Ein kürzlich veröffentlichter Bericht von Security Navigator zeigt, dass Unternehmen immer noch 215 Tage brauchen, um eine gemeldete Sicherheitslücke zu schließen. Selbst bei kritischen Schwachstellen dauert es in der Regel mehr als 6 Monate, bis sie gepatcht sind.
Bei einem guten Schwachstellenmanagement geht es nicht darum, schnell genug zu sein, um alle potenziellen Sicherheitslücken zu schließen. Es geht darum, sich auf die wirklichen Risiken zu konzentrieren, indem die Schwachstellen priorisiert werden, um die wichtigsten Schwachstellen zu beheben und die Angriffsfläche des Unternehmens so weit wie möglich zu verringern. Unternehmensdaten und Bedrohungsdaten müssen korreliert und automatisiert werden. Dies ist wichtig, damit die internen Teams ihre Abhilfemaßnahmen gezielt einsetzen können. Geeignete Technologien können die Form einer globalen Vulnerability Intelligence Platform annehmen. Eine solche Plattform kann dabei helfen, Schwachstellen anhand einer Risikobewertung zu priorisieren, damit sich die Unternehmen auf ihr tatsächliches Unternehmensrisiko konzentrieren können.
Erste Schritte
Drei Fakten, die du im Hinterkopf behalten solltest, bevor du ein effektives Schwachstellenmanagementprogramm einführst:
1. Die Zahl der entdeckten Schwachstellen nimmt jedes Jahr zu. Jeden Tag werden durchschnittlich 50 neue Schwachstellen entdeckt, so dass wir leicht verstehen können, dass es unmöglich ist, sie alle zu flicken.
2. Nur einige Schwachstellen werden aktiv ausgenutzt und stellen ein sehr hohes Risiko für alle Unternehmen dar. Etwa 6 % aller Schwachstellen werden jemals in freier Wildbahn ausgenutzt[43]: Wir müssen die Belastung reduzieren und uns auf das wirkliche Risiko konzentrieren.
3. Dieselbe Schwachstelle kann völlig unterschiedliche Auswirkungen auf das Geschäft und die Infrastruktur von zwei verschiedenen Unternehmen haben, daher müssen sowohl die geschäftliche Gefährdung als auch der Schweregrad der Schwachstelle berücksichtigt werden. Auf der Grundlage dieser Fakten verstehen wir, dass es keinen Sinn macht, jede Schwachstelle zu patchen. Stattdessen sollten wir uns auf die Schwachstellen konzentrieren, die aufgrund der Bedrohungslage und des Unternehmenskontextes ein echtes Risiko darstellen.
Das Konzept des risikobasierten Schwachstellenmanagements
Das Ziel ist es, sich auf die kritischsten Anlagen und die Anlagen zu konzentrieren, die ein höheres Risiko haben, von Bedrohungsakteuren ins Visier genommen zu werden. Für ein risikobasiertes Schwachstellenmanagementprogramm müssen wir zwei Umgebungen berücksichtigen.
Die interne Umgebung
Die Landschaft der Kunden stellt die interne Umgebung dar. Die Netzwerke der Unternehmen wachsen und diversifizieren sich, und damit auch ihre Angriffsfläche. Die Angriffsfläche umfasst alle Komponenten des Informationssystems, die von Hackern erreicht werden können. Ein klarer und aktueller Überblick über dein Informationssystem und deine Angriffsfläche ist der allererste Schritt. Es ist auch wichtig, den geschäftlichen Kontext zu berücksichtigen. Je nach Branche können Unternehmen aufgrund ihrer spezifischen Daten und Dokumente (geistiges Eigentum, Verschlusssachen …) ein größeres Ziel sein. Das letzte Schlüsselelement, das es zu berücksichtigen gilt, ist der einzigartige Kontext des einzelnen Unternehmens. Das Ziel ist es, die Vermögenswerte nach ihrer Kritikalität zu klassifizieren und die wichtigsten hervorzuheben. Zum Beispiel: Vermögenswerte, deren Nichtverfügbarkeit die Geschäftskontinuität empfindlich stören würde, oder streng vertrauliche Vermögenswerte, die, wenn sie zugänglich wären, das Unternehmen für zahlreiche Klagen haftbar machen würden.
