Warum Unternehmen Übersicht über die Schwachstellenbehebung brauchen

Home-Office als neue Herausforderung

Von unserem Gastautor Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

[datensicherheit.de, 07.05.2020] Das Schwachstellenmanagement ist und bleibt eine der besten Maßnahmen, um Sicherheit zu gewährleisten. Laut des jüngsten Data Breach Investigations Reports von Verizon waren 2019 nur rund sechs Prozent der Sicherheitsverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen. Effektives Patchen ist also ein einfacher Weg, um zu verhindern, dass Angreifer in IT-Systeme eindringen.

Bild: Qualys

Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

Home-Office als neue Herausforderung

Das Schwachstellenmanagement entwickelt sich allerdings laufend weiter, getrieben von der Implementierung neuer IT-Systeme, aber auch der raschen Zunahme von Home-Office-Szenarien im Gefolge der Coronavirus-Pandemie. Die IT-Sicherheitsteams müssen beim Schwachstellenmanagement heute weit mehr im Blick haben als nur Desktop-Computer und Betriebssysteme. Sie müssen der Tatsache Rechnung tragen, dass ein erheblicher Prozentsatz der Benutzer von zu Hause aus arbeitet, dass immer mehr Cloud-Dienste genutzt werden und Software-Container und IoT-Geräte ins Unternehmensnetz gelangen. Wie können die Sicherheitsteams angesichts all dieser Veränderungen mit der Entwicklung der Schwachstellen Schritt halten?

Mehr Plattformen, mehr Probleme

Eine der größten Veränderungen, mit denen Unternehmen konfrontiert sind, betrifft die Rolle der Software und insbesondere der Container. In einen Software-Container werden alle Elemente verpackt, die zur Ausführung einer Anwendung gebraucht werden – nicht mehr und nicht weniger. Diese verschlankte Methode für das Hosting von Anwendungskomponenten erleichtert es, neue Dienste zu implementieren und – in der Theorie jedenfalls – agile Entwicklungskonzepte zu unterstützen.

Für Container existiert jedoch kein standardmäßiges Security by Design-Modell. Sie müssen anders abgesichert und auf dem neuesten Stand gehalten werden als herkömmlichere Server oder virtuelle Maschinen. Das bedeutet, dass die Sicherheitsteams Container-Hosts, Repositories und Live-Laufzeitumgebungen mehr scannen und überprüfen müssen. Eine Aufgabe, die zeitintensiv werden und die Belastung der Sicherheitsteams erhöhen kann.

Gleichzeitig nutzen Unternehmen verstärkt Cloud-Dienste zur Ausführung ihrer Anwendungen. Diese Implementierungen können sich je nach Bedarf schnell verändern, was das Verfolgen von Cloud-Diensten und Containern erschwert. Herkömmliche Verfahren für Schwachstellenmanagement und Scannen sind für solch kurzlebige Workloads ungeeignet. Stattdessen ist ein kontinuierlicherer Ansatz nötig.

Die dritte große Veränderung ist der Übergang zu mehr Telearbeit. Der große Schub, den COVID-19 in diese Richtung gebracht hat, war zwar nicht vorhersehbar, doch schon seit vielen Jahren gewinnt das mobile Arbeiten an Bedeutung. Die schiere Zahl der Mitarbeiter, die jetzt von zu Hause aus arbeiten, erhöht den Druck auf die IT-Sicherheit, da die verwendeten Geräte künftig eher von ihren Benutzern als von den IT-Teams verwaltet und kontrolliert werden. Ohne entsprechende Planung wird es daher schwieriger werden, die Sicherheitsstandards durchzusetzen und zu gewährleisten, dass Patches tatsächlich auf allen Rechnern und Geräten installiert werden.

Wie sich die Probleme lösen lassen

Um die Herausforderungen durch Schwachstellen bewältigen zu können, müssen Sie Ihre Sicherheitsprozesse Schritt für Schritt vereinfachen. Der erste Schritt besteht darin, sich besseren Überblick über alle vorhandenen Plattformen und Assets zu verschaffen. Dazu zählen herkömmliche IT-Ressourcen wie Endpunkte und Server, verbundene Geräte im Netzwerk, aber auch Cloud- und Container-Implementierungen. Um diese Übersicht zu gewinnen, benötigen Sie eine Kombination aus passiven Netzwerk-Scans, Agenten, die auf den Geräten installiert werden, sowie Container-Scans.

