Was ist Schwachstellen-management?

Da jederzeit neue Schwachstellen auftreten können, betrachten Sicherheitsteams das Schwachstellenmanagement als einen kontinuierlichen Entwicklungszyklus und nicht als ein einzelnes Ereignis. Dieser Lebenszyklus umfasst fünf laufende und sich überschneidende Workflows: Entdeckung, Kategorisierung und Priorisierung, Lösung, Neubewertung und Berichterstattung.

1. Erkennung

Im Mittelpunkt des Discovery-Workflows steht die Schwachstellenbewertung, ein Prozess zur Überprüfung aller IT-Ressourcen eines Unternehmens auf bekannte und potenzielle Schwachstellen. In der Regel automatisieren Sicherheitsteams diesen Prozess mit Hilfe von Schwachstellen-Scanner-Software. Einige Schwachstellen-Scanner führen regelmäßig umfassende Netzwerk-Scans durch, während andere Agenten verwenden, die auf Laptops, Routern und anderen Endgeräten installiert werden, um Daten über jedes Gerät zu erfassen. Sicherheitsteams können auch episodische Schwachstellenbewertungen, wie z. B. Penetrationsprüfungen, verwenden, um Sicherheitslücken aufzuspüren, die sich einem Scanner entziehen.  

2. Kategorisierung und Priorisierung

Sobald die Schwachstellen identifiziert sind, werden sie nach ihrer Art kategorisiert (z. B. Fehlkonfigurationen von Geräten, Verschlüsselungsprobleme, Gefährdung sensibler Daten) und nach Kritikalitätsgrad priorisiert. Dieser Prozess liefert eine Einschätzung zum Schweregrad jeder Sicherheitslücke, ihrer Ausnutzbarkeit und der Wahrscheinlichkeit eines Angriffs.

Lösungen für das Schwachstellenmanagement stützen sich in der Regel auf Quellen für Threat-Intelligence wie das Common Vulnerability Scoring System (CVSS), einen offenen Cybersicherheits-Branchenstandard, um die Kritikalität bekannter Schwachstellen auf einer Skala von 0 bis 10 zu bewerten. Zwei weitere beliebte Informationsquellen sind die Liste der gemeinsamen Schwachstellen und Gefährdungen (CVEs) von MITRE und die National Vulnerability Database (NVD) von NIST. 

3. Auflösung

Sobald die Schwachstellen nach Prioritäten geordnet sind, können Sicherheitsteams sie auf eine von drei Arten beheben:

• Sanierung –die vollständige Beseitigung einer Schwachstelle, sodass sie nicht mehr ausgenutzt werden kann, z. B. durch die Installation eines Patches, der einen Softwarefehler behebt, oder durch die Stilllegung eines anfälligen Assets. Viele Plattformen für das Schwachstellenmanagement bieten Tools zur Behebung von Schwachstellen, wie z. B. Patch-Management für automatische Patch-Downloads und -Tests sowie Konfigurationsmanagement zur Behebung von Netzwerk- und Gerätefehlkonfigurationen über ein zentrales Dashboard oder Portal.
• Schadensbegrenzung – Erschwerung der Ausnutzung einer Sicherheitslücke und Abschwächung der Auswirkungen einer Sicherheitslücke, ohne die Sicherheitslücke vollständig zu beseitigen. Ein anfälliges Gerät online zu lassen, es aber vom Rest des Netzwerks zu trennen, ist ein Beispiel für eine Schadensbegrenzung. Schadensbegrenzung wird oft durchgeführt, wenn noch kein Patch oder eine andere Sanierungsmaßnahme verfügbar ist. 
• Akzeptanz – die Entscheidung, eine Sicherheitslücke nicht zu beheben. Sicherheitslücken mit niedrigen Kritikalitätswerten, bei denen es unwahrscheinlich ist, dass sie ausgenutzt werden oder erheblichen Schaden anrichten, werden oft akzeptiert. 

4. Neubewertung

Wenn die Sicherheitslücken behoben sind, führen die Sicherheitsteams eine neue Bewertung der Schwachstellen durch, um sicherzustellen, dass die Maßnahmen zur Sanierung der Schwachstellen funktioniert haben und keine neuen Sicherheitslücken entstanden sind.

5. Berichterstellung

Plattformen für das Schwachstellenmanagement bieten in der Regel Dashboards für die Berichterstellung über Metriken wie die mittlere Zeit bis zur Erkennung (Mean Time To Detect, MTTD) und die mittlere Zeit bis zur Reaktion (Mean Time To Respond, MTTR). Viele Lösungen führen auch Datenbanken mit identifizierten Sicherheitslücken, die es den Sicherheitsteams ermöglichen, die Behebung identifizierter Schwachstellen zu verfolgen und frühere Bemühungen zur Verwaltung von Sicherheitslücken zu überprüfen.

Diese Berichtsfunktionen ermöglichen es Sicherheitsteams, eine Basis für laufende Schwachstellenmanagement-Aktivitäten zu schaffen und die Programmleistung im Zeitverlauf zu überwachen. Berichte können auch dazu verwendet werden, Informationen zwischen dem Sicherheitsteam und anderen IT-Teams auszutauschen, die zwar für die Verwaltung von Assets verantwortlich sind, aber nicht direkt am Schwachstellenmanagement-Prozess beteiligt sind. 

