Sicherheitsexperten geben ihre besten Ratschläge für die wesentlichen Bestandteile eines soliden Programms zur Verwaltung von Sicherheitslücken. [...]
Sicherheitsverantwortliche wissen seit langem, wie wichtig es ist, Schwachstellen in ihren IT-Umgebungen zu beseitigen. Doch auch andere Führungskräfte in der Chefetage haben die Wichtigkeit dieser Aufgabe erkannt, wenn man bedenkt, wie viele öffentlichkeitswirksame Sicherheitsverletzungen auf nicht gepatchte Systeme zurückzuführen sind. Jüngste Nachrichten sollten alle Zweifel an der Tragweite dieser Aufgabe aus dem Weg räumen.
Die US-amerikanische Federal Trade Commission beispielsweise hat Anfang Januar die Geschäftswelt zum Umgang mit Log4j (weiterführende Artikel in Englisch) ermahnt und in einem Online-Posting geschrieben, dass „die Pflicht, angemessene Maßnahmen zur Behebung bekannter Software-Schwachstellen zu ergreifen, Gesetze wie unter anderem den Federal Trade Commission Act und den Gramm Leach Bliley Act berührt. Es ist von entscheidender Bedeutung, dass Unternehmen und ihre Anbieter, die auf Log4j angewiesen sind, jetzt handeln, um die Wahrscheinlichkeit von Schäden für Verbraucher zu verringern und rechtliche Schritte der FTC zu vermeiden.“
Die FTC hat guten Grund, vor solchen Problemen zu warnen: In Berichten wird immer wieder festgestellt, dass nicht gepatchte bekannte Sicherheitslücken nach wie vor zu den wichtigsten Angriffsvektoren gehören.
Ein Beispiel dafür sind die Zahlen aus dem Ransomware Spotlight Year End 2021 Report der Sicherheitsfirmen Ivanti, Cyber Security Works und Cyware. Der Bericht verzeichnete 65 neue Schwachstellen im Zusammenhang mit Ransomware im Jahr 2021, was einem Anstieg von 29 % gegenüber dem Vorjahr entspricht, und nannte insgesamt 288 bekannte Schwachstellen im Zusammenhang mit Ransomware.
Trotz dieser Ergebnisse verfügen viele Unternehmen nicht über ein formelles Schwachstellenmanagementprogramm. Eine Umfrage des SANS Institute, einer Organisation für Cybersicherheitstraining und -zertifizierung, aus dem Jahr 2020 ergab, dass fast 37 % der Unternehmen entweder nur einen informellen Ansatz oder überhaupt kein Programm haben.
Erfahrene Sicherheitsverantwortliche sind sich einig, dass das Schwachstellenmanagement nicht auf Ad-hoc-Basis oder mit informellen Methoden durchgeführt werden sollte. Vielmehr sollte es programmatisch sein, um Maßnahmen, Verantwortlichkeit und kontinuierliche Verbesserung zu erzwingen.
Zu diesem Zweck haben diese Experten 12 Schritte für den Aufbau eines erstklassigen Schwachstellenmanagementprogramms vorgeschlagen:
1. Ein Team zusammenstellen
„Bevor man etwas kauft, Prozesse durchführt oder Verfahren einführt, muss man ein Team zusammenstellen“, sagt Daniel Floyd, der als CISO von Blackcloak das SOC, die Threat-Intelligence-Plattform sowie die Teams für Penetrationstests und digitale Forensik leitet.
Floyd empfiehlt, neben den Sicherheits- und IT-Mitarbeitern, die sich in der Regel um Schwachstellenmanagement und Patches kümmern, auch andere wichtige Interessengruppen einzubeziehen, z. B. Mitarbeiter der Geschäftsseite, die über die Auswirkungen auf das Unternehmen sprechen können, wenn Systeme für einen Neustart heruntergefahren werden, damit das Team verstehen kann, wie sich seine Arbeit auf andere auswirkt.
