Schwachstellenmanagement: Die Kunst der Priorisierung
Die große Anzahl potenzieller Schwachstellen in Kombination mit einer dünnen Personaldecke setzt die SecOp- und IT-Teams bei der Priorisierung ihrer Schutzmaßnahmen unter Druck. Aus Kapazitätsgründen oder wegen mangelnder Transparenz verlassen sie sich bei der Risikoeinschätzung schnell auf traditionelle Metriken wie die Aktualität einer Sicherheitslücke oder Angaben zu ihrem Schweregrad.
Doch CVE-Angaben der Hersteller oder CVSS-Werte greifen zu kurz. Und richtig kritisch wird es bei Sicherheitslücken, die noch nicht veröffentlicht sind, aber längst ausgenutzt werden. Eine Alternative bietet ein automatisiertes, risikobasiertes Schwachstellenmanagement.
Trotz aller positiven Aspekte des Common Vulnerabilities Scoring System (CVSS) v4: Die Angaben zu Schweregrad und Ausnutzungswahrscheinlichkeit geben bislang kein verlässliches Bild der individuellen Risikoexposition eines Unternehmens. Gleiches gilt auch für Informationen zur Aktualität: Acht der zehn meistgenutzten Schwachstellen im Jahr 2023 waren älter als fünf Jahre. Bedrohungsakteure fokussieren sich also bewusst auf alte Verwundbarkeiten – aus dem Auge, aus dem Sinn.
Doch wie können Security- und IT-Teams stattdessen zu einer validen Risikoeinschätzung gelangen? Ein erfolgversprechender Weg liegt in der Identifizierung, Priorisierung und Entschärfung von Schwachstellen bezogen auf die Geschäftskritikalität von Unternehmenssystemen. Diese risikobasierte Priorisierung berücksichtigt ein breites Spektrum von Kennzahlen, inklusive der Analyse von Trends unter Bedrohungsakteuren.
Risk Based Vulnerability Management (RBVM) erlaubt damit zudem Aussagen darüber, welche Schwachstellen aktuell tatsächlich ausgenutzt werden. Ein automatisiertes
Schwachstellenmanagement, das risikobasierte Faktoren berücksichtigt, bietet ein deutlich höheres Schutzlevel, erfordert allerdings auch Anpassungen in der Zusammenarbeit von Analysten und IT-Teams.
Reduzierung von Verwundbarkeiten Generell nutzt RBVM Informationen aus ganz unterschiedlichen Quellen. Dazu zählen Daten aus externen Analysen, Vulnerability Scannern, Pentests oder auch dem internen Asset-Management. Sie laufen in eine RBVM-Plattform, die sie auf der Grundlage von akuten Angriffen bewertet und mit der Kritikalität der vorhandenen Assets korreliert, um daraus Maßnahmen abzuleiten und zu priorisieren.
Interessanterweise entspannt sich die Lage für SecOp- und IT-Teams schlagartig, wenn Schwachstellen auf dieser Grundlage priorisiert werden: In der Praxis zeigt sich, dass von 10.000 potenziellen Bedrohungen auf tausenden von Geräten nach der Risikobewertung nur wenige hundert Systeme und eine Handvoll Schwachstellen übrig bleiben, die mit höchster Priorität bearbeitet werden müssen. Entweder werden viele der erfassten Verwundbarkeiten aktuell nicht ausgenutzt oder betreffen nur Assets mit einer geringen Kritikalität.
Für eine valide Risikobewertung muss jedoch eine möglichst breite Basis an Informationen zu potenziellen Bedrohungen vorliegen. Die besten Aussagen erreichen dabei Plattformen, die CVSS- und Common-Weakness-Enumeration-(CWE)-Metriken korrelieren und mit Informationen von Netzwerk- und Anwendungsscannern sowie mit eigenen Risikoanalysen verbinden (siehe Abbildung 2).