Das risikobasierte Schwachstellenmanagement (Risk-Based Vulnerability Management, RBVM) ist ein relativ neuer Ansatz für das Schwachstellenmanagement. RVBM kombiniert interessengruppenspezifische Schwachstellendaten mit künstlicher Intelligenz und maschinellen Lernfunktionen, um das Schwachstellenmanagement auf drei wichtige Arten zu verbessern.

Mehr Kontext für eine effektivere Priorisierung. Herkömmliche Lösungen zur Verwaltung von Schwachstellen bestimmen die Kritikalität anhand von branchenüblichen Ressourcen wie dem CVSS oder dem NIST NVD. Diese Ressourcen stützen sich auf Allgemeinheiten, die die durchschnittliche Kritikalität einer Schwachstelle über alle Unternehmen hinweg bestimmen können. Es fehlen jedoch Daten zu den einzelnen Interessengruppen, was zu einer gefährlichen Über- oder Unterbewertung der Wichtigkeit einer Sicherheitslücke für ein bestimmtes Unternehmen führen kann.

Da zum Beispiel kein Sicherheitsteam die Zeit oder die Ressourcen hat, sich um jede Schwachstelle in seinem Netzwerk zu kümmern, priorisieren viele die Sicherheitslücken mit einem „hohen“ (7,0–8,9) oder „kritischen“ (9,0–10,0) CVSS-Score. Wenn jedoch eine „kritische“ Schwachstelle in einem Asset vorhanden ist, das keine sensiblen Daten speichert oder verarbeitet oder keine Wege zu hochwertigen Segmenten des Netzwerks bietet, lohnt sich die Sanierung möglicherweise nicht.

Sicherheitslücken mit niedrigen CVSS-Scores können für einige Unternehmen eine größere Bedrohung darstellen als für andere. Der Heartbleed-Fehler, der 2014 entdeckt wurde, wurde auf der CVSS-Skala als „mittel“ (5,0) eingestuft (Link befindet sich außerhalb von ibm.com). Dennoch nutzten Hacker es für groß angelegte Angriffe, wie z. B. den Datenklau von 4,5 Millionen Patienten (Link befindet sich außerhalb von ibm.com) bei einer der größten US-Krankenhausketten.

RBVM ergänzt das Scoring mit Daten zu Schwachstellen, die auf die jeweiligen Interessengruppen zugeschnitten sind – die Anzahl und Kritikalität der betroffenen Assets, die Verbindung der Assets mit anderen Assets und der potenzielle Schaden, den ein Exploit verursachen könnte – sowie mit Daten darüber, wie Cyberkriminelle mit Sicherheitslücken in der realen Welt umgehen. Es nutzt maschinelles Lernen, um Risikobewertungen zu formulieren, die das Risiko jeder einzelnen Sicherheitslücke für das Unternehmen genauer widerspiegeln. Dadurch können IT-Sicherheitsteams einer geringeren Anzahl kritischer Schwachstellen Priorität einräumen, ohne die Netzwerksicherheit zu beeinträchtigen.

Erkennung in Echtzeit. Bei RBVM werden Schwachstellen-Scans oft in Echtzeit und nicht nach einem wiederkehrenden Zeitplan durchgeführt. Außerdem können RBVM-Lösungen ein breiteres Spektrum an Assets überwachen: Während herkömmliche Schwachstellen-Scanner in der Regel auf bekannte Assets beschränkt sind, die direkt mit dem Netzwerk verbunden sind, können RBVM-Tools in der Regel lokale und entfernte mobile Geräte, Cloud-Assets, Drittanbieter-Apps und andere Ressourcen scannen.

Automatisierte Neubewertung. In einem RBVM-Prozess kann die Neubewertung durch kontinuierliche Schwachstellen-Scans automatisiert werden. Beim traditionellen Schwachstellenmanagement kann eine Neubewertung einen absichtlichen Netzwerkscan oder Penetrationstest erfordern. 

Das Schwachstellenmanagement ist eng mit dem Angriffsflächenmanagement (ASM) verbunden. ASM ist die kontinuierliche Erkennung, Analyse, Sanierung und Überwachung der Schwachstellen und potenziellen Angriffsvektoren, die die Angriffsfläche eines Unternehmens bilden. Der Hauptunterschied zwischen ASM und Schwachstellenmanagement liegt im Umfang. Während beide Prozesse die Schwachstellen in den Assets eines Unternehmens überwachen und beheben, verfolgt ASM einen ganzheitlicheren Ansatz für die Netzwerksicherheit. 

ASM-Lösungen umfassen Funktionen zur Erkennung von Assets, die alle bekannten, unbekannten, fremden, untergeordneten und bösartigen Assets, die mit dem Netzwerk verbunden sind, identifizieren und überwachen. ASM geht auch über die IT-Assets hinaus, um Schwachstellen in den physischen und Social-Engineering-Angriffsflächen eines Unternehmens zu identifizieren. Anschließend werden diese Assets und Schwachstellen aus der Sicht von Hackern analysiert, um zu verstehen, wie Cyberkriminelle sie nutzen könnten, um das Netzwerk zu infiltrieren.

Mit dem Aufkommen des risikobasierten Schwachstellenmanagements (RBVM) haben sich die Grenzen zwischen Schwachstellenmanagement und ASM zunehmend verwischt. Unternehmen setzen ASM-Plattformen häufig als Teil ihrer RBVM-Lösung ein, da ASM einen umfassenderen Überblick über die Angriffsfläche bietet als das Schwachstellenmanagement allein.