Geht es um Vulnerability Management, herrscht am Markt noch viel Verwirrung. Schließlich geht es dabei um weit mehr, als die Beseitigung von Security-Schwachstellen. [...]
Vulnerability Management beinhaltet nicht nur das schlichte Suchen nach Schwachstellen, also die technische Aufgabe des Netzwerk-Scannings zur vollständigen Bestandsaufnahme der eingesetzten Software und Hardware (sowie ihrer genauen Versionen und damit bekannten, aktuellen Risiken). Tatsächlich ist Vulnerability Management ein ganzheitliches Konzept für Unternehmen, die auf lange Sicht planen. Diese Vorgehensweise beinhaltet die Schwachstellenbewertung, neben anderen Schritten, wie sie im SANS-Whitepaper, Implementing a Vulnerability Management Process, beschrieben sind.
So wie die Verwaltung von Sicherheitslücken umfangreicher ist, als man sich das vielleicht vorstellt, so ist es auch die Definition einer Schwachstelle. Es ist der Zustand, der Gefahr eines Angriffs ausgesetzt zu sein. Die technischen Unzulänglichkeiten im Netzwerk sind ein Faktor, aber es gibt einen weiteren wichtigen Aspekt, der oft übersehen wird – die für Unternehmen, Branchen und Regionen spezifischen Einfallstore. IT-Abteilungen sollten nicht nur den Zustand der internen Assets überprüfen, sondern auch die Bedrohungsakteure und die aktuellen Kampagnen, die von außen angreifen. So erhalten sie ein klares Bild der Bedrohungslage und können die Sicherheit effektiv verbessern.
In „Die Kunst des Krieges“ hat Sun Tzu die Bedeutung dieser Strategie gut erfasst, als er erklärte: „Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, doch nicht den Feind, wirst du für jeden Sieg, den du erringst, eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“
Patch-Priorisierung auf Bedrohungsbasis
Wie bereits erwähnt, konzentrieren sich die meisten Sicherheitsorganisationen beim Vulnerability Management auf das Patchen. Da man häufig jedoch nicht über die Ressourcen verfügt, alles schnell aktualisieren zu können, gilt es herauszufinden, was zuerst anzugehen ist. Zu diesem Zweck verfolgen IT-Sicherheits-Teams in der Regel einen Thumbnail-Ansatz: Sie beginnen mit kritischen Assets – den Servern, auf denen sich die Kronjuwelen befinden – und arbeiten sich zu den weniger kritischen Assets herunter. Das ist zwar ein guter Ausgangspunkt, jedoch beruhen die Priorisierungen nur auf internen Informationen. Wie Sun Tzu hervorhebt, fährt man, wenn man nur den Feind kennt, zwar einige Siege ein – jedoch auch Niederlagen.
Mit einer Plattform, die als zentrales Repository dient, können interne Bedrohungs- und Ereignisdaten mit externen Bedrohungs-Feeds zusammengeführt und diese Daten so normalisiert werden, dass sie in einem verwendbaren Format vorliegen. Indem Informationen aus der Umgebung um externe Informationen über Indikatoren, Gegner und Methoden erweitert und angereichert werden, können aktuelle Angriffe, die sich gegen das Unternehmen, die Branche und die Region richten, den Schwachstellen in Assets zugeordnet werden.
Die Erkenntnisse über eine Kampagne, die eine unmittelbare und tatsächliche Bedrohung darstellt, führt zu einer genaueren Bewertung der Prioritäten. Sie veranlasst vielleicht auch die Änderung des aktuellen Patch-Plans, um den Systemen Priorität einzuräumen, die in diesem Moment wirklich angegriffen werden könnten. Das Ergebnis ist ein intelligentes Patch Management, das Prozesse stärkt, damit der Angriff abgewehrt werden kann.
Security-Bedrohungen zuverlässig erkennen
Leider hat nicht jedes Unternehmen einen vollständigen Überblick über seine Assets und Schwachstellen. Daher ist die Zuordnung externer Bedrohungsdaten zu internen Indikatoren manchmal von begrenztem Nutzen, wenn es darum geht, einen Patch-Plan zu verbessern. Nach wie vor von großem Nutzen ist es jedoch, Informationen aus globalen Bedrohungs-Feeds und anderen externen Informationsquellen zu sammeln, um festzustellen, ob das Unternehmen einem bestimmten Angriff ausgesetzt ist. Das MITRE ATT&CK Framework ist eine solche Quelle. Es befasst sich intensiv mit Gegnern und ihren Methoden, damit Sicherheits-Analysten diese Informationen zu ihrem Vorteil nutzen können.
Durch das Speichern von MITRE-ATT&CK-Daten im Repository kann man von einem günstigeren Standpunkt aus beginnen: mit Informationen zu Gegnern und den verbundenen Taktiken, Techniken und Verfahren. Unternehmen können aktiv vorgehen, indem sie mit dem eigenen Risikoprofil beginnen, diese Risiken bestimmten Gegnern und deren Taktiken zuordnen, deren verwendete Techniken aufschlüsseln und dann untersuchen, ob jene Techniken erfolgreich sein könnten oder ob in der Umgebung liegende Daten identifiziert wurden.
Beispielsweise kann man sich mit APT28 befassen und schnell Fragen beantworten, wie etwa: Welche Techniken werden angewandt? Habe ich in meiner Organisation potenzielle Anzeichen für eine Gefährdung oder mögliche, damit verbundene, Systemereignisse gesehen? Erkennen meine Endpunkttechnologien diese Techniken? Mit Antworten wie diesen auf wichtige Fragen lassen sich echte Bedrohungen erkennen, bestimmte Maßnahmen zur Verstärkung des Netzwerks und der Prozesse festlegen und das Risiko für das eigene Unternehmen verringern.
Mithilfe eines ganzheitlichen Ansatzes für das Vulnerability Management – wozu auch gehört, dass man sich selbst und den Feind kennt – kann man mehr tun, als nur patchen. Er bietet Informationen und Erkenntnisse, um das Risiko für Unternehmen effektiv und effizient zu minimieren und das Team so zu positionieren, dass es andere wichtige Tätigkeiten bearbeiten kann. Dazu gehört, tatsächlicher Angriffe zu erkennen, einzudämmen und zu beheben und potenzielle Bedrohungen zu antizipieren.
*Markus Auer ist Regional Sales Manager Central Europe bei ThreatQuotient und baut in dieser Funktion den Markt in DACH und Osteuropa auf. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Be the first to comment