PARTNER-POST Dossier kompakt in Kooperation mit Terreactive

KPSI für Vulnerability Management: Schwachstellen richtig messen

Uhr
von Michael Liechti, Cyber Security Consultant, Terreactive

Sporadische Audits reichen für die Sicherheit nicht aus. Die IT muss kontinuierlich auf Schwachstellen geprüft werden. Dabei hilft ein Vulnerability Management, das die IT sichtbar macht, Sicherheitslücken aufdeckt und bei deren Behebung unterstützt.

Michael Liechti, Cyber Security Consultant, Terreactive. (Source: stefanie fretz)
Michael Liechti, Cyber Security Consultant, Terreactive. (Source: stefanie fretz)

Einen echten Mehrwert erzielt der Chief Information Security Officer (CISO) erst dann aus dem Vulnerability Management, wenn er damit gewisse Werte messen und es gegenüber den leitenden Stellen zum Rapportieren einsetzen kann.

Mit Vulnerability Management können Schwachstellen im Auge behalten werden. Es erstellt eine Inventarliste aller Schwachstellen, die anschliessend abgearbeitet werden. Schwachstellen können durch fehlende oder durch neue Hard- oder Software-Updates entstehen. Darum spielt der Aktualisierungsprozess eine grosse Rolle.

Die richtigen Messgrössen finden

Die Auswahl der richtigen Messgrössen, den sogenannten Key Performance Security Indicators (KPSIs), hilft, die Aktualisierungsprozesse im Unternehmen zu bewerten und Risiken für die IT-Infrastruktur zu erkennen. Es gilt, die folgenden Fragen zu beantworten und zu klären, ob die Aufgaben zum regelmässigen Reporting gehören:

  • Wie viel Zeit benötigen die IT-Spezialisten, um die Schwachstellen zu beheben?

  • Für welche Schwachstellen sind bereits Updates ­verfügbar?

  • Welche Schwachstellen können ohne Aufwand durch ­Angreifer ausgenutzt werden? Für welche ist ein Exploit in einem bekannten Framework bereits verfügbar?

  • Werden die Schwachstellen in allen Systemen nach Dringlichkeit zur Behebung geordnet?

  • Werden jene Updates beziehungsweise Konfigurations­anpassungen priorisiert, die das Risiko am stärksten reduzieren?

  • Werden Schwachstellen mittels Predictive Rating bewertet?

Bei der Evaluation eines Vulnerability Managements sollten diese Fragen beantwortet werden können. Dabei sollte man stets daran denken, dass ausnutzbare Schwachstellen einen möglichen Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit bedeuten, wobei mit Kosten als Folgeerscheinung zu rechnen ist.

Deckt der Update-Prozess die gesamte Systemlandschaft ab?

Der CISO muss die Aktualisierungen im Griff haben. Von der Geschäftsleitung wird der Aufwand für den CISO oft unterschätzt. Hier einige Gründe, warum der Prozess nicht so trivial ist und woran man alles denken muss:

  • Server werden zentral pro Betriebssystemtyp durch Teams gewartet und aktualisiert, eigenständige Systeme werden oft vernachlässigt.

  • Appliances und durch Partner betriebene Systeme sind oft eine Blackbox, nicht kontrollierbar und die Verantwortungsfrage ist ungenügend geklärt.

  • Arbeitsstationen werden meist zentral verwaltet; nicht gemanagte Systeme gehen oft vergessen.

  • Mobile Geräte sind nicht permanent mit dem Firmennetz verbunden und erschweren den kontinuierlichen Aktualisierungsprozess.

  • Netzwerkgeräte, wie Router, Switch und Firewalls, sind im Perimeter- und Access-Bereich stark exponiert und gehen im Update-Prozess oft vergessen.

Doppelter Boden durch Vulnerability ­Management

Sollte bei den oben genannten Punkten doch einmal etwas vergessen gehen, so bietet das Vulnerability Management die Sicherheit, dass nochmals alle IT-Komponenten geprüft werden. Die so sichtbar gemachten Schwachstellen werden priorisiert, und das Vulnerability Management bietet den IT-Spezialisten zusätzlich eine Anleitung zur Behebung.

Die Bedeutung für das Security Operations Center

Das Vulnerability Management ist ein wichtiges Werkzeug für das Security Operations Center. Die Analysten profitieren von der Inventarliste aller Assets und Schwachstellen. Dies erleichtert Aufgaben wie den Abgleich von Schwachstellen mit Verdachtsfällen, die proaktive Überwachung oder Isolierung von gefährdeten Systemen, die Abfrage von Schwachstellen nach Bedarf und die Priorisierung von Meldungen. Damit zahlt sich die Vulnerability-Lösung als Investment in die Cyber Security schnell aus.

