Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Sicherheit erfordert anderen Blickwinkel

Vulnerability-Management

Sicherheit erfordert anderen Blickwinkel

29. September 2016, 8:00 Uhr | Von Dirk Schrader.

Nicht ablösen, sondern koordinieren - so lautet die Devise für wirkungsvolle Schwachstellen- oder Vulnerability-Management-Lösungen. Denn sie liefern die notwendigen Informationen, um eingesetzte IT-Sicherheitslösungen gezielt auf die Hot Spots auszurichten. Doch nicht nur das: Mit Vulnerability-Management lassen sich Sicherheitslücken entdecken und schließen, bevor Kriminelle sie ausnutzen können.

Komplexität und Geschwindigkeit von Cyberangriffen nehmen rapide zu. Dafür nutzen die Angreifer bevorzugt Schwachstellen in der IT-Infrastruktur des Unternehmensnetzwerks. Nach diesen müssen sie meist nicht lange suchen, denn Sicherheitslücken finden sich auch in aktuellen Softwareversionen. Die neue Lücke Android-21335999 oder die ernüchternde 100-Tages-Bilanz von Windows 10 sind nur zwei Beispiele von vielen.

Bei einem erfolgreichen Angriff treffen drei grundlegende Elemente zusammen:

  • ein ausreichend befähigter Angreifer, der
  • sich Zugang zur IT-Infrastruktur eines Unternehmens verschaffen kann und
  • dort eine ausreichend große Angriffsfläche vorfindet.

Angreifer benötigen also einschlägige Kenntnisse, passende Werkzeuge und ausreichend Ressourcen, um einen Angriff zu starten und im Angriffsverlauf unerwartete Hürden zu überwinden. Das Internet verschafft ihnen starke Hebel, um ihre Chancen auf allen drei Feldern zu verbessern: Mit ersten Grundkenntnissen ausgerüstet, können sie ihr Wissen in einschlägigen Foren rasch ausweiten. Zudem ist es damit auch relativ einfach, hochspezialisierte Hacking-Tools zu finden und wertvolle Ressourcen zu ermitteln und zu missbrauchen. Ein so ausgerüsteter Angreifer wird dann je nach Voraussetzungen und Absichten versuchen, sich entweder direkt physisch Zugriff auf das Netzwerk seiner Begierde zu verschaffen oder über Kommunikationsverbindungen aus der Ferne zuzugreifen.

In beiden Fällen hängen seine Erfolgsaussichten am Ende aber davon ab, auf wie viele Fehlkonfigurationen und auf welche Schwachstellen er trifft, kurzum: welche Angriffsfläche ihm sein potentielles Opfer bietet. Eine vergleichsweise geringe Rolle spielt dabei die Frage, wie aktuell die Schwachstellen bereits sind: 999 von 1.000 erfolgreichen Angriffen bauen laut Verizons Data Breach Investigations Report von 2015 auf Schwachstellen, die bereits über ein Jahr lang bekannt sind.

Die Angreiferperspektive einnehmen

Das Vulnerability-Management versetzt die IT-Verantwortlichen in die Lage, Schwachstellen deutlich schneller zu erkennen - und entsprechend zu handeln. Im Gegensatz zu den meisten Sicherheitslösungen ist hier der Blickwinkel ein anderer: Statt von innen nach außen wird das Unternehmensnetzwerk von außen nach innen betrachtet.

Dabei geht es nicht darum, verwandte Sicherheitsansätze abzulösen. Ziel ist vielmehr, sie richtig zu koordinieren. Denn es kann durchaus sinnvoll und nützlich sein, das Schwachstellen-Management mit einer existierenden SIEM-Lösung (Security-Information- and Event-Management) oder einem Information-Security-Management-System (ISMS) zu verbinden. Informationen über gefundene Schwachstellen oder die Nichteinhaltung von Konfigurations- oder Compliance-Richtlinien würde das Vulnerability-Management in diesem Fall an ein SIEM-System oder ISMS senden. Darüber hinaus kann - basierend auf der Funktionalität beider Systeme - der Informationsaustausch eine automatische Justierung des Vulnerability-Management-Systems ermöglichen, etwa um die Kritikalität eines Assets anzupassen.

