Was ist Vulnerability Management?

Schwachstellenmanagement ermöglicht die kontinuierliche Identifizierung und Bewertung von Risiken in Ihrer gesamten Umgebung.

Entdecken Sie InsightVM

Schwachstellen-Managements Definition

Schwachstellenmanagement ist der Prozess, mit dessen Hilfe Sicherheitslücken in Systemen und in der auf diesen Systemen laufenden Software erkannt, bewertet, behandelt und gemeldet werden. Dies, zusammen mit der Implementierung anderer Sicherheitstaktiken, ist für Unternehmen entscheidend, um mögliche Bedrohungen zu priorisieren und ihre „Angriffsfläche” zu minimieren.

Sicherheitslückenwiederum beziehen sich auf technologische Schwächen, die es Angreifern ermöglichen, ein Produkt und die darin enthaltenen Informationen zu kompromittieren.Dieser Prozess muss kontinuierlich durchgeführt werden, um mit im Laufe der Zeit neu zu Netzwerken hinzugefügten Systemen, Änderungen an Systemen sowie der Entdeckung neuer Schwachstellen Schritt zu halten.

4-stufiger Schwachstellen-Managementprozess

  1. Schwachstellen-Scan durchführen
  2. Schwachstellenanalyse
  3. Priorisierung und Behebung von Schwachstellen
  4. Kontinuierliches Schwachstellenmanagement

Vulnerability Management Lifecycle

Schritt 1: Schwachstellenscan durchführen

Das Herzstück einer typischen Lösung für das Vulnerability Management ist ein Schwachstellenscanner. Der Scan besteht aus vier Phasen:

  1. Scannen Sie über das Netzwerk erreichbare Systeme, indem Sie sie anpingen oder ihnen TCP/UDP-Pakete senden
  2. Identifizieren Sie offene Ports und Dienste, die auf gescannten Systemen ausgeführt werden
  3. Wenn möglich, melden Sie sich remote bei Systemen an, um detaillierte Systeminformationen zu sammeln
  4. Korrelieren Sie Systeminformationen mit bekannten Schwachstellen

Schwachstellenscanner können eine Vielzahl von Systemen in einem Netzwerk erkennen, wie Laptops und Desktops, virtuelle und physische Server, Datenbanken, Firewalls, Switches, Drucker usw. Identifizierte Systeme werden auf verschiedene Attribute untersucht: Betriebssystem, offene Ports, installierte Software, Benutzerkonten, Dateisystemstruktur, Systemkonfigurationen und vieles mehr.

Diese Informationen werden dann verwendet, um bekannte Schwachstellen mit den gescannten Systemen zu verknüpfen. Um diesen Zusammenhang herstellen zu können, nutzen Schwachstellenscanner eine Schwachstellen- und Exploitdatenbank, die eine Liste mit veröffentlichten Schwachstellen enthält.

Die ordnungsgemäße Konfiguration von Schwachstellenscans ist ein wichtiger Bestandteil einer Schwachstellenmanagement-Lösung. Schwachstellen-Scanner können manchmal die Netzwerke und Systeme stören, die sie scannen. Wenn während der Spitzenzeiten eines Unternehmens nicht genug Netzwerkbandbreite zur Verfügung steht, sollten Schwachstellenscans außerhalb der normalen Geschäftszeiten durchgeführt werden.

Sollten einige Systeme in einem Netzwerk instabil werden oder während des Scanvorgangs auf unvorhergesehene Weise reagieren, müssen sie möglicherweise von den Schwachstellenscans ausgeschlossen werden oder die Scans müssen nachjustiert werden, damit sie weniger Störungen verursachen. Adaptives Scannen ist ein neuer Ansatz zur weiteren Automatisierung und Vereinfachung von Schwachstellenscans bei Veränderungen im Netzwerk.

Wenn beispielsweise ein neues System erstmals mit einem Netzwerk verbunden wird, wird ein Schwachstellenscanner nur dieses eine System so schnell wie möglich scannen, anstatt auf den wöchentlichen oder monatlichen Scan des gesamten Netzwerks zu warten.

Schwachstellenscanner sind jedoch nicht mehr der einzige Weg, um Schwachstellendaten eines Systems zu sammeln. Endpoint-Agents ermöglichen Schwachstellenmanagement-Lösungen, um kontinuierlich Schwachstellendaten von Systemen zu sammeln, ohne dass Netzwerk-Scans durchgeführt werden müssen.

Dies hilft Unternehmen dabei, aktuelle Daten über Systemschwachstellen vorzuhalten, ist jedoch abhängig davon, ob beispielsweise die Laptops der Mitarbeiter mit dem Netzwerk des Unternehmens oder dem Heimnetzwerk der Mitarbeiter verbunden sind.

