Jeden Monat fügt das National Institute of Standards and Technology (NIST) der National Vulnerability Database über 2.000 neue Sicherheitslücken hinzu. Sicherheitsteams müssen nicht alle diese Schwachstellen verfolgen, aber sie brauchen eine Möglichkeit, diejenigen zu identifizieren und zu beheben, die eine potenzielle Bedrohung für ihre Systeme darstellen. Genau das ist der Lebenszyklus des Schwachstellenmanagements.
Der Lebenszyklus des Schwachstellenmanagements ist ein kontinuierlicher Prozess zur Entdeckung, Priorisierung und Behebung von Sicherheitslücken in den IT-Anlagen eines Unternehmens.
Ein typischer Lebenszyklus besteht aus fünf Phasen:
Der Lebenszyklus des Schwachstellenmanagements ermöglicht es Unternehmen, ihren Sicherheitsstatus zu verbessern, indem sie einen strategischeren Ansatz für das Schwachstellenmanagement verfolgen. Anstatt auf neu auftretende Sicherheitslücken zu reagieren, suchen Sicherheitsteams aktiv nach Schwachstellen in ihren Systemen. Unternehmen können die kritischsten Schwachstellen identifizieren und Schutzmaßnahmen ergreifen, bevor Angreifer die Schwachstellen ausnutzen.
Eine Sicherheitslücke ist jede Schwachstelle in der Struktur, Funktion oder Implementierung eines Netzwerks oder eines Assets, das Hacker ausnutzen können, um einem Unternehmen zu schaden.
Schwachstellen können durch grundlegende Konstruktionsfehler eines Assets entstehen. Dies war der Fall bei der berüchtigten Log4J-Schwachstelle, bei der Codierungsfehler in einer beliebten Java-Bibliothek es Hackern ermöglichten, Malware aus der Ferne auf den Computern der Opfer auszuführen. Andere Sicherheitslücken werden durch menschliches Versagen verursacht, wie z. B. ein falsch konfigurierter Cloud-Speicherbereich, der sensible Daten dem Public-Internet zugänglich macht.
Jede Schwachstelle ist ein Risiko für Unternehmen. Laut dem X-Force Threat Intelligence Index von IBM ist die Ausnutzung von Schwachstellen der zweithäufigste Vektor für Cyberangriffe. X-Force stellte außerdem fest, dass die Zahl der neuen Sicherheitslücken jedes Jahr zunimmt, wobei allein im Jahr 2022 insgesamt 23.964 Sicherheitslücken verzeichnet wurden.
Hacker verfügen über eine wachsende Anzahl von Sicherheitslücken. Als Reaktion darauf haben Unternehmen das Schwachstellenmanagement zu einem zentralen Bestandteil ihrer Cyber-Risikomanagement-Strategien gemacht. Der Lebenszyklus des Schwachstellenmanagements bietet ein formelles Modell für effektive Programme zum Schwachstellenmanagement in einer sich ständig verändernden Cyberbedrohungslandschaft. Durch die Übernahme des Lebenszyklus können Unternehmen einige der folgenden Vorteile nutzen:
In einem Netzwerk können jederzeit neue Schwachstellen auftreten, sodass der Lebenszyklus des Schwachstellenmanagements eher eine kontinuierliche Schleife als eine Reihe einzelner Ereignisse darstellt. Jede Runde des Lebenszyklus geht direkt in die nächste über. Eine einzelne Runde besteht in der Regel aus den folgenden Phasen:
Technisch gesehen finden Planung und Vorarbeit vor dem Lebenszyklus des Schwachstellenmanagements statt, daher die Bezeichnung „Phase 0“. In dieser Phase legt das Unternehmen kritische Details des Schwachstellenmanagementprozesses fest, darunter die folgenden:
Unternehmen durchlaufen diese Phase nicht vor jeder Runde des Lebenszyklus. Im Allgemeinen führt ein Unternehmen eine umfassende Planungs- und Vorbereitungsphase durch, bevor es ein formelles Programm zum Schwachstellenmanagement einführt. Wenn ein Programm eingeführt wurde, überprüfen die Beteiligten regelmäßig die Planung und Vorarbeit, um ihre allgemeinen Richtlinien und Strategien bei Bedarf zu aktualisieren.
Der formale Lebenszyklus des Schwachstellenmanagements beginnt mit einer Bestandsaufnahme der Assets – einem Katalog aller Hardware- und Softwarekomponenten im Netzwerk des Unternehmens. Die Bestandsaufnahme umfasst offiziell genehmigte Apps und Endgeräte sowie alle Schatten-IT-Assets, die Mitarbeiter ohne Genehmigung verwenden.
Da Unternehmensnetzwerke regelmäßig um neue Assets erweitert werden, wird der Asset-Bestand vor jeder Runde des Lebenszyklus aktualisiert. Unternehmen verwenden häufig Software-Tools wie Angriffsflächen-Management-Plattformen, um ihre Bestände zu automatisieren.