Das externe Umfeld
Die Bedrohungslandschaft stellt die externe Umgebung dar. Diese Daten sind nicht über das interne Netzwerk zugänglich. Unternehmen müssen über die personellen und finanziellen Ressourcen verfügen, um diese Informationen zu finden und zu verwalten. Alternativ kann diese Aufgabe an Fachleute ausgelagert werden, die die Bedrohungslandschaft im Namen der Organisation überwachen.
Es ist wichtig, die Schwachstellen zu kennen, die aktiv ausgenutzt werden, da sie ein höheres Risiko für ein Unternehmen darstellen. Diese aktiv ausgenutzten Schwachstellen können dank Threat Intelligence-Funktionen in Kombination mit Schwachstellendaten verfolgt werden. Um die effizientesten Ergebnisse zu erzielen, ist es sogar noch besser, die Bedrohungsdatenquellen zu vervielfachen und sie miteinander zu korrelieren. Das Verständnis der Aktivitäten von Angreifern ist ebenfalls wertvoll, da es hilft, potenzielle Bedrohungen vorherzusehen. So können z. B. Informationen über einen neuen Zero-Day oder einen neuen Ransomware-Angriff rechtzeitig genutzt werden, um einen Sicherheitsvorfall zu verhindern.
Die Kombination und das Verständnis beider Umgebungen hilft Unternehmen, ihr tatsächliches Risiko zu definieren und effizienter zu bestimmen, wo Präventions- und Abhilfemaßnahmen eingesetzt werden sollten. Es ist nicht nötig, Hunderte von Patches aufzuspielen, sondern eher zehn ausgewählte, die die Angriffsfläche eines Unternehmens drastisch reduzieren.
Fünf wichtige Schritte zur Umsetzung eines risikobasierten Schwachstellenmanagementprogramms
- Identifizierung: Identifiziere alle deine Assets, um deine Angriffsfläche zu entdecken: Ein Discovery Scan kann helfen, einen ersten Überblick zu bekommen. Starte dann regelmäßige Scans deiner internen und externen Umgebungen und gib die Ergebnisse an die Vulnerability Intelligence Platform weiter.
- Kontextualisierung: Konfiguriere deinen Unternehmenskontext sowie die Kritikalität deiner Assets in der Vulnerability Intelligence Platform. Die Scan-Ergebnisse werden dann mit einer spezifischen Risikoeinstufung pro Asset kontextualisiert.
- Anreicherung: Die Scan-Ergebnisse müssen mit zusätzlichen Quellen angereichert werden, die von der Vulnerability Intelligence Platform zur Verfügung gestellt werden, wie z.B. Bedrohungsdaten und Angreiferaktivitäten, die helfen, Prioritäten in der Bedrohungslandschaft zu setzen.
- Behebung: Dank der Risikoeinstufung pro Schwachstelle, die mit Threat Intelligence-Kriterien wie z. B. „leicht ausnutzbar“, „in freier Wildbahn ausgenutzt“ oder „weit verbreitet“ abgeglichen werden kann, ist es viel einfacher, die Prioritäten bei der Behebung von Schwachstellen zu setzen.
- Auswertung: Überwache und messe den Fortschritt deines Schwachstellenmanagementprogramms mit Hilfe von KPIs und individuellen Dashboards und Berichten. Das ist ein kontinuierlicher Verbesserungsprozess!
Dies ist ein Bericht aus der Praxis, der im Security Navigator Report 2023 zu finden ist . Mehr über Schwachstellen und andere interessante Themen wie Malware-Analysen und Cyber-Erpressung sowie jede Menge Fakten und Zahlen zur Sicherheitslandschaft findest du im vollständigen Bericht. Du kannst den über 120 Seiten starken Bericht kostenlos auf der Orange Cyberdefense Website herunterladen. Sieh ihn dir an, es lohnt sich!
Hinweis: Dieser informative Artikel wurde von Melanie Pilpre, Produktmanagerin bei Orange Cyberdefense, verfasst.