Unabhängig davon, wie eine Schwachstellenmanagement-Lösung diese Daten sammelt, können diese verwendet werden, um Berichte, Metriken und Dashboards für viele unterschiedliche Arten von Zielgruppen zu erstellen.

Schritt 2: Schwachstellenbewertung

Nachdem Sicherheitslücken identifiziert wurden, müssen sie bewertet werden, damit die von ihnen ausgehenden Risiken angemessen und in Übereinstimmung mit dem Rahmen des Schwachstellen-Management-Programmseiner Organisation behandelt werden. Schwachstellen-Management-Plattformen bieten verschiedene Risikobewertungen und Scores für Schwachstellen, wie z. B. CVSS-Scores (Common Vulnerability Scoring System). Diese Ergebnisse geben Unternehmen Auskunft darüber, auf welche Schwachstellen sie sich zuerst konzentrieren sollten. Jedoch hängt das echte Risiko einer jeden Schwachstelle von einigen anderen Faktoren ab, die über diese standardisierten Risikobewertungen und Scores hinausgehen.

Faktoren zur Risikobewertung von Sicherheitslücken:

  • Ist diese Schwachstelle echt oder ein falsch positives Ergebnis?
  • Könnte jemand diese Schwachstelle direkt aus dem Internet ausnutzen?
  • Wie schwer ist es, diese Schwachstelle auszunutzen?
  • Gibt es für diese Schwachstelle einen bekannten, veröffentlichten Exploit-Code?
  • Welche Auswirkungen hätte es für das Geschäft, wenn diese Schwachstelle ausgenützt würde?
  • Sind noch andere Sicherheitsmaßnahmen vorhanden, die die Wahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wird und/oder deren Auswirkungen reduzieren?
  • Wie alt ist die Schwachstelle/wie lange ist sie bereits im Netzwerk?

Wie jedes Sicherheitstool sind Schwachstellenscanner nicht perfekt. Ihre falsch positive Quote bei der Erkennung von Schwachstellen ist zwar niedrig, aber dennoch größer als null. Die Durchführung von Schwachstellen-Validierungen mittels Penetrationstest-Tools und -Verfahren trägt dazu bei, falsch positive Ergebnisse auszumerzen, damit Unternehmen ihre Aufmerksamkeit auf den Umgang mit echten Schwachstellen richten können.

Die Ergebnisse von Schwachstellen-Validierungen oder umfangreichen Penetrationstests sind häufig eine aufschlussreiche Erfahrung für Unternehmen, die überzeugt waren, dass sie ausreichende Sicherheitsvorkehrungen getroffen hatten oder dass die Schwachstelle gar nicht so riskant wäre.

Schritt 3: Schwachstellen priorisieren und beheben

Sobald eine Schwachstelle bestätigt und als Risiko eingestuft wurde, besteht der nächste Schritt darin, gemeinsam mit den beteiligten Akteuren im Unternehmen oder Netzwerk Priorisierungen vorzunehmen, wie die Schwachstelle behandelt werden soll. Es gibt verschiedene Möglichkeiten, Schwachstellen zu behandeln, darunter:

  • Behebung (Remediation): Vollständiges Beheben oder Patchen einer Schwachstelle, damit sie nicht ausgenutzt werden kann.Dies ist die ideale Vorgehensweise, die Unternehmen anstreben.
  • Schadensbegrenzung (Mitigation): Verringerung der Wahrscheinlichkeit und/oder Auswirkung einer Ausnutzung einer Schwachstelle. Dies ist manchmal notwendig, wenn ein entsprechender Fix oder Patch für die identifizierte Schwachstelle noch nicht zur Verfügung steht.Diese Option sollte normalerweise nur verwendet werden, um Zeit für das Unternehmen bis zur endgültigen Beseitigung der Schwachstelle zu gewinnen.
  • Akzeptanz:Keine Maßnahmen ergreifen, um die Wahrscheinlichkeit/Auswirkung, dass eine Schwachstelle ausgenutzt wird, zu beheben oder anderweitig zu reduzieren.Dies ist typischerweise gerechtfertigt, wenn eine Schwachstelle als ein geringes Risiko eingestuft wird, und die Kosten für die Behebung der Schwachstelle wesentlich höher sind als die Kosten, die einem Unternehmen entstehen, sollte die Schwachstelle ausgenutzt werden.

Schwachstellenmanagement-Lösungen liefern empfohlene Methoden für die Beseitigung von Schwachstellen. Gelegentlich ist eine empfohlene Methode nicht die optimale Lösung zur Beseitigung einer Schwachstelle. In diesen Fällen müssen ein Sicherheitsteam, die Systemverantwortlichen und Systemadministratoren des Unternehmens die richtige Vorgehensweise festlegen.Manchmal kann die Beseitigung ganz einfach durch Anwendung eines sofort verfügbaren Software-Patches erfolgen, ein anderes Mal ist der komplexe Austausch einer Reihe von physischen Servern im Netzwerk eines Unternehmens erforderlich.

Nach Abschluss der Beseitigungsmaßnahmen empfiehlt es sich an, einen weiteren Schwachstellenscan durchzuführen, um sicher zu gehen, dass die Schwachstelle vollständig beseitigt wurde.

Allerdings müssen nicht alle Schwachstellen behoben werden. Wenn beispielsweise der Schwachstellenscanner einer Organisation Schwachstellen in Adobe Flash Player auf ihren Computern identifiziert hat, Adobe Flash Player jedoch vollständig für die Verwendung in Webbrowsern und anderen Clientanwendungen deaktiviert wurde, könnten diese Schwachstellen durch eine kompensierende Kontrolle als ausreichend gemindert angesehen werden.

Schritt 4: Kontinuierliches Schwachstellenmanagement

Die Durchführung regelmäßiger und kontinuierlicher Schwachstellenbewertungen erlaubt es Unternehmen, im Laufe der Zeit die Geschwindigkeit und die Effizienz ihres Vulnerability-Management-Programms zu verstehen. Schwachstellenmanagement-Tools besitzen normalerweise mehrere Optionen für den Export und die Visualisierung der in Schwachstellenscans gesammelten Daten mittels einer Vielzahl von anpassbaren Berichten und Dashboards.

Dies erleichtert IT-Teams nicht nur das Verständnis dessen, welche Beseitungsverfahren ihnen helfen, den größten Teil der Schwachstellen mit möglichst geringem Aufwand zu beheben oder unterstützt Sicherheitsteams dabei, Schwachstellentrends in verschiedenen Teilen ihres Netzwerks zu überwachen, sondern es hilft Unternehmen auch bei der Einhaltung von Compliance- und regulatorischen Anforderungen.

Automatisierung des Schwachstellen-Managements

Ein Vulnerability Management System kann dabei helfen, diesen Prozess zu automatisieren. Dabei werden ein Schwachstellenscanner und manchmal auch Endpoint-Agents genutzt, um eine Vielzahl von Systemen in einem Netzwerk zu inventarisieren und Schwachstellen darin zu erkennen.

Sobald Schwachstellen erkannt werden, muss das Risiko, das sie darstellen, in verschiedenen Kontexten bewertet werden, um zu entscheiden, wie am besten mit ihnen umzugehen ist. So kann beispielsweise eine Schwachstellenvalidierung ein wirksamer Weg sein, die wirkliche Schwere einer Schwachstelle in ihrem Kontext zu ermitteln.

Vulnerability Management vs. Vulnerability Assessment

Im Allgemeinen ist ein Vulnerability Assessment ein Teil des vollständigen Vulnerability Management-Programms. Unternehmen werden wahrscheinlich mehrere Vulnerability Assessments durchführen, um mehr Informationen über ihren Vulnerability Management-Aktionsplan zu erhalten.

Bleiben Sie mit kontinuierlicher Schwachstellenüberwachung immer einen Schritt voraus

Bedrohungen und Angreifer ändern sich ständig, genauso wie Unternehmen ständig neue mobile Geräte, Cloud-Dienste, Netzwerke und Anwendungen in ihre Umgebung einfügen. Bei jeder Änderung besteht das Risiko, dass in Ihrem Netzwerk ein neues Loch geöffnet wird, das es Angreifern ermöglicht, sich Zutritt zu verschaffen und mit Ihren Schätzen zu verschwinden.

Jedes Mal, wenn Sie einen neuen Partner, Mitarbeiter, Klienten oder Kunden gewinnen, öffnen Sie Ihr Unternehmen für neue Möglichkeiten, aber Sie setzen es auch neuen Schwachstellen, Angriffen und Bedrohungen aus. Ihr Unternehmen gegen diese Bedrohungen zu schützen, erfordert eine Schwachstellenmanagement-Lösung, die mit diesen Änderungen Schritt halten und sich an alle diese Änderungen anpassen kann. Wenn dies nicht der Fall ist, sind Ihnen die Angreifer immer einen Schritt voraus.

Neueste Patch-Updates, Schwachstellen und Exploits