Die ersten wichtigen Schritte zu einem ausgereiften Vulnerability-Management-Programm sind im Allgemeinen der schwierigste Teil des Prozesses. Setzen Sie sich deshalb ehrgeizige, aber erreichbare Ziele.
Das erleichtert es Ihnen, Fortschritte bei der Weiterentwicklung des Programms zu markieren. Stufe für Stufe wird das Programm effizienter und die ursprünglich weitgehend manuellen
Anstrengungen durch einen höheren Automatisierungsgrad, mehr Geschwindigkeit und klar definierte Prozesse ersetzt. Eine äußerst brauchbare Ressource in frühen Phasen des VM-Programms, ist das Capability Maturity Model.
Das Capability Maturity Model – Wegweiser in frühen Phasen
Das Capability Maturity Model (CMM) – ein Modell, das vom US-Verteidigungsministerium zur Verbesserung von Prozessen entwickelt wurde – vermittelt Ihnen eine Vorstellung, wie Sie ein VM-Programm auf das nächste Maturity Level heben. Das CMM ist ein Modell, mit dessen Hilfe man einen Prozess inkrementell und definierbar entwickeln und verfeinern kann. Es beinhaltet fünf Stufen:
CMM Stufe 1: „Initial“
Auf der „Initial“ Stufe eines VM-Programms existieren nur wenige Prozesse und Verfahren. Schwachstellen-Scans werden von einem Drittanbieter als Teil eines Penetrationstests oder von externen Auditoren durchgeführt. Diese Scans werden in der Regel ein bis vier Mal pro Jahr aufgrund einer behördlichen Auflage oder auf Anfrage eines Auditors durchgeführt. Das Unternehmen behebt in der Regel alle “kritischen” oder “hohen” Risiken und stellt sicher, dass es die erforderlichen Compliance-Anforderungen erreicht oder beibehält. Die verbleibenden Informationen werden in der Regel archiviert, sobald eine positive Bewertung erfolgt. Jeden Tag werden neue Schwachstellen aufgedeckt. Deshalb bleiben Unternehmen auf dieser Stufe weiterhin leichte Beute für Angreifer und in den Intervallen zwischen den Bewertungen anfällig.
CMM Stufe 2: „Managed“
Auf der „Managed“ Stufe eines VM-Programms führt man interne Scans durch. Das Unternehmen entscheidet sich für eine VM-Lösung und beginnt regelmäßiger – normalerweise wöchentlich oder monatlich – zu Scannen. Vielen Unternehmen fehlt auf dieser Stufe die Unterstützung des Managements.
Eine der Gründe für die oftmals begrenzten Budgets, die dazu führen, dass man sich für kostengünstige oder kostenfreie Lösungen entscheidet. Low-End-Lösungen bieten grundlegende Scan-Funktionen, sind aber in Bezug auf die Zuverlässigkeit der Datenerfassung, ihre Fähigkeit den Geschäftskontext einzubeziehen, beim Grad der Automatisierung und ihren Möglichkeiten die betriebliche Effizienz zu verbessern deutlich eingeschränkt.
CMM Stufe 3: „Defined“
Auf der „Defined“ Stufe sind Prozesse und Verfahren im gesamten Unternehmen klar definiert und verstanden. Das Informationssicherheitsteam hat die Unterstützung der Geschäftsleitung und genießt das Vertrauen der Systemadministratoren. Authentifizierte Schwachstellen-Scans finden auf diesem Level täglich oder wöchentlich statt und generieren zielgruppenspezifische Berichte. Systemadministratoren bekommen Schwachstellenberichte, während das Management Reports zu den Risikotrends erhält. VM-Statusdaten werden im gesamten Informationssicherheits-Ökosystem geteilt, um verwertbare Informationen bereitzustellen. Bei kritischen Assets werden VM-Agenten für eine optimierte Datenerfassung eingesetzt, ohne dass Anmeldeinformationen gescannt werden müssen.
CMM Stufe 4: „Quantitatively Managed“
Wenn ein VM-Programm „Quantitatively Managed“ ist, sind die spezifischen Attribute des Programms quantifizierbar, und dem Managementteam werden Metriken zur Verfügung gestellt. Das Unternehmen verwendet klar definierte Pass/Fail-Kriterien für die Bewertung der CI/CD-Pipeline, und es existiert eine Strategie für die Remediation oder Entfernung nicht konformer Images und Container. Diese Metriken lassen sich ganzheitlich für das Unternehmen betrachten oder nach verschiedenen Geschäftsbereichen aufschlüsseln. Bei dieser Vorgehensweise erkennt man sofort, welche Bereiche ihr Risiko gesenkt haben und welche hinterherhinken.
CMM Stufe 5: „Optimizing“
Auf der „Optimizing“-Stufe werden die zuvor definierten Metriken zur Optimierung herangezogen. Sobald diese Ziele konsistent erreicht sind, werden neue und aggressivere Ziele definiert, um die Prozesse kontinuierlich zu verbessern.
Prioritäten setzen
Auf der zweiten Stufe “Managed” – und darüber hinaus – verfügen Unternehmen über eine interne Lösung, die sie regelmäßig für die Schwachstellenanalyse einsetzen. Wenn Sie regelmäßige Scans mit einer VM-Lösung ausführen, häufen Sie ein Menge an Daten an, die in umsetzbare Reaktionen umgesetzt werden müssen.
Sicherheitsteams haben weder die Zeit noch die Ressourcen, erhalten leicht viel zu viele Daten, aber zu wenig Einblicke. Betrachten wir beispielsweise das Asset-Inventar. Nach welchen Kriterien entscheiden Sie, auf welche Systeme im Unternehmen Sie Ihre Anstrengungen konzentrieren müssen? Einige Systeme, die einem hier in den Sinn kommen können, sind Code-Repositories, die DMZ oder sogar der Laptop einer hochrangigen Führungskraft.
Konzentrieren Sie sich auf Assets, indem Sie zwischen den wesentlichen Geschäfts- und Sicherheitszielen abwägen. Angenommen, das nächste Change-Control-Fenster für Server in der DMZ ist vier Monate entfernt. Aufgrund der Zeitspanne zwischen Bewertung und verfügbarem Change-Fenster ist dies vermutlich nicht der beste Ausgangspunkt. Andererseits können gerade diese Systeme von besonders hohem Wert sein. Dann brauchen Sie anhand des Status sofort eine Einschätzung, oder die Möglichkeit im Notfall sofort ein Change Control-Fenster einzurichten. Etwa, wenn man eine Schwachstelle beheben muss, zu der es bereits Exploits gibt. Der Wenn Sie ein CMM zusammen mit einer realistischen internen Priorisierung für die wichtigsten Vermögenswerte einsetzen, sind Sie einigermaßen für den weiteren Aufstieg präpariert.
Lesen Sie hier den Teil 1 der Serie Die Tour auf den „Vulnerability Management Mountain“