Branche, Aktuelles, Gastbeiträge - geschrieben von cp am Donnerstag, Mai 7, 2020 19:10 - noch keine Kommentare
Warum Unternehmen Übersicht über die Schwachstellenbehebung brauchen
Home-Office als neue Herausforderung
Von unserem Gastautor Marco Rottigni, Chief Technical Security Officer EMEA, Qualys
[datensicherheit.de, 07.05.2020] Das Schwachstellenmanagement ist und bleibt eine der besten Maßnahmen, um Sicherheit zu gewährleisten. Laut des jüngsten Data Breach Investigations Reports von Verizon waren 2019 nur rund sechs Prozent der Sicherheitsverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen. Effektives Patchen ist also ein einfacher Weg, um zu verhindern, dass Angreifer in IT-Systeme eindringen.
Marco Rottigni, Chief Technical Security Officer EMEA, Qualys
Home-Office als neue Herausforderung
Das Schwachstellenmanagement entwickelt sich allerdings laufend weiter, getrieben von der Implementierung neuer IT-Systeme, aber auch der raschen Zunahme von Home-Office-Szenarien im Gefolge der Coronavirus-Pandemie. Die IT-Sicherheitsteams müssen beim Schwachstellenmanagement heute weit mehr im Blick haben als nur Desktop-Computer und Betriebssysteme. Sie müssen der Tatsache Rechnung tragen, dass ein erheblicher Prozentsatz der Benutzer von zu Hause aus arbeitet, dass immer mehr Cloud-Dienste genutzt werden und Software-Container und IoT-Geräte ins Unternehmensnetz gelangen. Wie können die Sicherheitsteams angesichts all dieser Veränderungen mit der Entwicklung der Schwachstellen Schritt halten?
Mehr Plattformen, mehr Probleme
Eine der größten Veränderungen, mit denen Unternehmen konfrontiert sind, betrifft die Rolle der Software und insbesondere der Container. In einen Software-Container werden alle Elemente verpackt, die zur Ausführung einer Anwendung gebraucht werden – nicht mehr und nicht weniger. Diese verschlankte Methode für das Hosting von Anwendungskomponenten erleichtert es, neue Dienste zu implementieren und – in der Theorie jedenfalls – agile Entwicklungskonzepte zu unterstützen.
Für Container existiert jedoch kein standardmäßiges Security by Design-Modell. Sie müssen anders abgesichert und auf dem neuesten Stand gehalten werden als herkömmlichere Server oder virtuelle Maschinen. Das bedeutet, dass die Sicherheitsteams Container-Hosts, Repositories und Live-Laufzeitumgebungen mehr scannen und überprüfen müssen. Eine Aufgabe, die zeitintensiv werden und die Belastung der Sicherheitsteams erhöhen kann.
Gleichzeitig nutzen Unternehmen verstärkt Cloud-Dienste zur Ausführung ihrer Anwendungen. Diese Implementierungen können sich je nach Bedarf schnell verändern, was das Verfolgen von Cloud-Diensten und Containern erschwert. Herkömmliche Verfahren für Schwachstellenmanagement und Scannen sind für solch kurzlebige Workloads ungeeignet. Stattdessen ist ein kontinuierlicherer Ansatz nötig.
Die dritte große Veränderung ist der Übergang zu mehr Telearbeit. Der große Schub, den COVID-19 in diese Richtung gebracht hat, war zwar nicht vorhersehbar, doch schon seit vielen Jahren gewinnt das mobile Arbeiten an Bedeutung. Die schiere Zahl der Mitarbeiter, die jetzt von zu Hause aus arbeiten, erhöht den Druck auf die IT-Sicherheit, da die verwendeten Geräte künftig eher von ihren Benutzern als von den IT-Teams verwaltet und kontrolliert werden. Ohne entsprechende Planung wird es daher schwieriger werden, die Sicherheitsstandards durchzusetzen und zu gewährleisten, dass Patches tatsächlich auf allen Rechnern und Geräten installiert werden.
Wie sich die Probleme lösen lassen
Um die Herausforderungen durch Schwachstellen bewältigen zu können, müssen Sie Ihre Sicherheitsprozesse Schritt für Schritt vereinfachen. Der erste Schritt besteht darin, sich besseren Überblick über alle vorhandenen Plattformen und Assets zu verschaffen. Dazu zählen herkömmliche IT-Ressourcen wie Endpunkte und Server, verbundene Geräte im Netzwerk, aber auch Cloud- und Container-Implementierungen. Um diese Übersicht zu gewinnen, benötigen Sie eine Kombination aus passiven Netzwerk-Scans, Agenten, die auf den Geräten installiert werden, sowie Container-Scans.
