Der dritte Beitrag in unserer Reihe zum Thema Vulnerability Management untersucht, wie Sie Zeit und Aufwand senken, um sich auf die Priorisierung der wichtigsten Schwachstellen in Ihrem Unternehmen zu konzentrieren.
In den beiden vorangegangenen Beiträgen haben wir uns bereits mit den Grundlagen des Vulnerability Managements (VM) und den Vorbereitungen auf die Tour anhand des Capability Maturity Model beschäftigt.
Ohne ein geeignetes VM-Tool erfordert die Schwachstellenbewertung großen manuellen Aufwand. Der Mangel an qualifizierten Fachkräften in diesem Bereich verschärft die Situation. Kaum ein Unternehmen kann aus dem Stand seine Abteilung ausbauen. Firmen sind am besten gerüstet, wenn sie in eine automatisierte VM-Lösung investieren. Solche Lösungen senken den sonst notwendigen Zeitaufwand für das Sammeln von Schwachstellendaten.
Automatisieren des Asset Discovery
Sobald Sie Ihr VM-Programm soweit etabliert haben, so dass die Wichtigkeit und die einzelnen Prozesse von allen Beteiligten gut verstanden sind, ist es Zeit für eine vollständige Asset-Discovery-Mission. Zu Beginn dieser Phase sind allerdings viele Unternehmen über die Resultate ihrer Scans überrascht.
Nicht selten trifft man auf alte, aber zuverlässig arbeitende Systeme, die seit Jahren nicht mehr aktualisiert wurden. Schlicht, weil Administratoren oftmals zögern in funktionierende Systeme einzugreifen.
Solche Schwachstellen auszuräumen kann Schwerstarbeit sein, wenn Sie die Angriffsfläche signifikant verkleinern wollen.
Netzwerk in Zonen einteilen
In der ersten Phase der VM-Discovery bekommen Sie ein klares Bild davon, was sich an Systemen in Ihrem Netzwerk befindet und wie viele Schwachstellen insgesamt vorhanden sind. Die Investition in ein automatisiertes Scan-Tool ist eine gute Anlage, weil sie den manuellen Zeit- und Kostenaufwand erheblich verringert. Eine der wichtigsten Aufgaben bei der Verwendung der neuen Lösung besteht darin, das Netzwerk in logische Blöcke zu segmentieren, die zeitnah bewertet und bereinigt werden können.
Es gibt unterschiedliche Ansätze, wie man eine Netzwerkumgebung in Zonen aufteilen kann. Die richtige Wahl hängt von einer Vielzahl von Faktoren ab. Für kleinere Netzwerke mit 1.000 oder weniger Geräten ist es möglicherweise am besten, sie einfach in interne, externe und DMZ-Gruppen einzuordnen.
Wenn ein Unternehmen geografisch weit verstreute Niederlassungen oder Werke unterhält, sollten Sie die Netzwerke nach Land, Bundesland, Bezirk etc. aufteilen. Wenn sich der Mix an Betriebssystemen in Grenzen hält, ist die Aufteilung der Scans nach Betriebssystemen eine gute Option. Alternativ können Sie Systeme nach ihren „Ownern“, also den jeweiligen Besitzern, organisieren. Auf diese Weise lassen sich Berichte aufgegliedert nach Systemadministratoren und der Gruppe von Systemen erstellen, für die sie verantwortlich sind. Schließlich ist die Unterteilung von Systemen nach Typ eine gängige Variante. Wie etwa nach Notebooks, Webservern, Desktops, Netzwerkgeräten usw.
Es gibt eine ganze Reihe von Möglichkeiten, eine Umgebung in überschaubare Segmente zu unterteilen. Auch hier gibt es wie so oft keine allgemeingültig richtige Antwort. Entscheiden Sie sich für die Methode, die für das Netzwerk Ihres Unternehmens die geeignete ist. Im besten Falle können Sie die Segmentierung sich verändernden Bedingungen und Bedarfe anpassen.
Wann soll gescannt werden?
Die Entscheidung, wann genau man Schwachstellen-Scans am besten durchführt, ist für Sicherheitsteams eine schwierige Frage. Keiner will das Risiko eingehen, Geschäftsprozesse während der Geschäftszeiten zu stören oder zu unterbrechen. Erst recht nicht, wenn wichtige Systeme im Einsatz sind. Dies gilt etwa für Netzwerkgeräte, IP-Telefone, Drucker und dergleichen. Beginnen Sie mit Scans deshalb am besten nach Geschäftsschluss und überwachen Sie den Prozess auf Systemfehler, bis Sie sich sicher sind, dass es nicht zu Störungen kommt.
