Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit dem Unternehmen sich auseinandersetzen. Diesen Prozess effektiv zu gestalten ist alles andere als ein Spaziergang im Park. Der Vergleich mit einer ambitionierten Bergtour trifft es eher.
Bei der Implementierung eines ausgereiften VM-Programms ist viel sorgfältige Arbeit gefragt und gerade in den Anfangsphasen erscheint der Gipfel – um im Bild zu bleiben – so gut wie unerreichbar. Hat man aber die erforderlichen Anstrengungen unternommen wird man mit einer spektakulären Aussicht von oben belohnt.
Bevor wir an dieser Stelle tiefer in die Materie einsteigen, ist es sinnvoll einige Schlüsselbegriffe rund um VM zu klären. Die folgenden Definitionen gehen auf das NIST (National Institute for Standards and Technology) zurück:
- Schwachstelle: Schwachstelle in einem Informationssystem, innerhalb von Sicherheitsverfahren, internen Kontrollen oder bei der Implementierung, die von Bedrohungsakteuren ausgenutzt oder ausgelöst werden können.
- Asset: Alles, was innerhalb eines Unternehmens von Wert ist, wie z. B. ein anderes Unternehmen, eine Person, ein Computer, ein IT-System, ein IT-Netzwerk, ein IT-Schaltkreis, Software (sowohl installiert als auch physisch), eine virtuelle Computerplattform (wie in der Cloud und in der virtualisierten Datenverarbeitung üblich) und die zugehörige Hardware.
- Schwachstellenbewertung: Formale Beschreibung und Bewertung von Schwachstellen in einem Informationssystem.
- Behebung: Die eigentliche Beseitigung einer Schwachstelle oder einer Bedrohung.
Bitte nicht wie Sisyphos
Moderne Unternehmen haben mehr Endpunkte zu verwalten als jemals zuvor. Einige von ihnen sind vermutlich nur gelegentlich mit dem Netzwerk verbunden, was es zusätzlich erschwert, sie auf dem neuesten Stand zu halten. Der fluktuierende Zustand von Netzwerk und Geräten wird unter Umständen noch um einiges komplizierter. Vulnerability Management wird in der Cloud mit DevOps-Geschwindigkeit und in Umgebungen ausgeführt werden müssen, die elastisch, verteilt und dynamisch sind … die Liste ließe sich nahezu unendlich fortsetzen. Wenn Sie sich bei dem Gedanken, VM über eine so heikle Angriffsfläche laufen zu lassen, wie Sisyphos aus der griechischen Mythologie fühlen, ist das nur zu verständlich.
Kann man ein VM-Programm aber in überschaubare Einheiten aufgliedern. Ähnlich wie Sie es bei einer ambitionierten Bergtour tun würden: Sie müssen wissen, was Sie an Inventar berücksichtigen müssen und an Ausrüstung zur Verfügung haben und brauchen, sie wählen Ihre Partner sorgfältig aus und sie planen die Route anhand einer Karte des Geländes. Der Vulnerability Management-Plan entwickelt sich im Laufe der Zeit und sollte in jeder Phase klar und detailliert sein, und genau dokumentiert werden.
Bewerten Sie Ihr Inventar
Es klingt selbstverständlich zu wissen, welche Assets/Systeme es in einer Umgebung gibt. Die Frage nach dem tatsächlichen Bestand ist aber oft viel schwieriger zu beantworten als es auf den ersten Blick den Anschein hat. Das gilt verschärft für „Work-from-Home“- und „Bring-your-own-Device“-Umgebungen. Cloud und virtuelle Assets machen die Bestandsaufnahmen nicht leichter. Stellen Sie zunächst sicher, dass Ihre Configuration Management Database (CMDB) auf dem aktuellsten Stand ist. Der einfachste Weg, eine genaue Bewertung aller Systeme zu bekommen, ist ein eingehender Netzwerk-Scan.
Dazu gibt es sehr gut geeignete Vulnerability Management-Tools. Die sollten in jedem Fall alle IP-Adressen im Netzwerk scannen und die benötigten Informationen zu sämtlichen Systemen liefern.
Die Ausrüstung
Ohne die richtige Ausrüstung würden Bergsteiger schnell in große Schwierigkeiten geraten, genau wie Cybersicherheitsteams. Man muss schon eine ganze Menge Rechercheaufwand betreiben, um die geeigneten Tools zu finden, die im besten Falle ein optimales Preis-/Leistungsverhältnis bieten und mit der bestehenden Technologieumgebung gut zusammenspielen. Achten Sie darauf, die wesentlichen IT- und Sicherheitsprozesse zu integrieren.
Wählen Sie Ihre Partner aus
as Besteigen des VMM ist keine Solo-Tour. Zu einem erfolgreichen VM-Programm gehören Zusammenarbeit und der Informationsaustausch zwischen Penetrationstest-Teams, Sicherheitsberatern, Geschäftspartnern, Branchenkontakten usw. Entscheiden Sie sich für einen VM-Anbieter, der Ihnen Zugriff auf das Research-Team und die ermittelten Schwachstelleninhalte gewährt und Sie unterstützt.
Die Karte
Bevor Sie Ihr erstes automatisiertes VM-Tool käuflich erwerben oder bestehende Tools aufrüsten, sollten Sie Ihr Netzwerklayout und die spezifischen Anforderungen innerhalb der Umgebung kennen. Wie bei einer realen Bergbesteigung dürfen Sie die Umgebung nicht außer Acht lassen. Ob Sie einen Gipfel im Himalaja besteigen oder den Kilimandscharo, macht einen nicht ganz geringen Unterschied. Wenn Sie erfolgreich sein wollen, inventarisieren Sie auch die Anforderungen des betreffenden Netzwerks.
Setzen Sie im Unternehmen kurzlebige Assets ein, die im Netzwerk kommen und gehen? Brauchen Sie VM in Cloud- und Containerumgebungen? Wenn Sie sich diese Fragen frühzeitig stellen, hilft Ihnen das, wenn Sie in größere Höhen aufgestiegen sind. Sofern Sie keine sehr flache und überschaubare Netzwerkwerkumgebung haben, müssen Sie entscheiden, wie Sie Ihr Netzwerk für die Bewertung am besten segmentieren. Populär sind die Aufteilung nach Funktionsgruppen oder Geschäftseinheiten/Abteilungen, Ownership eines Systemadministrators und geografische Lage.
Wie die meisten komplexen Cybersicherheitsprozesse kann niemand VM an einem Tag perfekt implementieren oder es nach dem bekannten Motto „Einrichten und vergessen“ handhaben. Es braucht Zeit, den Gipfel der VM Maturity zu erreichen, und nicht selten ist der erste Schritt auch der schwierigste.