Wie sieht es mit Ihrem Schwachstellenmanagement aus? Ist es effektiv? Ein Erfolg? Seien wir ehrlich, ohne die richtigen Kennzahlen oder Analysen können Sie nicht sagen, wie gut Sie sind, wie Sie Fortschritte machen oder ob Sie eine Rendite erzielen. Wenn Sie nicht messen, wie wissen Sie, ob es funktioniert? Selbst wenn Sie messen, können fehlerhafte Berichte oder die Konzentration auf die falschen Kennzahlen Blindstellen erzeugen und es schwieriger machen, Risiken für das Unternehmen zu kommunizieren.
Wie wissen Sie also, worauf Sie sich konzentrieren sollten? Cyber-Hygiene, Scan-Abdeckung, durchschnittliche Zeit zur Behebung, Schwere der Schwachstellen, Behebungsrate, Schwachstellenaussetzung… die Liste ist endlos. Jedes Tool auf dem Markt bietet verschiedene Kennzahlen an, daher kann es schwer sein zu wissen, was wichtig ist.
Dieser Artikel hilft Ihnen dabei, die wichtigsten Kennzahlen zu identifizieren und zu definieren, die Sie verfolgen müssen, um den Zustand Ihres Schwachstellenmanagement-Programms und den Fortschritt, den Sie gemacht haben, zu verfolgen.
Dafür können Sie revisionssichere Berichte erstellen, die folgendes erreichen:
- Beweisen Sie Ihre Sicherheitslage.
- Einhaltung von Schwachstellenbehebungs-Service Level Agreements (SLAs) und Benchmarks.
- Helfen Sie bei Audits und Sicherheitskontrollen.
- Zeigen Sie den ROI Ihrer Sicherheitstools.
- Vereinfachen Sie die Risikoanalyse.
- Priorisieren Sie die Ressourcenzuweisung.
Warum Sie das Schwachstellenmanagement messen müssenKennzahlen spielen eine entscheidende Rolle bei der Beurteilung der Wirksamkeit Ihres Schwachstellen- und Angriffsflächenmanagements. Durch das Messen, wie schnell Sie Schwachstellen finden, priorisieren und beheben, können Sie Ihre Sicherheitslage kontinuierlich überwachen und optimieren.
Mit der richtigen Analytik können Sie sehen, welche Probleme wichtiger sind, was zuerst behoben werden muss, und den Fortschritt Ihrer Bemühungen messen. Letztendlich ermöglichen Ihnen die richtigen Kennzahlen fundierte Entscheidungen, damit Sie Ressourcen an den richtigen Stellen zuweisen.
Die Anzahl der gefundenen Schwachstellen ist immer ein guter Ausgangspunkt, sagt jedoch isoliert betrachtet nicht viel aus – ohne Priorisierung, Beratungsdokumente und Fortschritt, wo fangen Sie an? Das Auffinden, Priorisieren und Beheben Ihrer wichtigsten Schwachstellen ist für Ihre Geschäftsabläufe und die Datensicherheit wichtiger, als einfach nur jede Schwachstelle zu finden. Eine intelligente Priorisierung und das Filtern von irrelevanten Informationen sind wichtig, da es leicht ist, echte Sicherheitsbedrohungen zu übersehen, wenn man von unwichtigen Informationen überflutet wird. Intelligente Ergebnisse erleichtern Ihre Arbeit, indem sie Probleme priorisieren, die sich wirklich auf Ihre Sicherheit auswirken, ohne Sie mit irrelevanten Schwächen zu belasten.
Zum Beispiel sind Ihre dem Internet zugewandten Systeme die einfachsten Ziele für Hacker. Die Priorisierung von Problemen, die dies offenlegen, erleichtert die Minimierung Ihrer Angriffsfläche. Tools wie Intruder machen das Schwachstellenmanagement auch für Nicht-Experten einfach, indem sie die tatsächlichen Risiken erklären und Hilfestellungen zur Behebung in verständlicher Sprache bieten. Aber neben der Priorisierung, was sollten Sie noch messen?
Die fünf wichtigsten Kennzahlen für jedes Schwachstellenmanagement-Programm
Scan-Abdeckung
Was verfolgen und scannen Sie? Die Scan-Abdeckung umfasst alle Assets, die Sie abdecken, und die Analyse aller geschäftskritischen Assets und Anwendungen sowie die Art der angebotenen Authentifizierung (z. B. benutzername- und kennwortbasiert oder nicht authentifiziert).
Da sich Ihre Angriffsfläche im Laufe der Zeit weiterentwickelt, ändert und vergrößert, ist es wichtig, Änderungen in Bezug auf das abgedeckte und Ihre IT-Umgebung zu überwachen, wie beispielsweise kürzlich geöffnete Ports und Dienste. Ein moderner Scanner erkennt Bereitstellungen, von denen Sie nichts wussten, und verhindert, dass Ihre sensiblen Daten unbeabsichtigt freigelegt werden. Er sollte auch Ihre Cloud-Systeme auf Änderungen überwachen, neue Assets entdecken und Ihre IPs oder Hostnamen automatisch mit Cloud-Integrationen synchronisieren.
