Was ist der Lebenszyklus des Schwachstellenmanagements?

Jeden Monat fügt das National Institute of Standards and Technology (NIST) der National Vulnerability Database über 2.000 neue Sicherheitslücken hinzu. Sicherheitsteams müssen nicht alle diese Schwachstellen verfolgen, aber sie brauchen eine Möglichkeit, diejenigen zu identifizieren und zu beheben, die eine potenzielle Bedrohung für ihre Systeme darstellen. Genau das ist der Lebenszyklus des Schwachstellenmanagements.

Ein typischer Lebenszyklus besteht aus fünf Phasen:

1. Asset-Bestand und Schwachstellenanalyse.
2. Schwachstellenpriorisierung.
3. Behebung von Sicherheitslücken.
4. Verifizierung und Überwachung.
5. Berichterstellung und Verbesserung.

Der Lebenszyklus des Schwachstellenmanagements ermöglicht es Unternehmen, ihren Sicherheitsstatus zu verbessern, indem sie einen strategischeren Ansatz für das Schwachstellenmanagement verfolgen. Anstatt auf neu auftretende Sicherheitslücken zu reagieren, suchen Sicherheitsteams aktiv nach Schwachstellen in ihren Systemen. Unternehmen können die kritischsten Schwachstellen identifizieren und Schutzmaßnahmen ergreifen, bevor Angreifer die Schwachstellen ausnutzen.

Eine Sicherheitslücke ist jede Schwachstelle in der Struktur, Funktion oder Implementierung eines Netzwerks oder eines Assets, das Hacker ausnutzen können, um einem Unternehmen zu schaden.

Schwachstellen können durch grundlegende Konstruktionsfehler eines Assets entstehen. Dies war der Fall bei der berüchtigten Log4J-Schwachstelle, bei der Codierungsfehler in einer beliebten Java-Bibliothek es Hackern ermöglichten, Malware aus der Ferne auf den Computern der Opfer auszuführen. Andere Sicherheitslücken werden durch menschliches Versagen verursacht, wie z. B. ein falsch konfigurierter Cloud-Speicherbereich, der sensible Daten dem Public-Internet zugänglich macht.

Jede Schwachstelle ist ein Risiko für Unternehmen. Laut dem X-Force Threat Intelligence Index von IBM ist die Ausbeutung von Schwachstellen in öffentlich zugänglichen Apps einer der häufigsten Vektoren von Cyberangriffen. 

Hacker verfügen über eine wachsende Anzahl von Sicherheitslücken. Als Reaktion darauf haben Unternehmen das Schwachstellenmanagement zu einem zentralen Bestandteil ihrer Cyber-Risikomanagement-Strategien gemacht. Der Lebenszyklus des Schwachstellenmanagements bietet ein formelles Modell für effektive Programme zum Schwachstellenmanagement in einer sich ständig verändernden Cyberbedrohungslandschaft. Durch die Übernahme des Lebenszyklus können Unternehmen einige der folgenden Vorteile nutzen:

• Proaktive Erkennung und Behebung von Sicherheitslücken: Unternehmen bemerken ihre Sicherheitslücken oft erst, wenn Hacker sie bereits ausgenutzt haben. Der Lebenszyklus des Schwachstellenmanagements basiert auf kontinuierlicher Überwachung, damit Sicherheitsteams Sicherheitslücken finden können, bevor es Angreifer tun.
  
  
• Strategische Ressourcenzuweisung: Jedes Jahr werden Zehntausende neuer Sicherheitslücken entdeckt, aber nur wenige sind für ein Unternehmen relevant. Der Lebenszyklus des Schwachstellenmanagements hilft Unternehmen, die kritischsten Schwachstellen in ihren Netzwerken zu ermitteln und die größten Risiken für die Sanierung zu priorisieren.
  
  
• Ein konsistenterer Prozess für das Schwachstellenmanagement: Der Lebenszyklus des Schwachstellenmanagements bietet Sicherheitsteams einen wiederholbaren Prozess, der von der Entdeckung von Schwachstellen bis zur Behebung und darüber hinaus reicht. Ein konsistenterer Prozess führt zu konsistenteren Ergebnissen und ermöglicht es Unternehmen, wichtige Workflows wie die Bestandsaufnahme von Vermögenswerten, die Schwachstellenanalyse und das Patch-Management zu automatisieren.

In einem Netzwerk können jederzeit neue Schwachstellen auftreten, sodass der Lebenszyklus des Schwachstellenmanagements eher eine kontinuierliche Schleife als eine Reihe einzelner Ereignisse darstellt. Jede Runde des Lebenszyklus geht direkt in die nächste über. Eine einzelne Runde besteht in der Regel aus den folgenden Phasen:

Phase 0: Planung und Vorarbeit

Technisch gesehen finden Planung und Vorarbeit vor dem Lebenszyklus des Schwachstellenmanagements statt, daher die Bezeichnung „Phase 0“. In dieser Phase legt das Unternehmen kritische Details des Schwachstellenmanagementprozesses fest, darunter die folgenden:

• Welche Stakeholder werden einbezogen und welche Rollen werden sie einnehmen?
  
  
• Ressourcen – einschließlich Personen, Tools und Finanzmittel – für das Schwachstellenmanagement
  
  
• Allgemeine Richtlinien für die Priorisierung und Reaktion auf Sicherheitslücken
  
  
• Metriken zur Messung des Programmerfolgs

Unternehmen durchlaufen diese Phase nicht vor jeder Runde des Lebenszyklus. Im Allgemeinen führt ein Unternehmen eine umfassende Planungs- und Vorbereitungsphase durch, bevor es ein formelles Programm zum Schwachstellenmanagement einführt. Wenn ein Programm eingeführt wurde, überprüfen die Beteiligten regelmäßig die Planung und Vorarbeit, um ihre allgemeinen Richtlinien und Strategien bei Bedarf zu aktualisieren.

Phase 1: Asset-Discovery und Schwachstellenanalyse

Der formale Lebenszyklus des Schwachstellenmanagements beginnt mit einer Bestandsaufnahme der Assets – einem Katalog aller Hardware- und Softwarekomponenten im Netzwerk des Unternehmens. Die Bestandsaufnahme umfasst offiziell genehmigte Apps und Endgeräte sowie alle Schatten-IT-Assets, die Mitarbeiter ohne Genehmigung verwenden.

Da Unternehmensnetzwerke regelmäßig um neue Assets erweitert werden, wird der Asset-Bestand vor jeder Runde des Lebenszyklus aktualisiert. Unternehmen verwenden häufig Software-Tools wie Angriffsflächen-Management-Plattformen, um ihre Bestände zu automatisieren.

Nach der Identifizierung der Assets bewertet das Sicherheitsteam sie auf Schwachstellen. Das Team kann eine Kombination aus Tools und Methoden verwenden, darunter automatisierte Schwachstellen-Scanner, manuelle Penetrationsprüfungen und externe Threat-Intelligence aus der Cybersicherheits-Community.

Die Bewertung jedes Assets in jeder Runde des Lebenszyklus wäre zu aufwändig, daher arbeiten Sicherheitsteams in der Regel in Batches. Jede Runde des Lebenszyklus konzentriert sich auf eine bestimmte Gruppe von Assets, wobei kritischere Asset-Gruppen häufiger gescannt werden. Einige fortschrittliche Tools zum Scannen von Sicherheitslücken überprüfen kontinuierlich alle Netzwerkressourcen in Echtzeit, sodass das Sicherheitsteam einen noch dynamischeren Ansatz zur Erkennung von Sicherheitslücken verfolgen kann.

Phase 2: Schwachstellenpriorisierung

Das Sicherheitsteam priorisiert die Schwachstellen, die es in der Bewertungsphase gefunden hat. Durch die Priorisierung wird sichergestellt, dass das Team zuerst die kritischsten Sicherheitslücken behebt. Diese Phase hilft dem Team auch dabei, Zeit und Ressourcen nicht in Schwachstellen mit geringem Risiko zu investieren. 

Um Schwachstellen zu priorisieren, berücksichtigt das Team folgende Kriterien:

• Kritikalitätsbewertungen aus externer Threat-Intelligence: Dies kann die MITRE-Liste der Common Vulnerabilities and Exposures (CVE) oder das Common Vulnerability Scoring System (CVSS) umfassen.
  
  
• Kritikalität von Assets: Eine unkritische Schwachstelle in einem kritischen Asset erhält oft eine höhere Priorität als eine kritische Schwachstelle in einem weniger wichtigen Asset. 
  
  
• Mögliche Auswirkungen: Das Sicherheitsteam wägt ab, was passieren könnte, wenn Hacker eine bestimmte Schwachstelle ausnutzen, einschließlich der Auswirkungen auf den Geschäftsbetrieb, finanzieller Verluste und möglicher rechtlicher Schritte.
  
  
• Wahrscheinlichkeit, dass die Schwachstelle ausgenutzt wird: Das Sicherheitsteam achtet verstärkt auf Schwachstellen mit bekannten Exploits, die von Hackern aktiv genutzt werden.
  