2. Führen Sie ein aktuelles, umfassendes Inventar aller Assets
Ein weiteres grundlegendes Element für ein effektives Schwachstellenmanagementprogramm ist ein aktuelles Asset Inventar mit einem Prozess, der sicherstellt, dass es so aktuell und umfassend wie möglich bleibt. „Es ist definitiv ein Thema, über das jeder Bescheid weiß, aber es ist ein sehr schwieriges Gebiet“, sagt Floyd, insbesondere in modernen Unternehmen mit physischen Gegenständen, Remote-Mitarbeiterverbindungen und IoT-Komponenten sowie Cloud-, SaaS- und Open-Source-Elementen.
Aber die harte Arbeit ist entscheidend, sagt Alex Holden, CISO bei Hold Security und Mitglied der ISACA Emerging Trends Working Group. „Alles muss berücksichtigt werden, damit Sie, wenn etwas Neues auftaucht, wissen, ob es etwas ist, das Sie beheben müssen.“
3. Entwicklung einer „obsessiven Konzentration auf die Visibilität“.
Nach der Erstellung eines umfassenden Bestandsverzeichnisses empfiehlt William MacMillan, SVP of Information Security bei Salesforce, den nächsten Schritt zu machen und einen „obsessiven Fokus auf Visibilität“ zu entwickeln, indem er „die Vernetzung Ihrer Umgebung, den Datenfluss und die Integrationen versteht“.
„Selbst wenn Sie noch nicht so weit sind, programmatisch zu arbeiten, beginnen Sie mit der Visibilität“, sagt er. “ Die wichtigste Investition in die Cybersicherheit ist es, Ihre Umgebung zu verstehen und alle Ihre Daten zu kennen. Für mich ist dies das Fundament Ihres Hauses, und Sie sollten auf diesem starken Fundament aufbauen.
4. Aggressiveres Vorgehen beim Scannen
Schwachstellen-Scans sind ein weiteres grundlegendes Element eines soliden Cybersicherheitsprogramms, doch Experten sagen, dass viele Unternehmen, die regelmäßig Scans durchführen, dennoch Probleme nicht erkennen, weil sie nicht gründlich genug sind. „Meiner Meinung nach liegt der Fehler bei der Reichweite“, sagt Floyd.
Folglich haben leistungsstarke Programme zur Verwaltung von Schwachstellen aggressivere Scanverfahren eingeführt, die mehrere Scanoptionen umfassen. Floyd ist beispielsweise der Meinung, dass Teams zusätzlich zu den üblichen agentenbasierten und Netzwerk-Scans auch Scans mit Anmeldeinformationen durchführen sollten, um eine gründlichere Suche nach schwachen Konfigurationen und fehlenden Patches durchzuführen.
5. Dokumentierte, durchdachte Arbeitsabläufe
Ausgereifte, gut etablierte Programme zum Schwachstellenmanagement verfügen über dokumentierte, durchdachte Arbeitsabläufe, in denen festgelegt ist, was passiert und wer wofür verantwortlich ist, so MacMillan.
„Größere, komplexe Unternehmen haben verstanden, dass [Sicherheitslücken] eine existenzielle Bedrohung darstellen und dass sie die Ad-hoc-Phase schnell hinter sich lassen und die erforderlichen Maßnahmen bewusst und gezielt festlegen müssen“, erklärt er.
Sicherheitsteams in aller Welt können davon profitieren, wenn sie sich an diese bewährten Verfahren halten, diese Arbeitsabläufe einrichten und wo immer möglich automatisieren.
Darüber hinaus sollten die Teams laut MacMillan ein gemeinsames Vorgehensmodell entwickeln, bei dem allen Teammitgliedern, die am Schwachstellenmanagement arbeiten, dieselben Daten und Bedrohungsinformationen zur Verfügung stehen.
„Jeder sollte von diesem gemeinsamen Vorgehensmodell ausgehen, und sie sollten alle synchronisiert werden“, fügt er hinzu.
