IT-Infrastrukturen werden immer komplexer, Bedrohungen immer kritischer. Umso wichtiger ist es für Unternehmen, einen umfassenden Überblick über die eigene Sicherheitslage zu haben, Schwachstellen so früh wie möglich zu erkennen und strukturiert zu behandeln. Insbesondere bei einer hohen Anzahl an Schwachstellenmeldungen kann aber deren Bewältigung ein echter Kraftakt sein.
Markus Ritter, Managing Security Consultant des usd HeroLabs und Verantwortlicher für Vulnerability Management Services, über Rüstzeug, Schwachstellen strukturiert zu beheben und notwendige Maßnahmen zur Verbesserung der IT-Sicherheit abzuleiten.
Welche Herausforderungen gehen mit Ergebnisberichten technischer Sicherheitsanalysen einher?
Die eigentliche Arbeit für eine nachhaltige Erhöhung des IT-Sicherheitsniveaus fängt nach der Durchführung von technischen Sicherheitsanalysen wie Pentests oder Security Scans erst an – nämlich dann, wenn die Ergebnisberichte vorliegen. Der richtige Umgang mit solchen Ergebnisberichten stellt viele Unternehmen vor große Herausforderungen. Hinzu kommt, dass Scan-Ergebnisse scheinbar relevante Schwachstellenmeldungen enthalten können, die nach erfolgter Prüfung für Ihr Unternehmen kein oder nur ein geringes Risiko darstellen (z.B. False Positives). Insbesondere am Anfang des Projekteinstiegs und wenn viele Systeme und Anwendungen auf Schwachstellen analysiert wurden, kommen bei der Auswertung der Ergebnisberichte unter anderem folgende Fragestellungen auf:
- Wie bewältige ich die enorme Datenmenge über mögliche Schwachstellen?
- Wo fange ich am besten an?
- Wie priorisiere ich die Ergebnisse?
- Wie filtere ich effizient False Positives heraus?
- Welche Ansprechpartner müssen involviert werden?
- Wie überwache ich den Fortschritt der Schwachstellenbehebung?
- Wie kann ich zukünftige Sicherheitsprobleme vermeiden?
Gerade zu Beginn kann die Beantwortung dieser Fragen schwierig sein, da hierzu häufig das Know-how und andere Ressourcen fehlen. Dies kann dazu führen, dass relevante Schwachstellen nicht behandelt werden und so das Risiko, Opfer eines Hackerangriffs zu werden, nicht minimiert wird. Zudem werden diese Schwachstellen in Folgeanalysen immer wieder auftauchen und erschweren jeweils deren Nachbereitung.
Wie finde ich einen guten Einstieg in das Schwachstellenmanagement?
Die Konfrontation mit vielen Schwachstellenmeldungen kann für alle Beteiligten überwältigend sein. Wichtig ist, dass Sie nicht mit der Bearbeitung aller Meldungen gleichzeitig anfangen. Priorisieren Sie die Schwachstellen und konzentrieren Sie sich dabei auf die mit dem größten Risiko für Ihr Unternehmen. Besonders schützenswerte IT-Assets lassen sich oft ohne umfangreiche Risiko- oder Schutzbedarfsanalyse definieren. Hierzu gehören beispielsweise geschäftskritische oder aus dem Internet erreichbare Systeme. Fokussieren Sie sich am Anfang auf genau diese IT-Assets, sowie auf die besonders kritischen Schwachstellenmeldungen. Hierfür können anfangs die im Ergebnisbericht definierten meist 5-stufigen Kritikalitätseinstufungen der Schwachstellen als Anhaltspunkt dienen. Teilen Sie sich die Arbeit dabei in kleine Pakete ein. So erzielen Sie schnell eine Verbesserung Ihres Sicherheitsniveaus. Verfahren Sie nun genauso mit den restlichen IT-Assets weiter, wobei Sie die Schwachstellenmeldungen absteigend in ihrer Kritikalität behandeln.
Um das durch die Schwachstellen erzeugte Risiko Opfer eines Hackerangriffs zu werden nachhaltig möglichst gering zu halten, ist die ein strukturiertes Schwachstellenmanagement essenziell. Es bildet die Grundlage dafür, Schwachstellen in Ihren IT-Systemen frühzeitig zu identifizieren, effizient zu beheben und somit Angriffspunkte zu reduzieren. Zum Aufbau eines strukturierten Schwachstellenmanagements können Ihre gesammelten Erfahrungen aus dem Einstieg genutzt werden, um geeignete Prozesse zu entwickeln und passende Tools auszuwählen.
Wie können wir helfen?
Unser Security Analyst*innen und Consultants verfügen über jahrelange Projekterfahrung in der Planung, Durchführung und Nachbereitung von technischen Sicherheitsanalysen sowie dem Aufbau und Betrieb von Informationssicherheitsmanagementsystemen (ISMS). So können wir Sie in allen Facetten des Projekts unterstützen. Je nachdem, was Sie gerade benötigen, bieten wir Ihnen im Rahmen unserer Vulnerability Management Services umfassende Unterstützung während des gesamten Projektzyklus. Das untenstehende Schaubild zeigt die möglichen Phasen des gesteuerten Schwachstellenmanagements.
In der Nachbereitung von technischen Sicherheitsanalysen gehört dazu beispielsweise die gemeinsame Durchsicht des Ergebnisberichts, um die Schwachstellenmeldungen effizient zu bewerten und die Behebung entsprechend zu priorisieren. So können wir Sie etwa mit unserer Expertise dabei unterstützen, einfach und schnell False Positives herauszufiltern. Zudem identifizieren wir gemeinsam mit Ihnen Schwachstellen, die mit geringem Aufwand behoben werden können, um so schnell erste Erfolge bei der Erhöhung Ihres IT-Sicherheitsniveaus zu erreichen. Bei einigen Schwachstellen ist das Schließen nicht ohne Weiteres möglich, da beispielsweise komplexe Abhängigkeiten bei der Behebung berücksichtigt werden müssen. Hier unterstützen wir Sie bei der Auswahl von geeigneten, risikoreduzierenden Maßnahmen, der Risikoableitung und anschließender eventueller Risikoübernahme.
Ergänzend unterstützen wir Sie bei der Einführung und Etablierung von Prozessen sowie geeigneten Tools zur Behebung und Nachverfolgung der Schwachstellen. Außerdem gilt es, Ihre IT-Sicherheit auf konstant hohem Niveau aufrechtzuerhalten und so Ihr Risiko, Opfer eines erfolgreichen Hackerangriffs zu werden, zu minimieren. Dazu gehören Maßnahmen, wie die Schulung Ihrer Mitarbeiter*innen oder die Anpassung von Systemen und Prozessen. Wir unterstützen Sie beratend oder ganz praktisch beim operativen Betrieb.
Egal, ob Sie mit Ihrem Vulnerability Management ganz am Anfang stehen, bereits Prozesse und Tools etabliert haben oder die Durchführung technischer Sicherheitsanalysen planen – wir unterstützen Sie. Kontaktieren Sie uns gern.