Worauf es ankommt

Damit die Verantwortlichen in den Unternehmen entscheiden können, wo die größten Risiken liegen und welche Aufgaben höchste Priorität haben, müssen sie das Bedrohungsszenario, den potenziellen Schaden und den Schweregrad der einzelnen Schwachstellen kennen. Professionelle Lösungen sollten daher eindeutige Kennzahlen liefern. Bedrohungsszenario und Schaden lassen sich in der Regel schnell einer vordefinierten Kategorie zuordnen. Dazu ein Beispiel: Ein Web-Server in einer demilitarisierten Zone (DMZ) ist zwangsläufig stärker bedroht als ein Server, der nur über eine Telefon-Einwahlleitung erreichbar ist.

Eine weitere wichtige Komponente ist ein regelmäßiges Update mit aktualisierten Schwachstellentests. Denn die Risikolage ändert sich kontinuierlich: Ständig entstehen neue externe Bedrohungen und auch die internen Strukturen bleiben in lebendigen Unternehmen nie konstant. Um die Sicherheitsrisiken realistisch einschätzen zu können, ist daher stets aktuelles Wissen über die Sicherheitslage erforderlich. Führende Security-Anbieter lösen diese Aufgabe beispielsweise, indem ihre Anwender täglich und automatisch einen Security Feed erhalten. Dieser umfasst zehntausende Netzwerk-Schwachstellen-Tests (Network Vulnerability Test, NVT) - Tendenz steigend. Zudem bieten Infoportale der Hersteller einen Überblick über neu entdeckte Schwachstellen.

ll10s02a
Täglich aktualisierte NVTs im Rahmen eines Vulnerability-Management-Prozesses zeigen die momentane Risikolage nach Kritikalität und nach Anwendungsfamilie aufgeschlüsselt an. Bild: Greenbone

Ebenfalls wichtig: Remediation Tracking dient der Kontrolle, ob die gefundenen und priorisierten Schwachstellen auch tatsächlich beseitigt sind. Denn es geht hier nicht darum, das Umsetzen von Richtlinien nur sporadisch zu überprüfen. Ziel ist es, die Anwendung der Security-Kontrollmechanismen regelmäßig zu scannen. Die Verantwortlichen sollten dabei auf die Möglichkeit einer zeitgesteuerten Ausführung achten. So können sie die unternehmensinterne Terminplanung berücksichtigen. Bietet die Lösung eine dezentrale Sensorik, lassen sich neben der Zentrale auch weitere Unternehmensstandorte einbinden.

Gute Vulnerability-Management-Systeme zeichnen sich außerdem durch eine hohe sogenannte "Quality of Detection" aus, definiert als die Genauigkeit der Erkennung einer Schwachstelle. Eine hohe Erkennungsqualität minimiert Probleme und Aufwände, die durch das Handling von False Positives entstehen. Zudem wirken die Systeme präventiv gegen Angriffe und decken Verstöße gegen die Sicherheitsrichtlinien des Unternehmens oder gegen gesetzliche Vorgaben auf. Für einen geringen Installations- und Betriebsaufwand sorgen schlüsselfertige Lösungen. Idealerweise bieten sie Assistentenfunktionen, die die Bedienung des Systems als zentrale Web-Schnittstelle erleichtern.

Die Praxis zeigt, dass ein gezieltes Vorgehen nach Risiko und Schadenskategorie wesentlich effizienter ist, als willkürlich möglichst viele kleine Löcher zu stopfen. Verfügt eine Vulnerability-Management-Lösung über die beschriebenen Funktionen, können IT-Verantwortliche einen Großteil ihrer Schwachstellen entdecken und beseitigen.

Dirk Schrader ist Certified Information Systems Security Professional (CISSP) bei Greenbone Networks ().

Lesen Sie mehr zum Thema

Magic Software Enterprises (Deutschland) GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Magic Software Enterprises (Deutschland) GmbH

Armis kündigt Asset Vulnerability Management (AVM)…

Behebung von Schwachstellen nach Risiko priorisieren

Kaseya erweitert Anti-Phishing- und…

Arbeitsumgebungen effektiv verwalten

Controlware VMS gegen Cyberangriffe

Vulnerability-Management-Service für sichere IT-Systeme

77 Prozent der kritischen…

Beyond Trust: Vulnerabilities-Report ermittelt Rekord an Schwachstellen

Interview mit Citrix-CISO Fermín Serna

Gefährliche Grauzone

Matchmaker+
AixpertSoft GmbH

AixpertSoft GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Securepoint GmbH

Securepoint GmbH
Zyxel Networks A/S

Zyxel Networks A/S
Riello UPS GmbH

Riello UPS GmbH
easybell GmbH

easybell GmbH