Durchschnittliche Zeit zur Behebung
Die Zeit, die Ihr Team benötigt, um Ihre kritischen Schwachstellen zu beheben, zeigt, wie reaktionsschnell Ihr Team ist, wenn es auf die Ergebnisse von gemeldeten Schwachstellen reagiert. Diese Zeit sollte konstant niedrig sein, da das Sicherheitsteam für die Behebung von Problemen und die Kommunikation von Maßnahmen zur Beseitigung gegenüber dem Management verantwortlich ist. Sie sollte auch auf Ihren vordefinierten SLAs basieren. Die Schwere der Schwachstelle sollte eine entsprechende relative oder absolute Zeit für Planung und Behebung vorsehen.
Risikobewertung
Die Schwere jedes Problems wird automatisch von Ihrem Scanner berechnet, üblicherweise als kritisch, hoch oder mittel. Wenn Sie sich entscheiden, eine bestimmte oder eine Gruppe von Schwachstellen innerhalb eines bestimmten Zeitraums nicht zu patchen, akzeptieren Sie ein Risiko. Mit Intruder können Sie eine Schwachstelle pausieren, wenn Sie das Risiko akzeptieren und es entlastigende Faktoren gibt.
Wenn Sie beispielsweise mit einer SOC2- oder ISO-Prüfung beginnen und Sie ein kritisches Risiko sehen, sind Sie möglicherweise bereit, es zu akzeptieren, da der Aufwand für die Behebung nicht durch das tatsächliche Risiko oder das mögliche Ausmaß auf das Geschäft gerechtfertigt ist. Natürlich möchte Ihr CTO bei der Berichterstattung wissen, wie viele Probleme pausiert wurden und warum!
Zeit bis zur Erkennung von Problemen
Dies ist der Zeitraum von der öffentlichen Bekanntgabe einer Schwachstelle bis zur Erkennung aller Ziele und der Erkennung von Problemen. Im Wesentlichen geht es darum, wie schnell Schwachstellen über Ihre Angriffsfläche erkannt werden, damit Sie sie beheben und das Angriffsfenster für einen Angreifer verringern können.
Was bedeutet das in der Praxis? Wenn Ihre Angriffsfläche wächst, kann es länger dauern, alles umfassend zu scannen, und Ihre mittlere Zeit bis zur Erkennung kann ebenfalls steigen. Umgekehrt, wenn Ihre mittlere Zeit zur Erkennung konstant bleibt oder sinkt, nutzen Sie Ihre Ressourcen effektiv. Wenn Sie das Gegenteil feststellen, sollten Sie sich fragen, warum es länger dauert, Dinge zu erkennen? Und wenn die Antwort ist, dass sich die Angriffsfläche vergrößert hat, sollten Sie vielleicht mehr in Ihre Tools und Ihr Sicherheitsteam investieren.
Fortschrittsmessung
Priorisierung oder intelligente Ergebnisse sind wichtig, um zu entscheiden, was zuerst behoben werden soll, weil es potenzielle Auswirkungen auf Ihr Unternehmen hat. Intruder filtert den Lärm und hilft, falsche positive Ergebnisse zu reduzieren. Dies ist eine wichtige Metrik, die verfolgt werden sollte, denn wenn Sie die Menge an Lärm reduzieren, können Sie sich auf die wichtigste Kennzahl konzentrieren – die durchschnittliche Zeit bis zur Behebung.
Warum ist das wichtig? Weil wenn Sie ein Problem finden, möchten Sie es so schnell wie möglich beheben können. Tools wie Intruder verwenden mehrere Scan-Engines, um die Ausgabe zu interpretieren und die Ergebnisse entsprechend dem Kontext zu priorisieren, damit Sie Zeit sparen und sich auf das konzentrieren können, was wirklich wichtig ist.
Wenn eine neue Schwachstelle identifiziert wird, die Ihre Systeme kritisch beeinflussen könnte, startet Intruder automatisch einen Scan.
Überwachung der Angriffsfläche
Dies hilft Ihnen, den Prozentsatz der geschützten Assets über Ihre Angriffsfläche, entdeckte oder unentdeckte, zu sehen. Wenn Ihr Team neue Anwendungen startet, sollte der Schwachstellenscanner überprüfen, wenn ein neuer Dienst freigegeben wird, damit Sie verhindern können, dass Daten unbeabsichtigt freigelegt werden. Moderne Scanner überwachen Ihre Cloud-Systeme auf Änderungen, finden neue Assets und synchronisieren Ihre IPs oder Hostnamen mit Ihren Integrationen.
Warum ist das wichtig? Ihre Angriffsfläche wird sich im Laufe der Zeit zwangsläufig verändern, von offenen Ports bis hin zur Erstellung neuer Cloud-Instanzen. Sie müssen diese Veränderungen überwachen, um Ihre Exposition zu minimieren. Daher ist die Entdeckung neuer Dienste innerhalb des festgelegten Zeitraums eine Kennzahl, die Ihnen hilft zu verstehen, ob Ihre Angriffsfläche wächst (ob beabsichtigt oder nicht).
Warum diese Kennzahlen wichtig sind
Moderne Tools für das Angriffsflächenmanagement wie Intruder messen das, was am wichtigsten ist. Sie helfen Ihnen, Berichte für Stakeholder zu erstellen und die Einhaltung von Schwachstellen mit Priorisierung und Integrationen in Ihre Tools zur Problembeseitigung sicherzustellen. Sie können sehen, was anfällig ist und die genauen Prioritäten, Lösungen, Einblicke und Automatisierung erhalten, die Sie zur Verwaltung Ihres Cyberrisikos benötigen.