigkeit den Geschäftskontext einzubeziehen, beim Grad der Automatisierung und ihren Möglichkeiten die betriebliche Effizienz zu verbessern deutlich eingeschränkt.

CMM Stufe 3: „Defined“

Auf der „Defined“ Stufe sind Prozesse und Verfahren im gesamten Unternehmen klar definiert und verstanden. Das Informationssicherheitsteam hat die Unterstützung der Geschäftsleitung und genießt das Vertrauen der Systemadministratoren. Authentifizierte Schwachstellen-Scans finden auf diesem Level täglich oder wöchentlich statt und generieren zielgruppenspezifische Berichte. Systemadministratoren bekommen Schwachstellenberichte, während das Management Reports zu den Risikotrends erhält. VM-Statusdaten werden im gesamten Informationssicherheits-Ökosystem geteilt, um verwertbare Informationen bereitzustellen. Bei kritischen Assets werden VM-Agenten für eine optimierte Datenerfassung eingesetzt, ohne dass Anmeldeinformationen gescannt werden müssen.

CMM Stufe 4: „Quantitatively Managed“

Wenn ein VM-Programm „Quantitatively Managed“ ist, sind die spezifischen Attribute des Programms quantifizierbar, und dem Managementteam werden Metriken zur Verfügung gestellt. Das Unternehmen verwendet klar definierte Pass/Fail-Kriterien für die Bewertung der CI/CD-Pipeline, und es existiert eine Strategie für die Remediation oder Entfernung nicht konformer Images und Container. Diese Metriken lassen sich ganzheitlich für das Unternehmen betrachten oder nach verschiedenen Geschäftsbereichen aufschlüsseln. Bei dieser Vorgehensweise erkennt man sofort, welche Bereiche ihr Risiko gesenkt haben und welche hinterherhinken.

CMM Stufe 5: „Optimizing“

Auf der „Optimizing“-Stufe werden die zuvor definierten Metriken zur Optimierung herangezogen. Sobald diese Ziele konsistent erreicht sind, werden neue und aggressivere Ziele definiert, um die Prozesse kontinuierlich zu verbessern.

Prioritäten setzen

Auf der zweiten Stufe "Managed" - und darüber hinaus - verfügen Unternehmen über eine interne Lösung, die sie regelmäßig für die Schwachstellenanalyse einsetzen. Wenn Sie regelmäßige Scans mit einer VM-Lösung ausführen, häufen Sie ein Menge an Daten an, die in umsetzbare Reaktionen umgesetzt werden müssen.

Sicherheitsteams haben weder die Zeit noch die Ressourcen, erhalten leicht viel zu viele Daten, aber zu wenig Einblicke. Betrachten wir beispielsweise das Asset-Inventar. Nach welchen Kriterien entscheiden Sie, auf welche Systeme im Unternehmen Sie Ihre Anstrengungen konzentrieren müssen? Einige Systeme, die einem hier in den Sinn kommen können, sind Code-Repositories, die DMZ oder sogar der Laptop einer hochrangigen Führungskraft.

Konzentrieren Sie sich auf Assets, indem Sie zwischen den wesentlichen Geschäfts- und Sicherheitszielen abwägen. Angenommen, das nächste Change-Control-Fenster für Server in der DMZ ist vier Monate entfernt. Aufgrund der Zeitspanne zwischen Bewertung und verfügbarem Change-Fenster ist dies vermutlich nicht der beste Ausgangspunkt. Andererseits können gerade diese Systeme von besonders hohem Wert sein. Dann brauchen Sie anhand des Status sofort eine Einschätzung, oder die Möglichkeit im Notfall sofort ein Change Control-Fenster einzurichten. Etwa, wenn man eine Schwachstelle beheben muss, zu der es bereits Exploits gibt. Der Wenn Sie ein CMM zusammen mit einer realistischen internen Priorisierung für die wichtigsten Vermögenswerte einsetzen, sind Sie einigermaßen für den weiteren Aufstieg präpariert.

Lesen Sie hier den Teil 1 der Serie Die Tour auf den „Vulnerability Management Mountain“

Frank Augenstein, Senior Sales Engineer D/ACH
Frank Augenstein
Senior Sales Engineer D/ACH, Tripwire

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Automatisierung
Mai 26, 2020

Unternehmen müssen integrierte Automatisierungsstrategie verfolgen

Kofax, ein Anbieter von Intelligent Automation-Software für die Automatisierung und…
DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…
Schritte / Hacker mit Hoody
Dez 10, 2019

Software Vulnerability Management: Hackern zwei Schritte voraus

Der Kampf gegen Hackerangriffe gleicht einem Formel-1-Rennen: Der Schnellste gewinnt.…

Weitere Artikel

Cybersecurity Home

Corona-Lockdown sorgt für wachsendes Bewusstsein für Cybersicherheit

Trend Micro veröffentlicht heute neue Umfrageergebnisse, die zeigen, wie Mitarbeiter im Homeoffice mit der Cybersicherheit umgehen. Nahezu drei Viertel der Remote-Mitarbeiter (72 Prozent weltweit, 69 Prozent in Deutschland) geben an, dass sie sich seit Beginn…
Endpoint

Mit effektivem Endpoint Management gegen die Komplexität

Die aktuelle Krise, die durch die Corona-Pandemie ausgelöst wurde, hat die Art und Weise, wie Unternehmen arbeiten, radikal verändert: Traditionelle IT-Infrastrukturen mussten umgekrempelt und dezentrale Netzwerke sowie Cloud-basierte Dienste eingeführt…
Home Office Security

Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie

Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat natürlich Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu…
Cybersecurity

Warum Zero Trust Security?

Das Zero-Trust-Modell für Datensicherheit beruht auf zwei Grundsätzen. Erstens: Vertrauen ist etwas, das missbraucht werden kann. Zweitens: Der sichere Zugriff auf Daten sollte dadurch verstärkt werden, dass der Zugriff auf Netzwerkebene autorisiert wird.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!