Nach der Identifizierung der Assets bewertet das Sicherheitsteam sie auf Schwachstellen. Das Team kann eine Kombination aus Tools und Methoden verwenden, darunter automatisierte Schwachstellen-Scanner, manuelle Penetrationsprüfungen und externe Threat-Intelligence aus der Cybersicherheits-Community.
Die Bewertung jedes Assets in jeder Runde des Lebenszyklus wäre zu aufwändig, daher arbeiten Sicherheitsteams in der Regel in Batches. Jede Runde des Lebenszyklus konzentriert sich auf eine bestimmte Gruppe von Assets, wobei kritischere Asset-Gruppen häufiger gescannt werden. Einige fortschrittliche Tools zum Scannen von Sicherheitslücken überprüfen kontinuierlich alle Netzwerkressourcen in Echtzeit, sodass das Sicherheitsteam einen noch dynamischeren Ansatz zur Erkennung von Sicherheitslücken verfolgen kann.
Das Sicherheitsteam priorisiert die Schwachstellen, die es in der Bewertungsphase gefunden hat. Durch die Priorisierung wird sichergestellt, dass das Team zuerst die kritischsten Sicherheitslücken behebt. Diese Phase hilft dem Team auch dabei, Zeit und Ressourcen nicht in Schwachstellen mit geringem Risiko zu investieren.
Um Schwachstellen zu priorisieren, berücksichtigt das Team folgende Kriterien:
Das Sicherheitsteam arbeitet die Liste der priorisierten Sicherheitslücken ab, von den kritischsten bis zu den am wenigsten kritischen. Unternehmen haben drei Möglichkeiten, Sicherheitslücken zu beheben:
Um zu überprüfen, ob die Maßnahmen zur Schadensbegrenzung und -behebung wie beabsichtigt funktioniert haben, scannt und testet das Sicherheitsteam die Assets, an denen es gerade gearbeitet hat, erneut. Diese Audits dienen zwei Hauptzwecken: Es soll festgestellt werden, ob das Sicherheitsteam alle bekannten Schwachstellen erfolgreich behoben hat, und es soll sichergestellt werden, dass durch die Schadensbegrenzung und -behebung keine neuen Probleme entstanden sind.
Im Rahmen dieser Neubewertungsphase überwacht das Sicherheitsteam auch das Netzwerk im weiteren Sinne. Das Team sucht nach neuen Schwachstellen seit dem letzten Scan, nach veralteten Maßnahmen zur Risikominderung oder nach anderen Änderungen, die möglicherweise Maßnahmen erfordern. Alle diese Erkenntnisse helfen dabei, die nächste Runde des Lebenszyklus zu gestalten.
Das Sicherheitsteam dokumentiert die Aktivitäten der letzten Runde des Lebenszyklus, einschließlich der gefundenen Schwachstellen, der ergriffenen Lösungsschritte und der Ergebnisse. Diese Berichte werden an relevante Stakeholder weitergegeben, darunter Führungskräfte, Eigentümer von Assets, Compliance-Abteilungen und andere.
Das Sicherheitsteam reflektiert auch, wie die letzte Runde des Lebenszyklus verlaufen ist. Das Team kann sich dabei Schlüsselkennzahlen wie die mittlere Zeit bis zur Erkennung (MTTD), die mittlere Zeit bis zur Reaktion (MTTR), die Gesamtzahl kritischer Schwachstellen und die Wiederholungsrate von Schwachstellen ansehen. Durch die Verfolgung dieser Metriken im Zeitverlauf kann das Sicherheitsteam eine Basislinie für die Leistung des Programms zum Schwachstellenmanagement erstellen und Möglichkeiten zur Verbesserung des Programms im Zeitverlauf ermitteln. Die aus einer Runde des Lebenszyklus gewonnenen Erkenntnisse können die nächste Runde effektiver machen.
Das Schwachstellenmanagement ist ein komplexes Unterfangen. Selbst mit einem formellen Lebenszyklus könnten Sicherheitsteams das Gefühl haben, nach Nadeln im Heuhaufen zu suchen, wenn sie versuchen, Schwachstellen in riesigen Unternehmensnetzwerken aufzuspüren.
IBM X-Force® Red kann dabei helfen, den Prozess zu optimieren. Das X-Force® Red-Team bietet umfassende Schwachstellen-Management-Services an und arbeitet mit Unternehmen zusammen, um kritische Vermögenswerte zu identifizieren, Schwachstellen mit hohem Risiko zu entdecken, Schwachstellen vollständig zu beheben und wirksame Gegenmaßnahmen zu ergreifen.
Die IBM Security® QRadar® Suite bietet Sicherheitsteams mit begrenzten Ressourcen eine moderne Lösung zur Erkennung und Abwehr von Bedrohungen. Die QRadar Suite integriert Endpunktsicherheit, Protokollverwaltung, SIEM- und SOAR-Produkte in einer gemeinsamen Benutzeroberfläche und bettet Unternehmensautomatisierung und KI ein, um Sicherheitsanalysten dabei zu unterstützen, ihre Produktivität zu steigern und technologieübergreifend effektiver zu arbeiten.
Erfahren Sie mehr über die Schwachstellenmanagement-Services von IBM X-Force® Red
IBM Security QRadar Suite kennenlernen