Wenn Sie diese erste Inventarisierung abgeschlossen haben, müssen Sie dafür sorgen, dass sie laufend weitergeführt wird. All die verschiedenen Gruppen von Assets müssen verfolgt und ihre Daten auf dem neuesten Stand gehalten werden, gleich, wie schnell sie sich verändern. Im Endeffekt muss jetzt kontinuierlich auf Schwachstellen gescannt werden, da ständig Änderungen auftreten können. Auf diese Weise sollten sich sowohl Probleme bei kurzlebigen Assets aufdecken lassen als auch solche bei kritischen Ressourcen wie Betriebstechnik oder industriellen Steuersystemen, bei denen Änderungen sehr selten sind. Gleich, welche Assets Ihr Unternehmen im Einsatz hat – diese Daten sollten Ihnen zeigen, welche Risiken bestehen und welche Prioritäten Sie setzen müssen.
Anschließend können Sie diese Daten in Ihren Prozessen und Arbeitsabläufen besser nutzen. Sie können nicht nur einen konkreten Ansatz zur Priorisierung von Risiken entwickeln, sondern die Daten auch verwenden, um verschiedene Teams im Unternehmen über Änderungen und deren Auswirkungen zu informieren. Wenn Sie dies in standardisierte Arbeitsabläufe integrieren, können Sie einige der Schritte automatisieren, für die sonst die Sicherheitsmitarbeiter Zeit aufwenden müssten. Zudem können Sie überlegen, wie Sie diese Informationen an andere Abteilungen weiterleiten können, etwa an die Software-Entwickler, indem Sie die Daten aus den Schwachstellenscans auch in deren Tools und Workflows einbetten.
Und schließlich müssen die Veränderungen im Schwachstellenmanagement in die Arbeitsabläufe vieler Teams einfließen, nicht nur die der Sicherheit. Es ist schwieriger, Änderungen tatsächlich umzusetzen, wenn sie nur für eine Abteilung relevant sind. Den Mitarbeitern, die an der Software-Entwicklung beteiligt sind, kann es helfen, wenn sie leichter On-Demand-Scans durchführen können. So können die Entwickler potenzielle Probleme selbst feststellen, statt auf die Berichte des Sicherheitsteams angewiesen zu sein. Im Idealfall wird diese Aktivität automatisiert und standardmäßig in der Continuous Integration/Continuous Deployment-Pipeline verankert, indem Scan-Tools über APIs eingebunden werden.
Die Zukunft sichern
Um das Schwachstellenmanagement auf diese Weise zu verändern, bedarf es eines deutlich anderen Arbeitsablaufs und einer ganz neuen Denkweise. Statt statische, einzelne Scans durchzuführen, um Probleme aufzeigen zu lassen, werden Schwachstellen laufend entdeckt, priorisiert und behoben. Das bedeutet: Isolierte Aktivitäten werden ersetzt durch eine fortlaufende Anforderung, die sich weiterentwickelt und niemals als „erledigt“ betrachtet werden kann. Dadurch entsteht ein anderer Druck auf das Team. Es empfiehlt sich deshalb, eine neue Metrik zu entwickeln, um die Erfolge bei der Problembehebung zu verfolgen.
Ein Blick auf Ihre Time to Remediate (Zeit zur Behebung, TTR) kann hier hilfreich sein. Mit der TTR sollten Sie nachvollziehen können, wie gut Sie Probleme bewältigen – gleich, ob es sich um einfache Patches handelt oder um komplexere Projekte, die mehrere Anwendungen betreffen. Bei Anwendungen, bei denen sich ein Problem nicht beheben lässt, sollten Sie sicherstellen, dass die kompensierenden Kontrollen regelmäßig getestet und aktualisiert werden. Wenn dafür ein Dashboard oder eine Visualisierung zur Verfügung steht, können Sie leichter verfolgen, wie gut Ihr Team reagiert. Zugleich kann Ihr Team auf diese Weise zeigen, dass es seine Leistung verbessert.
Wenn Sie Ihre Sicherheit erhöhen und Schwachstellen effektiv bewältigen möchten, müssen Sie sich weiterentwickeln und nach vorn bewegen. Die Zahl der Sicherheitslücken nimmt von Jahr zu Jahr zu: Laut der US National Vulnerability Database stieg sie von 18.153 im Jahr 2018 auf 18.938 in 2019, und wenn mit der gleichen Geschwindigkeit Schwachstellen offengelegt werden wie bisher, wird dieses Jahr die Marke von 20.000 überschritten. Es ist unmöglich, all diese kumulativen Probleme manuell nachzuverfolgen. Um mit den Veränderungen Schritt zu halten, muss kontinuierlich gescannt werden. Wir müssen über das Schwachstellenmanagement hinaus- und zu einer fortgeschritteneren Problembehebung übergehen. Nur wenn wir klarer erkennen, wo wir stehen, können wir uns laufend verbessern.
Weitere Informationen zum Thema:
Qualys, Inc.
Information Security and Compliance
datensicherheit.de, 06.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen
datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt
datensicherheit.de, 26.06.2020
Digitale Transformation: Durchblick bei den Kunden, Blindheit in der IT
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren