Person, die an Laptops arbeitet und für Cybersicherheitsanalyse und -überwachung zuständig ist

Bewährte Verfahren für Ihr Schwachstellenmanagementprogramm

Benutzeravatar
Katie Bykowski
5 Leseminute

 

Heutzutage implementieren die meisten Organisationen ein Schwachstellenmanagementprogramm (VMP), doch die Umsetzung stellt eine große Herausforderung dar. Viele Organisationen erkennen, dass sie entweder keine klare Zuständigkeit für Systeme haben oder ihnen die Befugnis fehlt, die Behebung identifizierter Schwachstellen durchzusetzen. In beiden Fällen ist es zeitaufwendig, ein wirksames VMP in vielen Organisationen zu finden und durchzusetzen.

Was ist ein Schwachstellenmanagementprogramm?

Wenn Sie noch keine Erfahrung mit der Implementierung eines Schwachstellenmanagementplans (VMP) haben, müssen Sie zunächst verstehen, was Schwachstellenmanagement ist. Es mag selbstverständlich erscheinen, aber es handelt sich um die Verwaltung (den Lebenszyklus) der Identifizierung von Risiken im Zusammenhang mit ungepatchten, falsch konfigurierten und unbekannten Systemen innerhalb eines Unternehmens sowie die Implementierung eines Behebungsprozesses für jedes identifizierte Risiko.

In jedem Schwachstellenmanagementprogramm gibt es typischerweise folgende Meilensteine:

  • Identifizierung von Hardware/Software für das Schwachstellenmanagement
  • Anlagen- und Eigentümeridentifizierung
  • Richtlinien im Zusammenhang mit dem Scannen, Melden und Beheben von Schwachstellen

Bei der Implementierung eines VMP beginnen die meisten Organisationen mit der Einführung einer Richtlinie, die für alle verbindlich ist. Dies mag für manche Organisationen funktionieren, doch meiner Erfahrung nach schränkt man sich dadurch unnötig ein und arbeitet innerhalb willkürlicher Grenzen, wenn man keine Grundlage hat, um die Möglichkeiten zur Behebung von Schwachstellen zu kennen. Ich empfehle daher, mit der Implementierung einer Richtlinie zu warten, bis man die Möglichkeiten kennt.

Identifizierung von Hardware/Software für das Schwachstellenmanagement

Der erste Schritt sollte darin bestehen, eine Liste der Anforderungen Ihres Unternehmens zu erstellen. Sprechen Sie dazu mit den Personen, die von einer Schwachstellenmanagementrichtlinie betroffen sein werden, und erfassen Sie deren Anforderungen. Erfahrungsgemäß helfen Ihnen die folgenden Fragen dabei, Ihre ersten Anforderungen zu ermitteln:

  1. Anlagen- und Eigentümeridentifizierung:
    1. Haben Sie eine Bestandsaufnahme aller Systeme (Maschinen), für die Sie verantwortlich sind?
    2. Wissen Sie, welche Bedeutung diese Systeme im Verhältnis zum Datenklassifizierungssystem der Organisation haben?
    3. Gibt es Grauzonen, in denen man Eigentümer einer bestimmten Softwarekomponente ist, aber nicht des gesamten Systems?
  2. Richtlinien im Zusammenhang mit dem Scannen, Melden und Beheben von Schwachstellen:
    1. Welcher Scanintervall erscheint Ihnen für Ihre Systeme angemessen? Zwei Wochen? Vier Wochen? Vierteljährlich?
    2. Wenn Sie einen Bericht über alle Ihre Systeme erhalten möchten, welches Format ist Ihnen am besten geeignet?
    3. Wie häufig aktualisieren Sie die Systeme, die Sie verwalten?
    4. Gibt es Fälle, in denen ein Software-Upgrade/Update auf einem bestimmten System nicht möglich ist? Warum?

Diese Fragen sollen Ihnen helfen, Ihre grundlegenden Anforderungen an Hardware-/Software-Scanning-Produkte auf dem Markt zu definieren – und davon gibt es eine ganze Reihe. Sobald Sie Ihre Anforderungen ermittelt haben, suchen Sie nach Produkten, die diese erfüllen, und vereinbaren Sie Demos.

Es wird nicht schwer sein, ein Produkt zu finden, das Ihren Bedürfnissen entspricht, aber ich empfehle Ihnen unbedingt, eines mit API zu wählen. Ich habe umfangreiche Erfahrung mit beiden. QualysGuard Schwachstellenmanagement (VM) und Tenables Es gibt zwar eine Produktlinie, aber es sind auch viele weitere Produkte erhältlich.

