Anzeige

Bergtour

In den voran gegangen Beiträgen dieser Reihe zum Thema Vulnerability Management haben wir zunächst die Grundlagen geschaffen und uns bereits mit den ersten Stufen der VM Maturity befasst. Konzentrieren wir uns nun darauf, wie Sie Ihr Programm am besten optimieren.

In einem ausgereiften VM-Programm finden Assessments mindestens jede Woche statt, und die Schwachstellen werden zügig behoben. Um im Bild zu bleiben: Der Aufstieg wird jetzt steiler, aber Sie haben deutlich mehr Transparenz über die Systeme im Netzwerk und eine klare Vorstellung vom Ziel. Inzwischen sollten alle kritischen Systeme der Umgebung identifiziert und der vollständige Hardware- und Software-Bestand erfasst und gut dokumentiert sein.

Aber jedes Jahr werden tausende von Schwachstellen veröffentlicht. Kein Unternehmen oder Produkt erkennt sie alle. Man ist also gezwungen, die gefundenen Schwachstellen zu priorisieren – je nach dem mit welchen das größte Risiko verbunden ist. Dazu muss man neben einer verlässlichen Risikoeinschätzung wissen, ob es bereits verfügbare Exploits gibt und welchen Stellenwert die betreffende Applikation oder das betreffende Produkt im Unternehmen hat.

Assessments priorisieren

Im Idealfall hat man die Möglichkeit alle Systeme zu bewerten, aber das ist kaum praktikabel. Realistischer ist es die Systeme zunächst zu priorisieren und danach die entsprechende Kadenz zu bestimmen. Dabei sollte man seine Aufmerksamkeit zunächst auf nach Außen gerichtete, kritische Systeme lenken. Assets, die für die Verfügbarkeit unerlässlich oder die in anderer Weise geschäftskritisch sind, sollte man mindestens einmal pro Tag bewerten.

Nicht nach Außen gerichtete, kritische Systeme sollte man mindestens alle drei Tage bewerten. Weitere wichtige Systeme sollten einmal wöchentlich ein Assessment durchlaufen und auf eine mögliche Kompromittierung hin untersucht werden. Darauf folgen Standardsysteme oder solche mit einer niedrigeren Priorität. Auch die Patch-Häufigkeit kann in diesen Bewertungszeiträumen eine Rolle spielen.

Unterschiedliche Arten von Assessments

Man kann eine Vielzahl unterschiedlicher Assessment-Technologien heranziehen, um sein Vulnerability Management-Programm zu unterstützen. Scanning wird im Allgemeinen in einige wenige Hauptkategorien unterteilt, je nachdem welche Arten von Systemen betroffen sind. Externe Assessments bewerten die Anfälligkeit eines Systems, ohne sich in das System einzuloggen. Bei dieser Art von Überprüfung schickt man Pakete an das Zielsystem und bestimmt den Anfälligkeitsstatus anhand der Antwort des Zielsystems. Interne Bewertungen verwenden die Anmeldeinformationen, um sich direkt am System einzuloggen. Für die eigentliche Schwachstellenbewertung werden Dateiversionen, Konfigurationen, RPM-Versionen, Registrierungsschlüssel usw. überprüft. Um hier zu korrekten Ergebnissen zu gelangen, ist für jedes System eine erhöhte Zugriffsberechtigung notwendig. 

Eine weitere wichtige Überlegung ist, ob und wie Sie agentenbasierte oder agentenlose Scantechniken einsetzen wollen. Beide haben Vor- und Nachteile. Will man ein VM-Programm effizient gestalten, empfiehlt es sich beide Varianten miteinander zu kombinieren. Agentenbasierte Scans sind beispielsweise hilfreich, weil man sie mit erhöhten Berechtigungen ausstatten kann, ohne Passwörter verwalten zu müssen. Dies ist für transiente Systeme wie Laptops von Vorteil, die sich zum Zeitpunkt eines geplanten Scans möglicherweise gerade nicht im Netzwerk befinden.