6. Festlegen und Verfolgen von KPIs
„Um die Effektivität Ihrer Kontrollen zu überprüfen und dem Management zu beweisen, dass sie effektiv sind, ist es gut, über Maßstäbe zu verfügen, die über die Leistung Ihres Schwachstellenmanagementprogramms berichten“, sagt Niel Harper, ISACA-Vorstandsmitglied und CISO eines großen globalen Unternehmens.
Seiner Meinung nach können Unternehmen alle gängigen Leistungsindikatoren – wie den Prozentsatz der rechtzeitig behobenen kritischen Schwachstellen und den Prozentsatz der nicht rechtzeitig behobenen kritischen Schwachstellen – verwenden, um den aktuellen Stand zu messen und Verbesserungen im Laufe der Zeit zu verfolgen.
Weitere KPIs (Key Performance Indicator) könnten der Prozentsatz der inventarisierten Assets, die Zeit bis zur Entdeckung, die durchschnittliche Zeit bis zur Reparatur, die Anzahl der Vorfälle aufgrund von Schwachstellen, die Wiederöffnungsrate von Schwachstellen und die Anzahl der gewährten Ausnahmen sein.
Wie Harper erklärt: „All diese Kennzahlen geben dem Management eine Vorstellung davon, wie gut Ihr Schwachstellenmanagementprogramm funktioniert.“
7. Benchmarking
Die Verfolgung von KPIs kann Aufschluss darüber geben, ob sich Ihr eigenes Schwachstellenmanagementprogramm im Laufe der Zeit verbessert, aber Sie müssen sich an den Bemühungen anderer Unternehmen messen lassen, um festzustellen, ob Ihr Programm im Vergleich zu anderen über- oder unterdurchschnittlich ist, sagt Harper.
„Benchmarking hilft Ihnen zu verstehen, wie Sie im Vergleich zu Ihren Kollegen und Konkurrenten abschneiden, und es gibt dem Management die Gewissheit, dass Ihr Schwachstellenmanagementprogramm effektiv ist“, sagt er. „Es kann auch als Unterscheidungsmerkmal auf dem Markt dienen, das Sie sogar zur Steigerung des Umsatzes nutzen können.
Harper sagt, dass Anbieter von verwalteten Diensten oft über Daten verfügen, die Sicherheitsteams für diese Aufgabe nutzen können.
8. Jemanden für Erfolg zuständig und verantwortlich machen
Um ein echtes Schwachstellenmanagementprogramm zu haben, müssen Unternehmen nach Ansicht mehrerer Experten jemanden benennen, der für die Arbeit und letztlich für die Erfolge und Misserfolge verantwortlich und zuständig ist.
„Es muss eine benannte Position sein, jemand mit einer Führungsaufgabe, aber getrennt vom CISO, weil der CISO nicht die Zeit hat, KPIs zu verfolgen und Teams zu managen“, sagt Frank Kim, Gründer von ThinkSec, einem Sicherheitsberatungsunternehmen und CISO-Berater, und ein SANS Fellow.
Kim sagt, dass größere Unternehmen oft genug Aufgaben im Bereich des Schwachstellenmanagements haben, um jemanden zu beauftragen, diese Aufgabe in Vollzeit zu übernehmen, aber kleinere und mittlere Unternehmen, die keinen Vollzeitmanager benötigen, sollten diese Verantwortlichkeitsarbeit dennoch zu einem offiziellen Teil der Arbeit eines Mitarbeiters machen.
„Denn wenn man dieser einen Person nicht die Verantwortung überträgt“, sagt Kim, „dann zeigt jeder mit Zahlen auf den anderen.“
9. Anreizsysteme an Programmverbesserungen und Erfolgen orientieren
Die Zuweisung der Verantwortung für das Programm ist ein Schritt, aber Kim und andere sagen, dass Unternehmen auch Anreize schaffen sollten, wie z. B. Boni, die an die Verbesserung von KPIs gebunden sind.