Anlagen- und Eigentümeridentifizierung

In der vorangegangenen Liste der Fragen habe ich eine erwähnt, die für die Identifizierung eines Vermögenswerts und seiner Eigentümer von äußerster Bedeutung ist: Gibt es Grauzonen, in denen man Eigentümer einer bestimmten Softwarekomponente ist, aber nicht des gesamten Systems?

Diese Frage scheint einfach, doch stellen Sie sich eine Webanwendung mit Frontend, Backend-Datenbank und dem zugehörigen Server vor. Jede dieser Komponenten kann von unterschiedlichen Abteilungen Ihres Unternehmens verwaltet oder betrieben werden. Wer ist also für das Patchen und Aktualisieren dieser Webanwendung zuständig? Die Klärung dieser Zuständigkeiten ist entscheidend für Ihr VMP (Vehicle Management Program).

Sobald Sie diese Grauzonen identifiziert haben, lässt sich die Ermittlung der verbleibenden Assets und ihrer Eigentümer relativ einfach angehen. Sie können die Assets entweder durch einen internen (unauthentifizierten) Scan ermitteln, um alle Systeme in Ihrem Netzwerk zu identifizieren, oder indem Sie sich an Ihr Netzwerkteam wenden. Dieses verfügt über die benötigten Informationen.

Die Ermittlung der Eigentümer kann je nach Netzwerktopologie schwieriger sein. Bei einem segmentierten Netzwerk lassen sich die Eigentümer anhand der Subnetze ermitteln. Andernfalls tragen Sie die identifizierten Assets einfach in eine Excel-Tabelle ein und ermitteln die Eigentümer der einzelnen Systeme.

Die Nachverfolgung und Aktualisierung der Zuordnung von Assets zu Eigentümern gestaltet sich schwierig – insbesondere in großen, global agierenden Unternehmen. Wichtig ist derzeit die Erstellung dieser ersten Liste. Die meisten Schwachstellenmanagement-Produkte verfügen über eine Komponente zur Asset- und Eigentümerverwaltung, die nach der Implementierung einige dieser Probleme beheben kann.

Richtlinien für Scannen, Melden und Behebung von Mängeln

Nachdem Sie nun anhand Ihrer allgemeinen Anforderungen ein Produkt für das Schwachstellenmanagement ausgewählt haben (auch wenn es nur testweise ist) und über eine zentrale Liste der Assets und ihrer Verantwortlichen verfügen, ist es an der Zeit, Ihr VMP schrittweise einzuführen.

Wählen Sie eine Abteilung oder Organisationseinheit aus, von der Sie glauben, dass sie eng mit Ihrem Team zusammenarbeiten wird. Sie können sogar mit den Ressourcen Ihrer eigenen Abteilung beginnen.

Nahezu alle Produkte zur Schwachstellenverwaltung verfügen über zwei (oder mehr) Scan-Typen: unauthentifiziert und authentifiziert.

Nicht authentifiziert Scans bedeuten, dass das Schwachstellenmanagementprodukt versucht, zu erraten, um welches System es sich handelt, welche Ports geöffnet sind, welches Betriebssystem auf dem System installiert ist und auf der Grundlage dieser Informationen Schwachstellen zu identifizieren.

Authentifiziert Scans bedeuten, dass sich das Schwachstellenmanagement-Produkt mithilfe eines bereitgestellten SSH-Schlüssels, Benutzernamens und Passworts am System anmeldet oder einen Agenten auf dem System installiert haben muss. Diese Art von Scan ist für Unternehmen besonders wertvoll und liefert präzise Ergebnisse ohne Spekulationen. Er identifiziert veraltete Softwareversionen, fehlende Updates/Pakete, offene Ports, Firewall-Regeln usw.

Sobald Sie sich für einen Scan-Typ entschieden haben, der entweder für ein bestimmtes Asset oder für alle Assets verwendet werden soll, sollten Sie mit dem Testen der Scan- und Berichtsfunktionen Ihres Schwachstellenmanagement-Produkts beginnen. Dieser Testzeitraum kann je nach Größe und Struktur Ihres Unternehmens zwischen zwei Wochen und sechs Monaten variieren.

Ziel ist es, die Scan-Konfigurationen zu ermitteln, die Ihre Organisation am stärksten beeinflussen. Es gibt verschiedene Möglichkeiten, festzulegen, wonach gescannt wird und wonach nicht. Dies hängt alles von Ihrem übergeordneten Ziel für Ihr VMP ab. Ich empfehle, sich zunächst auf die wichtigsten Bereiche zu konzentrieren. Dies ist zwar subjektiv, aber ich würde mich zuerst auf diese Bereiche konzentrieren, bevor ich versuche, alles zu optimieren:

  • Äußerer Scan: Ermitteln, was von außen sichtbar ist.
  • Externer Scan: Ermitteln, welche Ports extern geöffnet sind.
  • Interner Scan (nicht authentifiziert): Netzwerkkarte/Topologie und offene Ports ermitteln.
  • Interner Scan (authentifiziert): Scannen Sie eine Teilmenge der Hosts mittels eines authentifizierten Scans.
  • Abschließend sollten Sie je nach Organisation einen Zeitplan für zwei Wochen, einen Monat usw. erstellen.

Durch die Festlegung einer Ausgangsbasis können Sie anhand der Systemtypen entscheiden, was machbar ist, anstatt eine willkürliche Zeitdauer vorzugeben. Es ist entscheidend, eine geplante Scan-Dauer festzulegen, die den Anforderungen Ihres Unternehmens entspricht, die Systemverantwortlichen aber nicht überfordert. Sobald sich die Anlagenverantwortlichen an diesen neuen Prozess gewöhnt haben, werden sie sich ihrer Verantwortung stärker bewusst und können deutlich besser reagieren, wenn kritische Sicherheitslücken bekannt werden, die ihre Systeme betreffen.

Ziel eines VMP (Virtual Security Management Plan) ist es, gefundene Schwachstellen so schnell wie möglich zu beheben. Dies gelingt jedoch nicht durch eine unkontrollierte Flut von Meldungen. Wenn man jemandem einen Bericht vorlegt, der besagt, dass seine 100 Server/Systeme von 1.000 Schwachstellen betroffen sind, weiß derjenige nicht, wo er anfangen soll. Daher ist es wichtig, Berichte zu erstellen, die sich zunächst auf die kritischen Bereiche konzentrieren (z. B. offene Ports, Konfigurationseinstellungen, ungepatchte Sicherheitslücken der Stufe 5 usw.).

Sobald diese kritischen Bereiche behoben sind, fahren Sie mit Ebene 4, Ebene 3, Ebene 2 usw. fort. Wenn eine neue kritische Schwachstelle entdeckt wird, konzentrieren Sie sich auf deren Behebung. Nach Abschluss der Behebungsmaßnahmen fahren Sie mit der Beseitigung der nächsthöheren Schwachstelle fort – und wiederholen Sie diesen Vorgang.

Ein anderer Ansatz besteht darin, zunächst die kritischsten Systeme anzugehen. Dies kann dazu beitragen, das Gesamtrisiko für das Unternehmen zu senken und gleichzeitig die Gesamtergebnisse zu verbessern. Meiner Erfahrung nach basieren die wichtigsten Systeme eines Unternehmens häufig auf veralteter Software. Versuchen Sie, diese Schwachstellen durch die Zusammenarbeit mit Ihren Anbietern oder durch die Implementierung von Sicherheitsmaßnahmen zu beheben.

Schwachstellenmanagement und Ihr VMP sollten nicht als Wettlauf betrachtet werden. Dieses neue Programm ist eine fortlaufende Aufgabe für Ihr Sicherheitsteam. Gehen Sie daher geduldig vor und erwarten Sie nicht, dass alle Schwachstellen innerhalb des ersten Jahres behoben werden. Das ist unrealistisch.

Überblick über die Swimlane-Schwachstellenmanagementlösung mit Details zur automatisierten Behebung

Schwachstellenmanagement mit SOAR-Datenblatt

Ungepatchte, nicht erkannte und falsch konfigurierte Hardware, Anwendungen, Sicherheitsarchitekturen, Systeme, Endpunkte und Cloud-Dienste können durch offene Ports, fehlerhafte Konfigurationseinstellungen und ungepatchte Schwachstellen zu massiven Sicherheitslücken führen. Laden Sie noch heute das Datenblatt herunter und erfahren Sie, wie Swimlane sich in Ihre Schwachstellenmanagement-Tools integrieren lässt und Ihnen einen zentralen Überblick über Ihre gesamte Sicherheitsarchitektur bietet.

Jetzt lesen

Tags

Schwachstellen-Management

17. Februar 2016
Bewährte Verfahren zur Stärkung Ihrer Cybersicherheitsstrategie
Mehr lesen
14. März 2024
SOC-Best Practices, die Sie implementieren sollten
Mehr lesen
6. Oktober 2022
Leitfaden zu Insiderbedrohungen: Definition, Erkennung, Best Practices und Tools
Mehr lesen

Fordern Sie eine Live-Demo an