Der ultimative Leitfaden für das Schwachstellen-Management

Was ist risikobasiertes Schwachstellenmanagement?

Das risikobasierte Schwachstellenmanagement (Risk-based Vulnerability Management, RBVM) ist ein moderner Ansatz zur Priorisierung und Behebung von Schwachstellen auf der Grundlage der spezifischen Risiken, die sie für eine Organisation darstellen. Im Gegensatz zum herkömmlichen Schwachstellenmanagement, bei dem der Schwerpunkt häufig auf der schieren Anzahl der Schwachstellen liegt, geht RBVM noch einen Schritt weiter und bezieht zusätzlichen Kontext mit ein, wie etwa Kritikalität der Assets, Ausnutzbarkeit und Threat Intelligence.

Im Kern bewertet RBVM Schwachstellen nicht isoliert, sondern als Teil eines umfassenderen Risikoprofils. Es wird betont, wie wichtig es ist, die Gegenmaßnahmen mit der Risikotoleranz, den Geschäftszielen und der allgemeinen Sicherheitslage des Unternehmens in Einklang zu bringen. Durch die Priorisierung von Schwachstellen nach ihrem tatsächlichen Risiko und nicht nach ihrem theoretischen Schweregrad können Organisationen kritische Systeme und Daten besser schützen.

Herkömmliches VM vs. RBVM

Der entscheidende Unterschied zwischen traditionellem Schwachstellenmanagement und RBVM liegt in der Art und Weise, wie Prioritäten gesetzt werden. Herkömmliche Ansätze behandeln oft alle Schwachstellen gleich und konzentrieren sich darauf, so viele wie möglich zu patchen oder zu beheben, ohne deren Relevanz oder Auswirkungen zu berücksichtigen. Dies kann dazu führen, dass Aufwand bei Problemen mit geringem Risiko vergeudet wird, während kritische Schwachstellen unbeachtet bleiben.

RBVM hingegen ist strategischer. Es nutzt Automatisierung, Threat Intelligence und kontextbezogene Daten, um zu erkennen, welche Schwachstellen aktiv angegriffen werden oder das größte Potenzial haben, den Betrieb zu stören. Diese Verlagerung von Quantität zu Qualität stellt sicher, dass die Unternehmen ihre Zeit und Ressourcen dort einsetzen, wo sie am wichtigsten sind.

Vulnerability Management vs. Vulnerability Assessment

Im Allgemeinen ist ein Vulnerability Assessment (Schwachstellenbewertung) ein Teil des vollständigen Vulnerability Management-Programms. Organisationen führen wahrscheinlich mehrere Schwachstellenbewertungen durch, um mehr Informationen zu ihrem allgemeinen VM-Aktionsplan zu erhalten. 

Mit kontinuierlicher Schwachstellenüberwachung immer einen Schritt voraus

Bedrohungen und Angreifer ändern sich ständig, genauso wie Unternehmen ständig neue mobile Geräte, Cloud-Dienste, Netzwerke und Anwendungen in ihre Umgebung einfügen. Bei jeder Änderung besteht das Risiko, dass in einem Netzwerk ein neues Loch geöffnet wird, das es Angreifern ermöglicht, sich Zutritt zu verschaffen und mit wertvollen Daten zu verschwinden.

Jedes Mal, wenn Sie einen neuen Partner, Mitarbeiter, Klienten oder Kunden gewinnen, öffnen Sie Ihr Unternehmen für neue Möglichkeiten, aber Sie setzen es auch neuen Schwachstellen, Angriffen und Bedrohungen aus. Ihr Unternehmen gegen diese Bedrohungen zu schützen, erfordert eine VM-Lösung, die mit diesen Änderungen Schritt halten und sich an alle diese Änderungen anpassen kann.

Wenn diese Mitarbeiter ins Netzwerk kommen, spielt IT Asset Management (ITAM) eine entscheidende Rolle bei der effektiven Schwachstellenüberwachung. Eine klare und aktuelle Bestandsaufnahme aller Assets – egal, ob sie sich On-Premises, in der Cloud oder als Teil von Remote-Arbeitsplätzen befinden – ermöglicht es Organisationen, mögliche Schwachstellen genau zu ermitteln.

Durch die Abstimmung der Asset-Management-Praktiken mit einem VM-Programm erhalten Organisationen einen Überblick darüber, was geschützt werden muss, wie kritisch diese Assets sind und welche Maßnahmen zur Risikominderung am besten getroffen werden. Dieses grundlegende Element stellt sicher, dass VM-Bemühungen angesichts des ständigen Wandels zielgerichtet und effizient bleiben.

