IT- und Security-Verantwortliche stehen heute tausenden Vulnerabilities gegenüber und diese Zahlen steigen exponentiell. Warum? Mit jedem neuen Softwareprodukt und jeder neuen IT-Lösung ergeben sich neue potentielle Angriffspunkte.
Der Schlüssel für ein erfolgreiches Vulnerability-Management verändert sich zunehmend. Wo früher versucht wurde „möglichst viel in möglichst kurzer Zeit zu patchen“, ergreift man nun strukturiert Maßnahmen, die auf einer intensiven Risikoeinschätzung basieren. Grundlage dafür ist eine ausgereifte und stetig weiter entwickelte Threat Intelligence. Dabei werden Daten gesammelt und analysiert, um potentielle Angriffe frühzeitig zu erkennen und gezielt abwehren zu können. Um eine möglichst umfassende Sicht zu erhalten, werden nicht nur interne Systeme (z.B. Log-Daten, Netzwerktraffic-Daten, ...) überprüft. Auch das externe Umfeld muss in der Analyse berücksichtig werden: Wird über das Unternehmen negativ medial berichtet? Ist das Unternehmen aufgrund seiner geografischen oder politischen Ausprägung bedroht? Welche Threats machen derzeit grundsätzlich die Runde?
Ein Vulnerability-Scan liefert erste Ergebnisse über mögliche Bedrohungen Ihrer IT-Landschaft. Intelligentes Vulnerability-Management setzt darauf auf und kombiniert diese mit Erkenntnissen und Strategien aus Threat Intelligence. So wird z.B. bewertet, ob ein „Zero Day Exploit“ (zwischen dem Entdecken einer Sicherheitslücke und dem ersten Angriff liegen null Tage) tatsächlich eine unmittelbare Bedrohung für Ihr Unternehmen darstellt. Statistisch gesehen braucht es ein paar Tage, bis so eine Schwachstelle tatsächlich ausgenutzt wird.
Sind Sie also vorbereitet, kann diese Zeit genutzt werden, um Gegenmaßnahmen einzuleiten und die Unterbrechung von Anwendungen aufgrund von Patch-Arbeiten (und somit die Auswirkung auf Ihr Geschäft) so gering wie möglich zu halten. Ist das Patchen in spezifischen Applikationsumgebungen kurzfristig oder ohne zusätzliche Software-Anpassung gar nicht möglich, bleibt Zeit um Alternativen auszuarbeiten.
Vulnerability-Datenbanken bringen oft das Problem mit, dass der Fokus der Informationen meist auf der technischen Ausnutzbarkeit einer Vulnerability liegt. Dabei wird aus den Augen gelassen, ob bzw. wie häufig diese Schwachstelle bereits ausgenutzt wurde. Das Risiko-Rating von Vulnerabilities basiert zudem meist auf statistischen globalen Daten und nicht darauf, ob diese gerade in einem spezifischen Wirtschaftszweig oder in einer bestimmten geografischen Region ausgenutzt werden.
Ein wesentlicher Schritt ist daher heraus zu finden, wie der Entwicklungsstatus einer Vulnerability ist. Ist die Schwachstelle gerade erst entdeckt oder bekannt gemacht worden? Oder kann die Schwachstelle in einer Software bereits mittels eines „Exploit Kits“ (wie z.B. RIG) ausgenutzt werden? Entscheidend ist hierbei, unterschiedliche Informationsquellen, wie entsprechende Security-Seiten, Social Media Informationen, Code Respositories, u.v.m. in Anspruch zu nehmen.
Außerdem gilt: Das Vulnerability-Management Team darf also nicht alleine an Zahlen, wie z.B. an der Anzahl gepatchter Systeme, gemessen werden. So kann in einer Landschaft, in der es eine hohe Anzahl an Windows-Systemen gibt, die Behebung eine kritischerer Lücke bei den Apache Web Servern später erfolgen, weil der KPI durch das Windows-Patchen schneller erreicht werden kann.
Ein Vulnerability-Scan, kombiniert mit einer stetig weiterentwickelten Threat Intelligence, liefert die Basis für eine möglichst genaue Risikoabschätzung für die IT-Systeme Ihres Unternehmens. Darauf aufbauend unterstützt intelligentes Vulnerability-Management bei der raschen und zielgerichteten Behebung der Sicherheitslücken.
