In den voran gegangen Beiträgen dieser Reihe zum Thema Vulnerability Management haben wir zunächst die Grundlagen geschaffen und uns bereits mit den ersten Stufen der VM Maturity befasst. Konzentrieren wir uns nun darauf, wie Sie Ihr Programm am besten optimieren.
In einem ausgereiften VM-Programm finden Assessments mindestens jede Woche statt, und die Schwachstellen werden zügig behoben. Um im Bild zu bleiben: Der Aufstieg wird jetzt steiler, aber Sie haben deutlich mehr Transparenz über die Systeme im Netzwerk und eine klare Vorstellung vom Ziel. Inzwischen sollten alle kritischen Systeme der Umgebung identifiziert und der vollständige Hardware- und Software-Bestand erfasst und gut dokumentiert sein.
Aber jedes Jahr werden tausende von Schwachstellen veröffentlicht. Kein Unternehmen oder Produkt erkennt sie alle. Man ist also gezwungen, die gefundenen Schwachstellen zu priorisieren – je nach dem mit welchen das größte Risiko verbunden ist. Dazu muss man neben einer verlässlichen Risikoeinschätzung wissen, ob es bereits verfügbare Exploits gibt und welchen Stellenwert die betreffende Applikation oder das betreffende Produkt im Unternehmen hat.
Assessments priorisieren
Im Idealfall hat man die Möglichkeit alle Systeme zu bewerten, aber das ist kaum praktikabel. Realistischer ist es die Systeme zunächst zu priorisieren und danach die entsprechende Kadenz zu bestimmen. Dabei sollte man seine Aufmerksamkeit zunächst auf nach Außen gerichtete, kritische Systeme lenken. Assets, die für die Verfügbarkeit unerlässlich oder die in anderer Weise geschäftskritisch sind, sollte man mindestens einmal pro Tag bewerten.
Nicht nach Außen gerichtete, kritische Systeme sollte man mindestens alle drei Tage bewerten. Weitere wichtige Systeme sollten einmal wöchentlich ein Assessment durchlaufen und auf eine mögliche Kompromittierung hin untersucht werden. Darauf folgen Standardsysteme oder solche mit einer niedrigeren Priorität. Auch die Patch-Häufigkeit kann in diesen Bewertungszeiträumen eine Rolle spielen.
Unterschiedliche Arten von Assessments
Man kann eine Vielzahl unterschiedlicher Assessment-Technologien heranziehen, um sein Vulnerability Management-Programm zu unterstützen. Scanning wird im Allgemeinen in einige wenige Hauptkategorien unterteilt, je nachdem welche Arten von Systemen betroffen sind. Externe Assessments bewerten die Anfälligkeit eines Systems, ohne sich in das System einzuloggen. Bei dieser Art von Überprüfung schickt man Pakete an das Zielsystem und bestimmt den Anfälligkeitsstatus anhand der Antwort des Zielsystems. Interne Bewertungen verwenden die Anmeldeinformationen, um sich direkt am System einzuloggen. Für die eigentliche Schwachstellenbewertung werden Dateiversionen, Konfigurationen, RPM-Versionen, Registrierungsschlüssel usw. überprüft. Um hier zu korrekten Ergebnissen zu gelangen, ist für jedes System eine erhöhte Zugriffsberechtigung notwendig.
Eine weitere wichtige Überlegung ist, ob und wie Sie agentenbasierte oder agentenlose Scantechniken einsetzen wollen. Beide haben Vor- und Nachteile. Will man ein VM-Programm effizient gestalten, empfiehlt es sich beide Varianten miteinander zu kombinieren. Agentenbasierte Scans sind beispielsweise hilfreich, weil man sie mit erhöhten Berechtigungen ausstatten kann, ohne Passwörter verwalten zu müssen. Dies ist für transiente Systeme wie Laptops von Vorteil, die sich zum Zeitpunkt eines geplanten Scans möglicherweise gerade nicht im Netzwerk befinden.
Tracking und Metriken
Wenn ein VM-Programm einen bestimmten Grad erreicht hat, bekommt das Erstellen und Tracken von Metriken Priorität. Man kann sogar damit anfangen die Bewertungsergebnisse zu tracken, nur um Trends zu ermitteln. Einige Metriken, die man auf jeden Fall in seine Überlegungen einbeziehen sollte:
- Prozentualer Abdeckungsgrad im gesamten Unternehmen: Wie viel Prozent des Unternehmens werden derzeit bewertet? So bestimmen Sie, wo Lücken zu schließen sind. Stellen Sie sicher, dass der prozentuale Abdeckungsgrad im Laufe der Zeit nicht sinkt.
- Anzahl der wirklich kritischen Schwachstellen: Diese Zahl basiert auf der Risikobewertung für eine Schwachstelle. Ein numerisches Scoring-System ermöglicht es, eine Höchstmarke festzulegen. Alle Probleme, die einen Wert aufweisen, der über dieser Marke liegt, sollten sofort behoben werden.
- Mean Time to Resolution (MTR): Wie lange dauert es durchschnittlich, eine Schwachstelle zu beheben? Sinkt dieser Wert oder steigt er?
- Time to Detect: Wie lange dauert es eine neue Schwachstelle nach ihrem Auftreten zu identifizieren? Tritt eine neue Schwachstelle auf, weil eine neue Anwendung installiert wurde – dauert es Minuten, Stunden, Tage oder sogar Wochen bis man sie entdeckt?
Weiter optimieren
In der Regel müssen Firmen etwas experimentieren, bis sie das richtige Risikoprofil und die entsprechenden Metriken gefunden haben. Die beste Vorgehensweise besteht darin, eine Definition zu finden, nach dieser drei bis sechs Monate lang vorzugehen und sie dann bei Bedarf zu optimieren. Es sind oft mehrere Durchgänge erforderlich, bis man das Passende gefunden hat.
Ein ausgereiftes VM-Programm ist ein Grund zum Feiern. Nehmen Sie sich einen Moment Zeit und genießen sie die Aussicht, sobald alle Prozesse eingerichtet sind und gut laufen. Mit Set-and-Forget ist es natürlich nicht getan. Bauen Sie sukzessive auf der bisher geleisteten Arbeit auf und bringen Ihr VM-Programm auf ein zunehmend widerstandsfähigeres Niveau.
Hier können Sie Teil 1 lesen:
Die Tour auf den „Vulnerability Management Mountain“
Hier können Sie Teil 2 lesen:
So verlieren Sie bei der Besteigung des Vulnerability Management Mountain nicht den Überblick
Hier können Sie Teil 3 lesen:
Höhe gewinnen am Vulnerability Management Mountain: Best Practices