4-stufiger Schwachstellen-Managementprozess

Jede Phase des VM-Workflows spielt eine entscheidende Rolle bei der Reduzierung von Risiken und der Verbesserung der allgemeinen Sicherheitslage. Durch den Einsatz von Tools wie Schwachstellenscannern, die Ausrichtung an risikobasierten Frameworks und die Validierung von Schwachstellen können Organisationen ihre Bemühungen kontinuierlich verfeinern, um sich auf die Beseitigung der wichtigsten Bedrohungen zu konzentrieren und gleichzeitig die betriebliche Belastbarkeit zu erhöhen.

Schritt 1: Schwachstellenscan durchführen

Das Herzstück einer typischen VM-Lösung ist ein Schwachstellenscanner. Der Scan besteht aus vier Phasen:

1. Scannen Sie über das Netzwerk erreichbare Systeme, indem Sie sie anpingen oder ihnen TCP/UDP-Pakete senden
2. Identifizieren Sie offene Ports und Dienste, die auf gescannten Systemen ausgeführt werden
3. Wenn möglich, melden Sie sich remote bei Systemen an, um detaillierte Systeminformationen zu sammeln
4. Korrelieren Sie Systeminformationen mit bekannten Schwachstellen

Schwachstellenscanner können eine Vielzahl von Systemen in einem Netzwerk erkennen, wie Laptops und Desktops, virtuelle und physische Server, Datenbanken, Firewalls, Switches, Drucker usw. Identifizierte Systeme werden auf verschiedene Attribute untersucht: Betriebssystem, offene Ports, installierte Software, Benutzerkonten, Dateisystemstruktur, Systemkonfigurationen und vieles mehr.

Diese Informationen werden dann verwendet, um bekannte Schwachstellen mit den gescannten Systemen zu verknüpfen. Um diesen Zusammenhang herstellen zu können, nutzen Schwachstellenscanner eine Schwachstellen- und Exploitdatenbank, die eine Liste mit veröffentlichten Schwachstellen enthält.

Die ordnungsgemäße Konfiguration von Schwachstellenscans ist ein wichtiger Bestandteil einer VM-Lösung. Schwachstellen-Scanner können manchmal die Netzwerke und Systeme stören, die sie scannen. Wenn während der Spitzenzeiten eines Unternehmens nicht genug Netzwerkbandbreite zur Verfügung steht, sollten Schwachstellenscans außerhalb der normalen Geschäftszeiten durchgeführt werden.

Sollten einige Systeme in einem Netzwerk instabil werden oder während des Scanvorgangs auf unvorhergesehene Weise reagieren, müssen sie möglicherweise von den Schwachstellenscans ausgeschlossen werden oder die Scans müssen nachjustiert werden, damit sie weniger Störungen verursachen.

Schritt 2: Schwachstellenbewertung

Nachdem Sicherheitslücken identifiziert wurden, müssen sie bewertet werden, damit die von ihnen ausgehenden Risiken angemessen und in Übereinstimmung mit dem Rahmen des Schwachstellen-Management-Programmseiner Organisation behandelt werden. VM-Plattformen bieten verschiedene Risikobewertungen und Scores für Schwachstellen, wie z. B. CVSS-Scores (Common Vulnerability Scoring System).

Diese Ergebnisse geben Unternehmen Auskunft darüber, auf welche Schwachstellen sie sich zuerst konzentrieren sollten. Jedoch hängt das echte Risiko einer jeden Schwachstelle von einigen anderen Faktoren ab, die über diese standardisierten Risikobewertungen und Scores hinausgehen.

RBVM geht bei der Schwachstellenanalyse noch einen Schritt weiter, indem es die Kritikalität der betroffenen Assets, die Ausnutzbarkeit der Schwachstelle und die möglichen Auswirkungen auf die Organisation im Falle einer Ausnutzung berücksichtigt. Es richtet die VM-Bemühungen auf die einzigartige Risikotoleranz und die betrieblichen Prioritäten einer Organisation aus und stellt sicher, dass Ressourcen bereitgestellt werden, um zuerst die dringendsten Bedrohungen zu bekämpfen. Durch die Integration von RBVM-Prinzipien können Organisationen über statische Bewertungssysteme hinausgehen und eine dynamische, kontextsensitive Strategie entwickeln, die die Sicherheit ihrer wertvollsten Assets gewährleistet.