----------

Mit einem Schwachstellen-Scan werden Risiken rechtzeitig entdeckt 

Urs Rufer, CEO von Terreactive, sagt im Interview, warum Vulnerability Management gerade für Verwaltungen wichtig ist, wo die typischen Schwachstellen bei Behörden liegen und wie man diese findet. Interview: Marc Landis

Warum ist Vulnerability Management gerade in der Verwaltung wichtig?

Urs Rufer: Vulnerability Management ist generell ein wichtiges Thema zur Minimierung von Cyberrisiken. In der Verwaltung kommt die breite Palette von Anwendungen aus den vielen Bereichen einer Behörde als zusätzliche Herausforderung hinzu. Dabei sind die Sicherheitsanforderungen für Polizei, Finanz- und Steuerverwaltung, Gesundheit & Soziales sowie Schulen sehr unterschiedlich. Umso wichtiger sind ein aktuelles Inventar von Systemen, Services und Anwendungen und die Zuordnung von bekannten Schwachstellen. In Kombination mit einer Klassifikation von Datenbeständen und den betroffenen Systemen lassen sich Patch-Massnahmen und Update-Pläne risikobasiert anwenden und helfen Vorfälle und Schäden zu vermeiden.

Mit welchen Schwachstellen muss sich eine typische Schweizer Gemeindeverwaltung herumschlagen?

Bei der Basis-Infrastruktur mit einer grossen Anzahl Microsoft-Servern und Endpunkten unterscheidet sich eine Verwaltung nicht von anderen Unternehmen. Die typischen Schwachstellen umfassen Lücken in den eingesetzten Browsern oder Office-Applikationen, bei denen es gilt, umgehend zu patchen, um die Risiken gering zu halten und die Einfallstore für Malware zu minimieren. Auf Serverseite sind es oft Schwachstellen, die aus der Ferne über das Netzwerk ausgenutzt werden. Hier ist es hilfreich, wenn das Vulnerability Management Hinweise liefern kann, welche Schwachstellen bereits ausgenutzt werden können, sprich für welche ein Exploit-Code zur Verfügung steht. Dies hilft bei der anschliessenden Priorisierung der Schwachstellenbehebung.

Was macht eine kleinere Gemeinde, der die nötigen Mittel fehlen, ein eigenes Vulnerability Management aufzubauen?

Vulnerability Management kann auch als Dienstleistung bezogen werden, also als Software-as-a-Service. Dabei übernimmt das Security Operations Center alle Aufgaben vom Schwachstellen-Scan bis zur Empfehlung von Massnahmen zur Reduzierung der Risiken und informiert den Kunden mittels Reporting. Die IT der Gemeinde wird dadurch stark entlastet und kann sich jederzeit an seinen externen Partner für die Cybersecurity wenden.

Man kann nur verwalten, was man kennt. Wie findet man die Schwachstellen im eigenen System?

Das ist eine der Hauptaufgaben eines Vulnerability Managements. Nach der Inventarisierung durch Scannen des gesamten Netzwerks lassen sich aktive Systeme erkennen. Diese werden dann einem Schwachstellen-Scan unterzogen, das heisst, verwendete Software wird mit einer Datenbank, in der alle Schwachstellen verzeichnet sind, abgeglichen. So werden Differenzen beziehungsweise Gefahren wie etwa veraltete und risikobehaftete Versionen rechtzeitig aufgedeckt.

Was ist mit den Schwachstellen, die man nicht kennt?

Da nützt ein Vulnerability Management wenig, denn dies kann nur bekannte Schwachstellen erkennen. Wir empfehlen ein mehrschichtiges Security-Konzept, bei dem unterschiedliche Sicherheitsmechanismen eingesetzt werden. Hier greifen Security-Monitoring-Lösungen auf der Basis von SIEM oder auch NDR zur Erkennung von Infektionen und Datenabflüssen aufgrund von Unregelmässigkeiten im Netzwerk oder im Systemverhalten.

Welche Herausforderungen bringen aktuelle Themen wie etwa E-Voting in das Thema ein?

Beim E-Voting werden Schwachstellen in der Anwendung durch breit angelegte Intrusion-Versuche und Penetration-Tests aufgedeckt. Mit dem Vulnerability Management wird die zugrundeliegende Infrastruktur abgedeckt und bildet so eine sichere Basis.

Webcode
DPF8_154743