Diese häufigen Fehltritte und Missverständnisse können Ihr Sicherheitsmanagement von einer optimalen Umsetzung abhalten. [...]
Mehrere Sicherheitsverletzungen, darunter die massive Datenschutzverletzung bei der Ratingagentur Equifax im Jahr 2017, wurden auf nicht gepatchte Sicherheitslücken zurückgeführt – eine Tripwire-Studie aus dem Jahr 2019 ergab, dass 27 % aller Sicherheitsverletzungen auf nicht gepatchte Sicherheitslücken zurückzuführen sind, während eine Ponemon-Studie aus dem Jahr 2018 die Prozentzahl auf überwältigende 60 % bezifferte.
Das sollte niemanden in der Sicherheitsbranche überraschen: Die Zahl der jährlich identifizierten Schwachstellen ist in den letzten Jahren kontinuierlich gestiegen. Gleichzeitig sind die Sicherheitsteams überlastet, da sie besonders damit beschäftigt sind, sichere Remote-Arbeit zu ermöglichen und andere pandemiebedingte Anforderungen zu erfüllen, während sie gleichzeitig mit einer Personalknappheit zu kämpfen haben.
Infolgedessen hat die Verbesserung des Schwachstellenmanagements nicht immer höchste Priorität. Erfahrene Sicherheitschefs sagen jedoch, dass sie häufige Fehler und Fehltritte sehen, die zur Stärkung dieser Programme behoben werden können und sollten. Hier sind 10 Fehler, die CISOs ihrer Meinung nach immer noch häufig machen:
Fehlende Unterstützung durch die Geschäftsführung
Die Arbeit, die für ein erfolgreiches Sicherheitsmanagement erforderlich ist, geht weit über das Sicherheitsteam hinaus. Risikoentscheidungen erfordern den Input der Geschäftsleitung, Patches erfordern IT-Fachwissen, und geplante Ausfallzeiten für Updates wirken auf eine Vielzahl von Geschäftsbereichen.
Folglich brauchen CISOs die Unterstützung mehrerer Stellen im Unternehmen, um diese Aufgabe gut bewältigen zu können, und diese Unterstützung ist wahrscheinlicher, wenn sie von den obersten Führungskräften des Unternehmens gefördert wird, sagt Michael Gray, CTO des Managed Services-Anbieters Thrive.
Andererseits können CISOs, denen die Unterstützung der Führungsebene für ihr Schwachstellenmanagement fehlt, durch mangelnde Klarheit über das akzeptable Risiko und den Widerstand der IT- und Geschäftsbereiche bei der Planung von Patches und Systemausfallzeiten behindert werden.
Aber es gibt auch eine gute Nachricht: Gray und andere sagen, dass CISOs zunehmend die Unterstützung der Geschäftsleitung finden, die sie benötigen, da Cybersicherheit zu einem Anliegen auf Vorstandsebene geworden ist. Die Zahlen des Analystenunternehmens Gartner bestätigen diesen Trend: In ihrer Umfrage unter Geschäftsführern für das Jahr 2021 stellten sie fest, dass 88 % der Vorstände die Cybersicherheit inzwischen als Geschäftsrisiko betrachten.
Mangelhafte Förderung eines Gefühls der gemeinsamen Verantwortung
„CISOs tragen die Verantwortung oder das Risiko für das Sicherheitsmanagement allein: Das sollten sie aber nicht“, sagt Alex Attumalil, CISO bei Under Armour.
CISOs sind nicht Eigentümer der Systeme oder der Geschäftsfunktionen, die sie unterstützen, und sie haben auch nicht die Befugnis, allein zu entscheiden, ob das Unternehmen ein bestimmtes Risiko in Kauf nehmen kann.
„Wir sind nicht befugt, Risiken im Namen des Unternehmens zu übernehmen. Sie müssen also die Informationen weitergeben“, sagt er. Das bedeutet, dass man den anderen Führungskräften des Unternehmens das Risiko mitteilen, das Schwachstellenmanagement als Geschäftsrisiko darstellen und sie in die Lage versetzen muss, Teil der Lösung zu sein. Sie müssen wissen, dass sie für die Schwachstellen, die ihre Systeme verursachen, verantwortlich sind“.