Wie jedes Sicherheitstool sind Schwachstellenscanner nicht perfekt. Ihre falsch positive Quote bei der Erkennung von Schwachstellen ist zwar niedrig, aber dennoch größer als null. Die Durchführung von Schwachstellen-Validierungen mittels Penetrationstest-Tools und -Verfahren trägt dazu bei, falsch positive Ergebnisse auszumerzen, damit Unternehmen ihre Aufmerksamkeit auf den Umgang mit echten Schwachstellen richten können.

Die Ergebnisse von Schwachstellen-Validierungen oder umfangreichen Penetrationstests sind häufig eine aufschlussreiche Erfahrung für Unternehmen, die überzeugt waren, dass sie ausreichende Sicherheitsvorkehrungen getroffen hatten oder dass die Schwachstelle gar nicht so riskant wäre.

Schritt 3: Schwachstellen priorisieren und beheben

Nachdem eine Schwachstelle validiert und als Risiko eingestuft wurde, besteht der nächste Schritt darin, zu priorisieren, wie diese Schwachstelle behandelt werden soll:

• Behebung (Remediation): Vollständiges Beheben oder Patchen einer Schwachstelle, damit sie nicht ausgenutzt werden kann. Das will man im Idealfall erreichen.
• Schadensbegrenzung (Mitigation): Verringerung der Wahrscheinlichkeit und/oder Auswirkung einer Ausnutzung einer Schwachstelle. Dies ist manchmal notwendig, wenn ein entsprechender Fix oder Patch für die identifizierte Schwachstelle noch nicht zur Verfügung steht.
• Akzeptanz:Keine Maßnahmen ergreifen, um die Wahrscheinlichkeit/Auswirkung, dass eine Schwachstelle ausgenutzt wird, zu beheben oder anderweitig zu reduzieren.Dies ist typischerweise gerechtfertigt, wenn eine Schwachstelle als ein geringes Risiko eingestuft wird, und die Kosten für die Behebung der Schwachstelle wesentlich höher sind als die Kosten, die einem Unternehmen entstehen, sollte die Schwachstelle ausgenutzt werden.

Nach Abschluss der Beseitigungsmaßnahmen empfiehlt es sich an, einen weiteren Schwachstellenscan durchzuführen, um sicher zu gehen, dass die Schwachstelle vollständig beseitigt wurde.

Allerdings müssen nicht alle Schwachstellen behoben werden. Wenn beispielsweise der Schwachstellenscanner einer Organisation Schwachstellen in Adobe Flash Player auf ihren Computern identifiziert hat, Adobe Flash Player jedoch vollständig für die Verwendung in Webbrowsern und anderen Clientanwendungen deaktiviert wurde, könnten diese Schwachstellen durch eine kompensierende Kontrolle als ausreichend gemindert angesehen werden.

Schritt 4: Kontinuierliches Schwachstellenmanagement

Die Durchführung regelmäßiger und kontinuierlicher Schwachstellenbewertungen erlaubt es Unternehmen, im Laufe der Zeit die Geschwindigkeit und die Effizienz ihres VM-Programms zu verstehen. VM-Tools besitzen normalerweise mehrere Optionen für den Export und die Visualisierung der in Schwachstellenscans gesammelten Daten mittels einer Vielzahl von anpassbaren Berichten und Dashboards.

Dies erleichtert IT-Teams nicht nur das Verständnis dessen, welche Beseitungsverfahren ihnen helfen, den größten Teil der Schwachstellen mit möglichst geringem Aufwand zu beheben oder unterstützt Sicherheitsteams dabei, Schwachstellentrends in verschiedenen Teilen ihres Netzwerks zu überwachen, sondern es hilft Unternehmen auch bei der Einhaltung von Compliance- und regulatorischen Anforderungen.

Automatisierung des Schwachstellenmanagements

Ein VM-System kann helfen, den VM-Prozess zu automatisieren und die Identifizierung, Bewertung und Behandlung von Schwachstellen auf der gesamten Angriffsfläche eines Unternehmens zu optimieren. Diese Systeme verwenden in der Regel eine Kombination aus Schwachstellen-Scannern und Endpunkt-Agenten, um die Systeme in einem Netzwerk zu inventarisieren, Schwachstellen zu identifizieren und deren mögliche Auswirkungen zu bewerten. Werfen wir einen Blick darauf, wie VM-Automatisierung in verschiedenen Szenarien eingesetzt werden kann.