Kein effizienter Schutz ohne Automatisierung Unternehmen, die versuchen, Verwundbarkeiten eigenständig und manuell zu verwalten, stehen vor einem zeitaufwendigen und fehleranfälligen Prozess. Sie müssen zunächst eine Reihe unterschiedlicher Daten sammeln – von Scanner-Befunden bis hin zu Bedrohungsdaten. Diese Daten sind dann zu normalisieren und für die Verwendung vorzubereiten. Dabei liegen die Probleme im Detail. Ein Beispiel: 74 Prozent aller Ransomware-Schwachstellen sind nach CVSS v3 nicht als kritisch eingestuft, 156 fehlen im KEV-Katalog (Known Exploited Vulnerabilities, KEV) der Cybersecurity and Infrastructure Security Agency (CISA) und beim Test von drei gängigen Scannern fehlten Plug-ins und Erkennungssignaturen für insgesamt 20 Ransomware-Schwachstellen. Automatisierte RBVM-Lösungen übernehmen diese Sisyphosarbeit in wenigen Minuten und senken unmittelbar die Kosten für das Schwachstellenmanagement.
Gemeinsamer Blick auf interne und externe Bedrohungen
Trotz bester Absichten arbeiten IT- und Sicherheitsteams oft nicht auf ein und dasselbe Ziel hin. Das liegt zum einen an ihren unterschiedlichen Rollen, zum anderen an einer fehlenden gemeinsamen Informationsbasis. RBVM funktioniert effizient, wenn externe Bedrohungen und interne Sicherheitsanforderungen zusammen betrachtet werden. Für einen Schulterschluss in Richtung einer konsistenten Sicherheitsstrategie müssen alle Abteilungen über die gleichen Informationen und eine von allen anerkannte Risikoanalyse verfügen. Dazu zählt beispielsweise eine genaue Analyse, welche Produktivsysteme für das Unternehmen essenziell, also systemkritisch sind.
Wenn das Ausmaß der Bedrohung durch Schwachstellen gegenüber diesen kritischen Systemen bekannt ist, können sich die Verantwortlichen für den IT-Betrieb Zeit für die richtigen Maßnahmen nehmen. Mit einer Lösung zur risikobasierten Schwachstellenanalyse lassen sich aktuelle und akute Informationen zu Bedrohungsszenarien auf Knopfdruck an alle Stakeholder versenden – ein wesentlicher Schritt, um die „Silodenke“ zwischen IT und Security aufzulösen.
Ein wichtiges Element im RBVM ist das Patch-Management. Zwar sollten sämtliche Maßnahmen zum Schließen von Sicherheitslücken möglichst zeitnah ergriffen werden, allerdings braucht es auch beim Roll-out von Patches Umsicht. Risikobasiertes Patchen erfordert einen besonderen Blick gerade auf geschäftskritische Assets und Produktivsysteme.
Pilotgruppen, die Patches in einer Live-Umgebung testen, bevor sie vollständig ausgerollt werden, sind dabei essenziell. Zusätzliche Unterstützung erhalten IT-Teams durch intelligente Patch-Management-Lösungen, die zum Beispiel via Crowdsourcing Einblicke zur Zuverlässigkeit von Patches aus verschiedensten Quellen sammeln. Anhand der Patch-Zuverlässigkeit lassen sich Testmaßnahmen fokussieren und Patch-Abstände verkürzen.
Fazit
Die Implementierung eines risikobasierten Ansatzes zur Priorisierung von Schwachstellen lohnt sich auf jeden Fall. Mit den Erkenntnissen einer RBVM-Plattform können Unternehmen ihre Angriffsfläche verringern, indem sie sich auf genau diejenigen Sicherheitslücken konzentrieren, die das größte Risiko für sie darstellen. Zusätzlich beschleunigen sie Prozesse zur Verwaltung von Schwachstellen durch Automatisierung, um Fehler zu reduzieren und sie schneller beheben zu können. Und schließlich fördern die aus einem RBVM-System gewonnenen Informationen die Zusammenarbeit zwischen IT- und Sicherheitsverantwortlichen, die so rechtzeitig wirklich kritische Angriffstore schließen können.
Johannes Carl ist Expert Manager PreSales – UEM & Security bei Ivanti.