Attumalil sagt, dass dieser Ansatz den Führungskräften des Unternehmens über den CISO hinaus „einen Anteil am Geschehen“ gibt, was zu mehr Unterstützung und Zusammenarbeit führt, wenn es um Schwachstellenmanagement geht, z. B. bei der Planung von Systemausfallzeiten für Patches.
Verwendung einer pauschalen Prioritätensetzung
Eine kürzlich von Pulse im Auftrag des Sicherheitsanbieters Vulcan Cyber durchgeführte Studie hat gezeigt, dass die überwiegende Mehrheit der über 200 befragten IT- und Sicherheitsverantwortlichen in Unternehmen Schwachstellen nicht auf der Grundlage der individuellen Risikoprofile ihres Unternehmens priorisieren. Genauer gesagt ergab die Studie, dass 86 % der Befragten sich bei der Priorisierung von Schwachstellen auf Daten von Drittanbietern verlassen, wobei 70 % auch Informationen über Bedrohungen von Drittanbietern nutzen.
Erfahrene Sicherheitsverantwortliche warnen vor diesem Ansatz, da er dazu führen könnte, dass CISOs und ihre Teams ihre begrenzten Ressourcen auf die falschen Bedrohungen konzentrieren.
Kyle Lai, Präsident und CISO von KLC Consulting, das Cybersecurity-Beratung und vCISO-Dienste für US-Verteidigungsunternehmen anbietet, empfiehlt einen anderen Ansatz. Er sagt, dass CISOs und ihre Teams die eigene Technologieumgebung des Unternehmens verstehen und über ein aktuelles Asset-Inventar verfügen müssen. Außerdem müssen sie die Risikobereitschaft und Risikotoleranz des Unternehmens verstehen, damit sie die größten Bedrohungen für ihr eigenes Unternehmen identifizieren und Prioritäten für deren Bekämpfung setzen können.
„Sie sollten ein gutes Verständnis dafür haben, wie groß die Auswirkungen einer bestimmten Bedrohung sein könnten; sie sollten wissen, welche Bedrohungen schwerwiegender sind. Sie sollten die Prioritäten auf der Grundlage der Auswirkungen auf ihr eigenes Unternehmen setzen“, sagt er.
Vernachlässigung von Schulungsmaßnahmen
Bryan Willett, CISO von Lexmark International, hat erkannt, dass sich die Fähigkeiten für das Patchen von Linux-Systemen von denen unterscheiden, die für das Patchen von Windows erforderlich sind, und dass sich diese Fähigkeiten von denen unterscheiden, die für die Ausführung anderer Aufgaben im Rahmen seines Schwachstellenmanagementprogramms erforderlich sind.
Außerdem, so Willett, ist das Wissen, das seine Sicherheitsmitarbeiter für das Schwachstellenmanagement benötigen, ein anderes als das Know-how, das die IT-Mitarbeiter für das Patchen der eigentlichen Systeme benötigen.
„Ich möchte also, dass diese Teams die Ausbildung erhalten, die sie für ihre Aufgaben benötigen“, sagt er.
Sicherheitsverantwortliche sagen jedoch, dass nicht alle Unternehmen die kontinuierliche Weiterbildung ihrer Mitarbeiter gewährleisten, die für eine erstklassige Sicherheit und insbesondere für ein robustes Schwachstellenmanagement erforderlich ist. Experten zufolge unterschätzen Unternehmen manchmal den Grad der Spezialisierung, den die Aufgaben des Sicherheitsmanagements erfordern, oder sie übersehen, dass die Mitarbeiter für die spezifischen Systeme oder Tools geschult werden müssen, die in ihrem eigenen Unternehmen verwendet werden.
„Jeder muss daran denken, dass die Mitarbeiter zwar gerne das Richtige tun wollen, aber wir auch in sie investieren müssen, damit sie in der Lage sind, das Richtige zu tun“, fügt Willett hinzu.