„Anreize sollten nicht nur für die Teams geschaffen werden, die für das Patchen verantwortlich sind, sondern für alle Beteiligten im Unternehmen„, sagt Floyd, sei es in Form von zusätzlichen Vergütungen, Urlaubstagen oder anderen Formen der Anerkennung. „Es geht darum, Anreize zu schaffen und Erfolge zu feiern. Es zeigt, dass dies eine Priorität sein muss“.
10. Erstellen Sie ein Bug Bounty Programm
Salesforce belohnte Ethical Hacker im Jahr 2021 mit mehr als 2,8 Millionen US-Dollar für das Aufspüren von Sicherheitsproblemen in seinen Produkten und sieht dieses Bug Bounty als einen wichtigen Teil des Schwachstellenmanagements, so MacMillan.
MacMillan empfiehlt anderen Unternehmen, Bug-Bounty-Programme als Teil ihres Schwachstellenmanagements einzuführen. „Es ist ein effektiver Weg, um Probleme aufzudecken“, sagt er.
Andere stimmen ihm zu. Holden zum Beispiel sagt, dass kleinere Unternehmen ein internes Bug-Bounty-Programm einrichten können, das Mitarbeiter belohnt, die Schwachstellen finden, oder mit externen Parteien oder Cybersicherheitsunternehmen zusammenarbeiten können, die solche Dienste anbieten, um auf einen größeren Pool an Fachwissen zurückzugreifen.
11. Erwartungen festlegen und im Laufe der Zeit anpassen
Die Zahl der öffentlich bekannt gegebenen Sicherheitslücken in der CVE-Liste (Common Vulnerabilities and Exposures) nimmt weiter zu, wobei die Zahl der jährlich neu hinzukommenden Schwachstellen in den letzten zehn Jahren fast jedes Jahr gestiegen ist. Im Jahr 2011 gab es 4.813 CVEs, im Jahr 2020 waren es 11.463, so eine Analyse von Kenna Security.
Angesichts des Umfangs sind sich die Experten einig, dass Unternehmen Prioritäten setzen müssen, welche Schwachstellen die größten Risiken für sie darstellen, damit sie diese zuerst angehen können.
Peter Chestna, CISO für Nordamerika bei Checkmarx, pflichtet dem bei. Er sagt aber auch, dass Unternehmen ihre Prioritäten klar definieren und ihr Schwachstellenmanagementprogramm auf die Schwachstellen konzentrieren sollten, die sie tatsächlich angehen wollen.
Wenn ein Unternehmen beispielsweise nur plant, Schwachstellen zu beheben, die als hoch eingestuft sind, warum dann überhaupt nach Schwachstellen mit geringem Risiko scannen? Laut Chestna kann dieser Ansatz Ressourcen binden und Teams von Arbeiten mit hoher Priorität ablenken, so dass es wahrscheinlicher wird, dass sie kritische Probleme übersehen.
„Legen Sie stattdessen die Regeln fest, die Sie befolgen wollen (es müssen Regeln sein, die Sie tatsächlich befolgen können), und befolgen Sie sie dann“, sagt er und fügt hinzu, dass sich die Organisation so besser auf die Risikominderung konzentrieren kann. „Und wenn wir bei diesen höchsten Prioritäten wirklich gut abschneiden, dann können wir darüber reden, die Fluttore zu öffnen.“
12. Berichterstattung über die Leistung des Programms
Die Sicherheitsabteilung sollte die Stakeholder im Unternehmen nicht nur über alle Patching-Maßnahmen informieren, die sich auf ihren Zugang zu den Systemen auswirken könnten, sondern auch über die Gesamtleistung des Schwachstellenmanagement-Programms berichten – und zwar in Bezug auf das Risiko und die Risikominderung.
„Dies ist etwas, worüber Sie eigentlich Ihrem Vorstand Bericht erstatten sollten“, fügt Floyd hinzu. „Machen Sie sich selbst rechenschaftspflichtig.
*Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Be the first to comment