Erweiterte Tests

Um sicherzustellen, dass Schwachstellen effektiv behoben werden, können Organisationen die automatisierte VM in umfassendere Cybersecurity-Praktiken wie Penetrationstests und Simulationen von Sicherheitsverletzungen und Angriffen (BAS) integrieren. Penetrationstests validieren Schwachstellen, indem sie reale Angriffe simulieren und so kritische Erkenntnisse über deren Ausnutzbarkeit und potenzielle Auswirkungen auf das Geschäft liefern.

In ähnlicher Weise unterstützen BAS-Tools Unternehmen dabei, ihre Abwehrmaßnahmen kontinuierlich zu testen, indem sie automatisierte, skalierbare Möglichkeiten bieten, Schwachstellen zu identifizieren und die Stärke vorhandener Kontrollen zu bewerten.

Kollaborative Teams

VM-Automatisierung kann auch von der Einbeziehung der Methoden des Red Teams, des Blue Teams und des Purple Teams profitieren. Automatisierte Tools können praxisrelevante Daten generieren, mit denen Red Teams offensive Taktiken simulieren und Schwachstellen in Systemen bewerten können.

Diese Daten können dann den Blue Teams bei ihren Bemühungen zur Stärkung der Abwehrmaßnahmen und zur proaktiven Risikominimierung zugutekommen. Purple Teams können als Brücke fungieren und automatisierte Erkenntnisse nutzen, um die Zusammenarbeit zwischen roten und blauen Teams zu erleichtern und so sicherzustellen, dass beide Strategien in Echtzeit verfeinert werden.

Exposure Management

Ein automatisiertes VM-Programm sollte nicht isoliert, sondern als Teil einer umfassenderen Exposure Management-Strategie betrieben werden. Durch die Integration mit ASM-Tools (Attack Surface Management) erhalten Unternehmen einen kontinuierlichen Einblick in ihre dynamischen digitalen Fußabdrücke, einschließlich Schatten-IT- und Cloud-Umgebungen. ASM stellt sicher, dass automatisierte Systeme die richtigen Assets scannen, auch wenn neue Geräte, Anwendungen und Dienste hinzugefügt werden.

Implementierung einer risikobasierten Priorisierung in das Exposure-Management

Die Integration einer risikobasierten Priorisierung in ein Exposure-Management-Programm ist unerlässlich, um die Anstrengungen auf die wichtigsten Schwachstellen und Bedrohungen zu konzentrieren. Durch die Ausrichtung der VM an Geschäftszielen und Risikotoleranz können Unternehmen ihre Ressourcen optimieren und gleichzeitig ihre Angriffsfläche effektiv reduzieren. Sehen wir uns an, wie Sie die risikobasierte Priorisierung zu einem Kernbestandteil einer Gefährdungsmanagement-Strategie machen können:

• Erstellen Sie ein genaues Inventar der Assets, einschließlich On-Premises-, Cloud- und Remote-Systemen. Nur wenn Sie wissen, was Sie haben, können Sie erkennen, welche Assets am wichtigsten sind und prioritär geschützt werden müssen.
• Integrieren Sie Threat Intelligence, um Schwachstellen zu identifizieren, die aktiv ausgenutzt werden. Mithilfe dieser Daten können Sie Risiken kontextualisieren und sicherstellen, dass Ihre Priorisierung mit den realen Bedrohungen übereinstimmt.
• Weisen Sie jedem Asset einen Business Impact Score zu, der auf seiner Rolle in Ihrer Organisation basiert. Teams sollten sich zunächst mit Schwachstellen in Systemen befassen, die kritische Abläufe oder sensible Daten unterstützen.
• Integrieren Sie Risikobewertungen - wie CVSS-Scores - mit zusätzlichen Risikofaktoren, wie z.B. Ausnutzbarkeit, Wahrscheinlichkeit eines Angriffs und mögliche Auswirkungen auf Ihr Unternehmen.
• Nutzen Sie Automatisierung und Analytics, um Daten aus Schwachstellen-Scans, Asset-Management-Systemen und Threat Intelligence-Feeds zu korrelieren. Fortschrittliche Analytics können helfen, Trends zu erkennen und Bereiche mit hohem risk effizienter hervorzuheben.
• Führen Sie regelmäßig eine Schwachstellenvalidierung durch Penetrationstests oder BAS durch, um sicherzustellen, dass die identifizierten Risiken real und umsetzbar sind.

Neueste Patch-Updates, Schwachstellen und Exploits

• Sehen Sie sich die neuesten Patches an, die von den Rapid7-Experten im Patch Tuesday-Blog gemeldet wurden
• Durchsuchen Sie die Vulnerability & Exploit Database nach aktualisierten Risiken
• Neueste Blogbeiträge zum Thema Vulnerability Management