Angreifbare Assets nach Risikostatus identifizieren

Bei der Verwaltung von Schwachstellen haben CVEs schon immer eine wichtige Rolle gespielt. Diese allein helfen jedoch nur bedingt weiter. Man stelle sich einmal vor, man würde auf einen Schlag feststellen, dass mehrere neue kritische CVEs Auswirkungen auf Assets im Unternehmensnetzwerk haben. Auf welcher Grundlage wäre dann zu entscheiden, worauf sich Bemühungen zur Risikominderung konzentrieren sollten?

Die meisten Unternehmen treffen ihre täglichen Entscheidungen in der IT-Sicherheit heute auf Basis von Schwachstellen-Scannern. Jedoch ist das Problem bei herkömmlichen Scannern, dass diese lediglich anzeigen, welche Assets welche Schwachstellen aufweisen. Die Fähigkeit, die Schwachstellen nach ihrem Risiko für das Unternehmen oder den laufenden Geschäftsbetrieb zu sortieren, fehlt ihnen jedoch.

Eine Schwachstelle zu kennen, ist lediglich der erste Schritt bei der Einleitung von Abhilfemaßnahmen. Analysten müssen anschließend alle relevanten Asset-Attribute sammeln, die sie aufspüren können, um auf deren Grundlage fundierte Entscheidungen zu treffen. Die Zusammenstellung von Daten aus den Bereichen Endpunktmanagement, EDR, VDI, Cloud und anderen Unternehmensplattformen ist jedoch unglaublich zeitaufwändig. Außerdem können unterschiedliche Datenstrukturen zu problematischen Korrelationen von Asset-Informationen führen.

Dieser mühsame Prozess führt oftmals nur dazu, dass am Ende bestenfalls Vermutungen angestellt werden können. Sicherheits- und IT-Teams wird es dadurch erschwert, sich effizient auf die kritischen anfälligen Assets zu konzentrieren, die das höchste Risiko für das Unternehmen darstellen. Es ist ihnen schier unmöglich, so die Kontrolle über den Lebenszyklus des Schwachstellenmanagements zu erlangen.

Schwachstellen halten Sicherheits- und IT-Teams stets auf Trab, denn mit jedem neuen Asset, das zur Unterstützung von Wachstum, Innovation und Effizienzbemühungen eingesetzt wird, vergrößert sich die Angriffsfläche für Unternehmen. Auch die Zahl der Schwachstellen steigt von Jahr zu Jahr rapide an, während die Zeit, die Angreifer zur Ausnutzung der Schwachstellen benötigen, immer kürzer wird.

In Anbetracht dieser Umstände stellt sich die geschäftskritische Preisfrage: Wie lassen sich Risiken am effektivsten und in kürzester Zeit beseitigen, ohne dass die Kosten steigen? Zur Beantwortung dieser Frage ist für die richtige Priorisierung Kontext nötig, um schnellstmöglich beste Ergebnisse zu erzielen. Der Zugriff auf eine Echtzeitliste von CVEs auf angeschlossenen Assets ist schon einmal ein Anfang. Um jedoch eine Priorisierung der Maßnahmen auf der Grundlage der Auswirkungen auf das Unternehmen vornehmen zu können, müssen Unternehmen in der Lage sein, die Bedeutung der einzelnen Assets sowie deren Beziehungen und Abhängigkeiten innerhalb der Umgebung zu ermitteln. Mit anderen Worten: Unternehmen müssen den geschäftlichen Kontext sämtlicher Assets verstehen können.

Warum Kontext heute so wichtig ist

Die meisten Schwachstellen-Scanner übersehen einen großen Prozentsatz der Assets bei einem typischen Scan des Unternehmens. Gründe dafür können Netzwerkeinschränkungen, kurzlebige Assets in der Cloud sowie fehlende oder falsch konfigurierte Schwachstellenagenten sein. Selbst bei Assets, die die Scanner entdecken können, macht es die schiere Anzahl der Alerts in Kombination mit dem fehlenden Kontext schwierig zu verstehen, welche der Schwachstellen kritische Assets gefährden. Es ist dann unmöglich, diese effektiv nach dem Risiko für das Unternehmen zu priorisieren.

Man stelle sich eine Bank mit einer Liste mit Tausenden von CVEs vor, von denen mehrere Hundert als kritisch eingestuft werden; nicht jede kritische Schwachstelle entspricht dann einem kritischen Asset (basierend auf Funktion, Standort und Risiko für das Unternehmen). Vielmehr sind diese Schwachstellen wahrscheinlich über Assets mit geringen, mittleren und kritischen Auswirkungen auf das Unternehmen verteilt. Aber ohne Kontext kann nur jede kritische Schwachstelle so schnell wie möglich aufgespürt werden. Das kann bedeuten, dass ein Asset, beispielsweise der Laptop eines Entwicklers, schneller erreicht wird als ein Server, auf dem geschäftskritische Bankanwendungen laufen. Verzögerungen und Risiken werden durch das Auftauchen neuer Schwachstellen nur noch vergrößert. Und selbst wenn es gelingt, Zwischenfälle zu vermeiden, handelt es sich um einen nicht enden wollenden, sehr kostspieligen und frustrierenden Kreislauf mit vielen Lücken in der Transparenz.

Schaffen einer „Single Source of Truth” für Assets, Risiken und Schwachstellen

Ein Sicherheitsteam sollte sich auf die Prozesse konzentrieren können, die für das Schwachstellenmanagement am wichtigsten sind. Mühsame manuelle Aufgaben, Sichtbarkeitslücken und lediglich Mutmaßungen über die beste Vorgehensweise bremsen das Team nur aus. Sicherheitsteams benötigen vielmehr einen kontext- und risikobasierten Ansatz, der es ihnen ermöglicht, die Schwachstellen, die Angreifer mit hoher Wahrscheinlichkeit ausnutzen werden, in der Reihenfolge ihrer Bedeutung für das Unternehmen schnell zu identifizieren und zu beheben. Auf der Grundlage des Risikos für das Unternehmen kann dann einfacher festgelegt werden, welche Sicherheitslücken welcher Assets zuerst behoben werden und welche Assets unter Quarantäne gestellt oder vielleicht sogar offline genommen werden sollten. So gelingt ein strategischerer und effizienterer Ansatz für das Schwachstellenmanagement.