  
• Fehlalarme: Das Sicherheitsteam stellt sicher, dass tatsächlich Schwachstellen vorhanden sind, bevor es Ressourcen dafür bereitstellt.

Stufe 3: Behebung von Schwachstellen

Das Sicherheitsteam arbeitet die Liste der priorisierten Sicherheitslücken ab, von den kritischsten bis zu den am wenigsten kritischen. Unternehmen haben drei Möglichkeiten, Sicherheitslücken zu beheben:

1. Sanierung: Eine Schwachstelle vollständig beheben, damit sie nicht mehr ausgenutzt werden kann, z. B. durch Beheben eines Betriebssystemfehlers, Korrigieren einer Fehlkonfiguration oder Entfernen eines anfälligen Assets aus dem Netzwerk. Eine Sanierung ist nicht immer möglich. Für einige Schwachstellen sind zum Zeitpunkt ihrer Entdeckung keine vollständigen Lösungen verfügbar (z. B. Zero-Day-Schwachstellen). Bei anderen Schwachstellen wäre die Behebung zu ressourcenintensiv.
   
   
2. Schadensbegrenzung: Erschwerung der Ausnutzung einer Sicherheitslücke und Abschwächung der Auswirkungen einer Sicherheitslücke, ohne die Sicherheitslücke vollständig zu beseitigen. Wenn Sie beispielsweise strengere Authentifizierungs- und Autorisierungsmaßnahmen zu einer Webanwendung hinzufügen, wird es für Hacker schwieriger, Konten zu kapern. Wenn Sie Notfallpläne für identifizierte Schwachstellen erstellen, können Sie die Flut von Cyberangriffen verringern. Sicherheitsteams entscheiden sich in der Regel für eine Schadensbegrenzung, wenn eine Behebung unmöglich oder unerschwinglich ist. 
   
   
3. Akzeptanz: Einige Schwachstellen sind so unbedeutend oder es ist unwahrscheinlich, dass sie ausgenutzt werden, dass es nicht kosteneffizient wäre, sie zu beheben. In diesen Fällen kann sich das Unternehmen dafür entscheiden, die Schwachstelle zu akzeptieren.

Stufe 4: Verifizierung und Überwachung

Um zu überprüfen, ob die Maßnahmen zur Schadensbegrenzung und -behebung wie beabsichtigt funktioniert haben, scannt und testet das Sicherheitsteam die Assets, an denen es gerade gearbeitet hat, erneut. Diese Audits dienen zwei Hauptzwecken: Es soll festgestellt werden, ob das Sicherheitsteam alle bekannten Schwachstellen erfolgreich behoben hat, und es soll sichergestellt werden, dass durch die Schadensbegrenzung und -behebung keine neuen Probleme entstanden sind.

Im Rahmen dieser Neubewertungsphase überwacht das Sicherheitsteam auch das Netzwerk im weiteren Sinne. Das Team sucht nach neuen Schwachstellen seit dem letzten Scan, nach veralteten Maßnahmen zur Risikominderung oder nach anderen Änderungen, die möglicherweise Maßnahmen erfordern. Alle diese Erkenntnisse helfen dabei, die nächste Runde des Lebenszyklus zu gestalten.

Phase 5: Berichterstellung und Verbesserung

Das Sicherheitsteam dokumentiert die Aktivitäten der letzten Runde des Lebenszyklus, einschließlich der gefundenen Schwachstellen, der ergriffenen Lösungsschritte und der Ergebnisse. Diese Berichte werden an relevante Stakeholder weitergegeben, darunter Führungskräfte, Eigentümer von Assets, Compliance-Abteilungen und andere. 

Das Sicherheitsteam reflektiert auch, wie die letzte Runde des Lebenszyklus verlaufen ist. Das Team kann sich dabei Schlüsselkennzahlen wie die mittlere Zeit bis zur Erkennung (MTTD), die mittlere Zeit bis zur Reaktion (MTTR), die Gesamtzahl kritischer Schwachstellen und die Wiederholungsrate von Schwachstellen ansehen. Durch die Verfolgung dieser Metriken im Zeitverlauf kann das Sicherheitsteam eine Basislinie für die Leistung des Programms zum Schwachstellenmanagement erstellen und Möglichkeiten zur Verbesserung des Programms im Zeitverlauf ermitteln. Die aus einer Runde des Lebenszyklus gewonnenen Erkenntnisse können die nächste Runde effektiver machen.