Mangelnde Überwachung der Codebase
Laut einer Studie der Linux Foundation verwenden immer mehr Unternehmen eine Software-Bill-of-Materials (SBOM), um den gesamten Code in ihren Systemen besser zu verstehen. Genauer gesagt zeigt der Bericht, dass 47 % SBOMs erstellen oder verwenden und 78 % der Unternehmen erwarten, dass sie SBOMs im Jahr 2022 erstellen oder verwenden werden (gegenüber 66 % im Jahr 2021).
Obwohl die Zahlen einen Anstieg bei der Verwendung von SBOMs zeigen, deuten sie darauf hin, dass viele Unternehmen nicht genügend Wissen über den Gesamtumfang des Codes in ihrer IT-Umgebung haben. Und dieser Mangel an Transparenz schränkt ihre Fähigkeit ein, zu erkennen, ob es Schwachstellen gibt, die behoben werden müssen, sagt Lai.
„Man muss wissen, welchen Code und welche Open Source-Komponenten man hat, damit man, wenn etwas wie Log4J herauskommt, weiß, wo es überall zu finden ist“, sagt er.
Aufschieben von Upgrades
Obwohl das Sicherheitsmanagement eine nie endende Aufgabe ist, könnte es in ein effektiveres Konzept eingebaut werden, indem man sich mit der technischen Schuld befasst, sagt Joe Nocera, Leiter des Cyber & Privacy Innovation Institute bei der Beratungsfirma PwC.
Wie Nocera erklärt: „Je mehr ich alte Versionen ausmustern oder auf einem Standard-Stack konsolidieren kann, desto weniger muss ich mich um die Schwachstellen kümmern. Deshalb denke ich, dass Vereinfachung und Konsolidierung der beste Hebel ist, den man haben kann.“
Nocera räumt ein, dass die Ausmusterung von Altsystemen und die Beseitigung technischer Schulden natürlich nicht die Schwachstellen beseitigt. Aber die Abschaffung von Altsystemen bedeutet eine gewisse Arbeitserleichterung und kann das Unternehmen von Systemen befreien, die nicht mehr gepatcht werden können, wodurch das Risiko verringert wird.
Durch die Beseitigung dieser Probleme können sich die Sicherheitsteams zusammen mit ihren IT-Kollegen auf die verbleibenden Prioritäten konzentrieren, wodurch das Programm viel effektiver und wirkungsvoller wird, sagt er.
Trotz der Vorteile dieses Ansatzes haben viele Unternehmen dies noch nicht zu ihrer Priorität gemacht: Der 2022 Endpoint Management and Security Trends Report von Action1 Corp., einem Hersteller einer Cloud-Plattform für Fernüberwachung und -verwaltung, ergab, dass nur 34 % der Befragten planen, sich auf die „Beseitigung riskanter Altsoftware zu konzentrieren, die sie durch Cloud-Alternativen ersetzt haben.“
Nachrichten über neue Bedrohungen ignorieren
Die ersten Warnungen über neue Schwachstellen oder aufkommende Bedrohungen kommen oft in Form von kurzen Bulletins, denen es an Details fehlt. Trotz der begrenzten Informationen, die mit solchen frühen Berichten einhergehen, sollten Sicherheitsteams deren Bedeutung nicht außer Acht lassen, so Lai. Vielmehr sei es wichtig, Nachrichten und Schlagzeilen aus verschiedenen Sicherheitsquellen zu verfolgen, um zu wissen, was sich am Horizont abzeichnet.
„Sie sollten darauf achten, was veröffentlicht wird. Sie enthalten vielleicht keine Details, aber diese Art von Informationen hilft Ihnen, sich besser vorzubereiten“, sagt er. „Sie können dann mit der Vorbereitung oder Planung frühzeitig beginnen.“
Auf jede neue Bedrohung reagieren
Andererseits warnt Erik Nost, Senior Analyst bei Forrester Research, CISOs davor, auf aktuelle Nachrichten zu reagieren, ohne vorher zu prüfen, ob und inwieweit sich diese auf ihr eigenes Unternehmen auswirken könnten.
