Vulnerability Management: Patchen allein ist nicht genug!

Geht es um Vulnerability Management, herrscht am Markt noch viel Verwirrung. Schließlich geht es dabei um weit mehr, als die Beseitigung von Security-Schwachstellen. [...]

So wie die Verwaltung von Sicherheitslücken umfangreicher ist, als man sich das vielleicht vorstellt, so ist es auch die Definition einer Schwachstelle (c) pixabay.com

Vulnerability Management beinhaltet nicht nur das schlichte Suchen nach Schwachstellen, also die technische Aufgabe des Netzwerk-Scannings zur vollständigen Bestandsaufnahme der eingesetzten Software und Hardware (sowie ihrer genauen Versionen und damit bekannten, aktuellen Risiken). Tatsächlich ist Vulnerability Management ein ganzheitliches Konzept für Unternehmen, die auf lange Sicht planen. Diese Vorgehensweise beinhaltet die Schwachstellenbewertung, neben anderen Schritten, wie sie im SANS-Whitepaper, Implementing a Vulnerability Management Process, beschrieben sind.

So wie die Verwaltung von Sicherheitslücken umfangreicher ist, als man sich das vielleicht vorstellt, so ist es auch die Definition einer Schwachstelle. Es ist der Zustand, der Gefahr eines Angriffs ausgesetzt zu sein. Die technischen Unzulänglichkeiten im Netzwerk sind ein Faktor, aber es gibt einen weiteren wichtigen Aspekt, der oft übersehen wird – die für Unternehmen, Branchen und Regionen spezifischen Einfallstore. IT-Abteilungen sollten nicht nur den Zustand der internen Assets überprüfen, sondern auch die Bedrohungsakteure und die aktuellen Kampagnen, die von außen angreifen. So erhalten sie ein klares Bild der Bedrohungslage und können die Sicherheit effektiv verbessern.

In „Die Kunst des Krieges“ hat Sun Tzu die Bedeutung dieser Strategie gut erfasst, als er erklärte: „Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, doch nicht den Feind, wirst du für jeden Sieg, den du erringst, eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“

Patch-Priorisierung auf Bedrohungsbasis

Wie bereits erwähnt, konzentrieren sich die meisten Sicherheitsorganisationen beim Vulnerability Management auf das Patchen. Da man häufig jedoch nicht über die Ressourcen verfügt, alles schnell aktualisieren zu können, gilt es herauszufinden, was zuerst anzugehen ist. Zu diesem Zweck verfolgen IT-Sicherheits-Teams in der Regel einen Thumbnail-Ansatz: Sie beginnen mit kritischen Assets – den Servern, auf denen sich die Kronjuwelen befinden – und arbeiten sich zu den weniger kritischen Assets herunter. Das ist zwar ein guter Ausgangspunkt, jedoch beruhen die Priorisierungen nur auf internen Informationen. Wie Sun Tzu hervorhebt, fährt man, wenn man nur den Feind kennt, zwar einige Siege ein – jedoch auch Niederlagen.

Mit einer Plattform, die als zentrales Repository dient, können interne Bedrohungs- und Ereignisdaten mit externen Bedrohungs-Feeds zusammengeführt und diese Daten so normalisiert werden, dass sie in einem verwendbaren Format vorliegen. Indem Informationen aus der Umgebung um externe Informationen über Indikatoren, Gegner und Methoden erweitert und angereichert werden, können aktuelle Angriffe, die sich gegen das Unternehmen, die Branche und die Region richten, den Schwachstellen in Assets zugeordnet werden.

Die Erkenntnisse über eine Kampagne, die eine unmittelbare und tatsächliche Bedrohung darstellt, führt zu einer genaueren Bewertung der Prioritäten. Sie veranlasst vielleicht auch die Änderung des aktuellen Patch-Plans, um den Systemen Priorität einzuräumen, die in diesem Moment wirklich angegriffen werden könnten. Das Ergebnis ist ein intelligentes Patch Management, das Prozesse stärkt, damit der Angriff abgewehrt werden kann.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Security-Bedrohungen zuverlässig erkennen

Leider hat nicht jedes Unternehmen einen vollständigen Überblick über seine Assets und Schwachstellen. Daher ist die Zuordnung externer Bedrohungsdaten zu internen Indikatoren manchmal von begrenztem Nutzen, wenn es darum geht, einen Patch-Plan zu verbessern. Nach wie vor von großem Nutzen ist es jedoch, Informationen aus globalen Bedrohungs-Feeds und anderen externen Informationsquellen zu sammeln, um festzustellen, ob das Unternehmen einem bestimmten Angriff ausgesetzt ist. Das MITRE ATT&CK Framework ist eine solche Quelle. Es befasst sich intensiv mit Gegnern und ihren Methoden, damit Sicherheits-Analysten diese Informationen zu ihrem Vorteil nutzen können.

Durch das Speichern von MITRE-ATT&CK-Daten im Repository kann man von einem günstigeren Standpunkt aus beginnen: mit Informationen zu Gegnern und den verbundenen Taktiken, Techniken und Verfahren. Unternehmen können aktiv vorgehen, indem sie mit dem eigenen Risikoprofil beginnen, diese Risiken bestimmten Gegnern und deren Taktiken zuordnen, deren verwendete Techniken aufschlüsseln und dann untersuchen, ob jene Techniken erfolgreich sein könnten oder ob in der Umgebung liegende Daten identifiziert wurden.

Beispielsweise kann man sich mit APT28 befassen und schnell Fragen beantworten, wie etwa: Welche Techniken werden angewandt? Habe ich in meiner Organisation potenzielle Anzeichen für eine Gefährdung oder mögliche, damit verbundene, Systemereignisse gesehen? Erkennen meine Endpunkttechnologien diese Techniken? Mit Antworten wie diesen auf wichtige Fragen lassen sich echte Bedrohungen erkennen, bestimmte Maßnahmen zur Verstärkung des Netzwerks und der Prozesse festlegen und das Risiko für das eigene Unternehmen verringern.

Mithilfe eines ganzheitlichen Ansatzes für das Vulnerability Management – wozu auch gehört, dass man sich selbst und den Feind kennt – kann man mehr tun, als nur patchen. Er bietet Informationen und Erkenntnisse, um das Risiko für Unternehmen effektiv und effizient zu minimieren und das Team so zu positionieren, dass es andere wichtige Tätigkeiten bearbeiten kann. Dazu gehört, tatsächlicher Angriffe zu erkennen, einzudämmen und zu beheben und potenzielle Bedrohungen zu antizipieren

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient und baut in dieser Funktion den Markt in DACH und Osteuropa auf. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne. 


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*