Tracking und Metriken

Wenn ein VM-Programm einen bestimmten Grad erreicht hat, bekommt das Erstellen und Tracken von Metriken Priorität. Man kann sogar damit anfangen die Bewertungsergebnisse zu tracken, nur um Trends zu ermitteln. Einige Metriken, die man auf jeden Fall in seine Überlegungen einbeziehen sollte:

  • Prozentualer Abdeckungsgrad im gesamten Unternehmen: Wie viel Prozent des Unternehmens werden derzeit bewertet? So bestimmen Sie, wo Lücken zu schließen sind. Stellen Sie sicher, dass der prozentuale Abdeckungsgrad im Laufe der Zeit nicht sinkt.
  • Anzahl der wirklich kritischen Schwachstellen: Diese Zahl basiert auf der Risikobewertung für eine Schwachstelle. Ein numerisches Scoring-System ermöglicht es, eine Höchstmarke festzulegen. Alle Probleme, die einen Wert aufweisen, der über dieser Marke liegt, sollten sofort behoben werden.
  • Mean Time to Resolution (MTR): Wie lange dauert es durchschnittlich, eine Schwachstelle zu beheben? Sinkt dieser Wert oder steigt er?
  • Time to Detect: Wie lange dauert es eine neue Schwachstelle nach ihrem Auftreten zu identifizieren? Tritt eine neue Schwachstelle auf, weil eine neue Anwendung installiert wurde – dauert es Minuten, Stunden, Tage oder sogar Wochen bis man sie entdeckt?

Weiter optimieren

In der Regel müssen Firmen etwas experimentieren, bis sie das richtige Risikoprofil und die entsprechenden Metriken gefunden haben. Die beste Vorgehensweise besteht darin, eine Definition zu finden, nach dieser drei bis sechs Monate lang vorzugehen und sie dann bei Bedarf zu optimieren. Es sind oft mehrere Durchgänge erforderlich, bis man das Passende gefunden hat.

Ein ausgereiftes VM-Programm ist ein Grund zum Feiern. Nehmen Sie sich einen Moment Zeit und genießen sie die Aussicht, sobald alle Prozesse eingerichtet sind und gut laufen. Mit Set-and-Forget ist es natürlich nicht getan. Bauen Sie sukzessive auf der bisher geleisteten Arbeit auf und bringen Ihr VM-Programm auf ein zunehmend widerstandsfähigeres Niveau.

 

Hier können Sie Teil 1 lesen:

Die Tour auf den „Vulnerability Management Mountain“

Hier können Sie Teil 2 lesen:

So verlieren Sie bei der Besteigung des Vulnerability Management Mountain nicht den Überblick

Hier können Sie Teil 3 lesen:

Höhe gewinnen am Vulnerability Management Mountain: Best Practices

Frank Augenstein, Senior Sales Engineer D/ACH
Frank Augenstein
Senior Sales Engineer D/ACH, Tripwire

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Apps
Jul 02, 2020

Mit Rapid Application Development auf der Überholspur

p.p1 p.p2 span.s1 span.s2 Immer öfter hört man im deutschen Markt, dass Unternehmen es…
Cloud Sicherheit
Jul 02, 2020

Die Top 3 unter den Bedrohungen und was man dagegen tun kann

p.p1 p.p2 Cloud-Sicherheit war bis vor nicht allzu langer Zeit für die meisten…
DSGVO
Jun 11, 2019

Ein Jahr nach Inkrafttreten: Tracken jetzt alle DSGVO konform?

Sie erinnern sich? Am 25. Mai 2018 – dem Tag ihres Inkrafttretens – war die Europäische…

Weitere Artikel

Phishing

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das Unternehmen auch , wie KI-Fortschritte von Cyberangreifern genutzt werden könnten.
Data Science

Wie KI-Teams Cyberangreifer stoppen können

Trotz der erstaunlichen Fortschritte bei der Leistung der künstlichen Intelligenz in den letzten Jahren ist keine KI perfekt. Tatsächlich wird die Unvollkommenheit einer KI in der Regel durch die Messung der Genauigkeit des Modells an einem Testdatensatz…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!