„Viele CISOs sind noch dabei zu lernen, wie sie mit Zero Days und Schwachstellen umgehen sollen, die immer häufiger Schlagzeilen erzeugen“, sagt er. „Es ist eine Herausforderung, herauszufinden, was reine Sensationsmeldungen sind und welche Schwachstellen eine tatsächliche Bedrohung für das eigene Unternehmen darstellen, aber von den Teams zu verlangen, dass sie der Behebung aller Schwachstellen, die in ihrem Posteingang landen oder die der CEO in den Schlagzeilen sieht, Priorität einräumen, ist nicht der richtige Ansatz.“
Nost verweist auf eine aktuelle Studie der Cornell University, aus der hervorgeht, dass APTs (Advanced Persistent Threats) mit größerer Wahrscheinlichkeit bekannte Schwachstellen ausnutzen als Zero Days. Daher, so Nost, sollten CISOs auch Threat-Actors berücksichtigen und überlegen, ob es wahrscheinlich ist, dass APTs ihre Organisationen ins Visier nehmen“.
Er sagt, dass Sicherheitsteams aktive Exploits als einen „besseren Priorisierungsfaktor betrachten sollten als das, worüber die Medien sprechen“.
„Die Teams stehen unter Zeitdruck. Wenn sie bei jeder Schwachstelle, die auf Twitter auftaucht, “ Hau den Lukas “ spielen, dann bewerten sie nicht aktiv das Risiko, das spezifisch auf ihr Unternehmen zutrifft, im Vergleich zu ihrer akzeptablen Risikobereitschaft, und beheben die Schwachstelle, die die größte Bedrohung darstellt,“ fügt Nost hinzu.
„Und wenn es einen Zero-Day oder eine Schwachstelle gibt, die Schlagzeilen verursacht, müssen Sie möglicherweise trotzdem Maßnahmen ergreifen, also sollten Ihre Teams über Verfahren zur Bewertung der Bedrohung verfügen. Denken Sie nur daran, sich an das festgelegte Regelwerk, die Risikobereitschaft und an bereits etablierte Verfahren zur Bedrohungsanalyse zu halten.“
Veralteten Informationen vertrauen
Die Gartner-Umfrage unter Führungskräften hat nicht nur gezeigt, dass die meisten Unternehmen die Cybersicherheit als Risiko betrachten, sondern auch, dass die Mehrheit (57 %) ihre Risikobereitschaft im Zeitraum 2021-2022 erhöht hat oder voraussichtlich erhöhen wird. Gleichzeitig nimmt die Zahl der jährlich neu entdeckten Sicherheitslücken von Jahr zu Jahr zu. Und die IT-Umgebung eines typischen Unternehmens entwickelt sich ständig weiter.
Zusammengenommen verdeutlichen diese Punkte die Notwendigkeit für CISOs, Prozesse zu entwickeln, um ihr Kalkül für die Priorisierung von Schwachstellenbehebungen und -beseitigungen zu überdenken und zu überprüfen, so die Experten.
„Zu oft sind Unternehmen nicht gut darin, den Lebenszyklus von Schwachstellen zu verwalten“, sagt Gray. „Sie wachsen ständig, verändern sich ständig und müssen ständig im Auge behalten werden.
Unzureichende Integration von Sicherheit im Entwicklungsprozess
Nocera sagt, dass nicht genügend Unternehmen die Prinzipien der Sicherheit und des sicheren Designs in den Entwicklungsprozess einbinden, was dazu führt, dass CISOs und CIOs die Chance verpassen, gemeinsam ein robusteres Programm für das Sicherheitsmanagement in ihren Unternehmen zu entwickeln.
Durch die frühzeitige Integration von Sicherheitsaspekten in den Entwicklungsprozess können CISOs Sicherheitsproblemen zuvorkommen, bevor der Code in die Produktion gelangt, sagt Nocera. „So bringen Sie keine bekannten Schwachstellen in die Umgebung ein.“
Nocera sagt, dass eine solche Umstellung nicht zwangsläufig zu einer Verringerung des Arbeitsaufwands für das Sicherheitsmanagement führt, aber sie setzt – wie die Beseitigung von Altsystemen und technischen Schulden – Ressourcen frei, so dass die Teams ihre Bemühungen im Sicherheitsmanagement optimieren können.
*Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Be the first to comment