Neben dem „wann“ müssen Sie entscheiden „wie oft“ gescannt werden soll. Durchgängiges Scannen ist ein ambitioniertes Endziel. Aber die weitaus meisten Unternehmen müssen mit regelmäßigen Scans anfangen, bis ihr VM-Programm vollständig ausgereift ist. Zudem sollten die Scans mit den Patch-Veröffentlichungsterminen der Systemanbieter, wie Microsoft oder Cisco, abgestimmt werden.
Wer wiederum zu oft scannt, läuft Gefahr Ressourcen zu verschwenden. Zum Beispiel, weil niemand Zeit hat, angemessen auf die Ergebnisse zu reagieren. Systemadministratoren werden dann mit einer Fülle von Daten konfrontiert, die sie nicht bearbeiten können. Ein guter Ansatz ist es, den Zeitrahmen für die Durchführung des Scans genau zu planen. Beim nächsten Scan kann man dann die Ergebnisse und Probleme vergleichen und gegebenenfalls nachjustieren.
Ergebnisse priorisieren
Wenn Sie den Bericht zum Schwachstellen-Scan bekommen haben, gilt es, die Ergebnisse zu priorisieren. Das verwendete Tool hat die Schwachstellen möglicherweise in die Kategorien Kritisch, Hoch, Mittel, Niedrig oder nach CVSS sortiert. Ein häufiges Problem ist, dass die Ergebnisse in großen Gruppen zusammengefasst werden. Welche der 50 kritischen Schwachstellen ist dann konkret die kritischste? CVSS-gestütztes Gruppieren funktioniert an dieser Stelle etwas besser, fasst aber letzten Endes auch nur zusammen, so dass es auch hier schwierig ist, die wichtigsten Schwachstellen herauszufiltern.
Ein gutes VM-Tool sortiert die Ergebnisse logisch und granularer. Scheuen Sie sich nicht klein anzufangen, indem Sie das wichtigste System auswählen und sich zunächst nur mit diesen Schwachstellen vertraut machen. Ein Kriterium für die weitere Sortierung kann beispielsweise die Art des möglichen Exploits und seine Wahrscheinlichkeit sein. Ermitteln Sie dann die Schwachstellen, die sich am einfachsten ausnutzen lassen und die gleichzeitig den weitreichendsten Systemzugriff erlauben. Sie stellen das größte Risiko dar. Prüfen Sie anschließend, welche Informationen zur Behebung dieser Schwachstellen Ihnen vorliegen und gehen Sie dementsprechend vor.
Was nach den Grundlagen kommt
Auch wenn ein VM-Programm Probleme nur ad-hoc behebt, haben Sie jederzeit die Möglichkeit weitere Ziele festzulegen und Optimierungsprozesse einzuziehen. So ein Ziel kann beispielsweise sein, beim nächsten geplanten Scan Probleme zu beheben, die einen CVSS 9-Score oder höher aufweisen. Die Methode ist nicht perfekt, aber sie behebt einige der Probleme mit höchster Priorität.
Sie haben die Systeme innerhalb Ihres Netzwerks inventarisiert, eine Strategie zum Scannen dieser Assets entwickelt und Methoden evaluiert, die Ergebnisse zu priorisieren. Stellen Sie jetzt sicher, dass das VM-Programm schriftlich inklusive von Zielen und Vorgaben klar definiert ist. Es wird im Laufe der Zeit und mit der Größe Ihres Unternehmens wachsen und sich weiterentwickeln.
Beim Zusammenstellen der Dokumentation sollte man einige wichtige Elemente berücksichtigen. Dokumentieren Sie, was vorhanden ist und welche Ziele sie zukünftig erreichen möchten – nebst einem realistischen Projekt- und Zeitplan, wie Sie dorthin gelangen.
Stellen Sie sicher, dass Sie die Stakeholder aus verschiedenen Abteilungen aufgeführt haben. Sie sollten ein offizielles Buy-In von der IT, der Geschäftsleitung, der Rechtsabteilung sowie den Sicherheits- und Compliance-Verantwortlichen bekommen haben. Lassen Sie sich von der Führungsetage bestätigen, dass VM eine geschäftliche Priorität hat und vom gesamten Unternehmen unterstützt wird.
Hier können Sie Teil 1 lesen:
Die Tour auf den „Vulnerability Management Mountain“
Hier können Sie Teil 2 lesen:
So verlieren Sie bei der Besteigung des Vulnerability Management Mountain nicht den Überblick