Wenn Sie diese erste Inventarisierung abgeschlossen haben, müssen Sie dafür sorgen, dass sie laufend weitergeführt wird. All die verschiedenen Gruppen von Assets müssen verfolgt und ihre Daten auf dem neuesten Stand gehalten werden, gleich, wie schnell sie sich verändern. Im Endeffekt muss jetzt kontinuierlich auf Schwachstellen gescannt werden, da ständig Änderungen auftreten können. Auf diese Weise sollten sich sowohl Probleme bei kurzlebigen Assets aufdecken lassen als auch solche bei kritischen Ressourcen wie Betriebstechnik oder industriellen Steuersystemen, bei denen Änderungen sehr selten sind. Gleich, welche Assets Ihr Unternehmen im Einsatz hat – diese Daten sollten Ihnen zeigen, welche Risiken bestehen und welche Prioritäten Sie setzen müssen.

Anschließend können Sie diese Daten in Ihren Prozessen und Arbeitsabläufen besser nutzen. Sie können nicht nur einen konkreten Ansatz zur Priorisierung von Risiken entwickeln, sondern die Daten auch verwenden, um verschiedene Teams im Unternehmen über Änderungen und deren Auswirkungen zu informieren. Wenn Sie dies in standardisierte Arbeitsabläufe integrieren, können Sie einige der Schritte automatisieren, für die sonst die Sicherheitsmitarbeiter Zeit aufwenden müssten. Zudem können Sie überlegen, wie Sie diese Informationen an andere Abteilungen weiterleiten können, etwa an die Software-Entwickler, indem Sie die Daten aus den Schwachstellenscans auch in deren Tools und Workflows einbetten.

Und schließlich müssen die Veränderungen im Schwachstellenmanagement in die Arbeitsabläufe vieler Teams einfließen, nicht nur die der Sicherheit. Es ist schwieriger, Änderungen tatsächlich umzusetzen, wenn sie nur für eine Abteilung relevant sind. Den Mitarbeitern, die an der Software-Entwicklung beteiligt sind, kann es helfen, wenn sie leichter On-Demand-Scans durchführen können. So können die Entwickler potenzielle Probleme selbst feststellen, statt auf die Berichte des Sicherheitsteams angewiesen zu sein. Im Idealfall wird diese Aktivität automatisiert und standardmäßig in der Continuous Integration/Continuous Deployment-Pipeline verankert, indem Scan-Tools über APIs eingebunden werden.

Die Zukunft sichern

Um das Schwachstellenmanagement auf diese Weise zu verändern, bedarf es eines deutlich anderen Arbeitsablaufs und einer ganz neuen Denkweise. Statt statische, einzelne Scans durchzuführen, um Probleme aufzeigen zu lassen, werden Schwachstellen laufend entdeckt, priorisiert und behoben. Das bedeutet: Isolierte Aktivitäten werden ersetzt durch eine fortlaufende Anforderung, die sich weiterentwickelt und niemals als „erledigt“ betrachtet werden kann. Dadurch entsteht ein anderer Druck auf das Team. Es empfiehlt sich deshalb, eine neue Metrik zu entwickeln, um die Erfolge bei der Problembehebung zu verfolgen.

Ein Blick auf Ihre Time to Remediate (Zeit zur Behebung, TTR) kann hier hilfreich sein. Mit der TTR sollten Sie nachvollziehen können, wie gut Sie Probleme bewältigen – gleich, ob es sich um einfache Patches handelt oder um komplexere Projekte, die mehrere Anwendungen betreffen. Bei Anwendungen, bei denen sich ein Problem nicht beheben lässt, sollten Sie sicherstellen, dass die kompensierenden Kontrollen regelmäßig getestet und aktualisiert werden. Wenn dafür ein Dashboard oder eine Visualisierung zur Verfügung steht, können Sie leichter verfolgen, wie gut Ihr Team reagiert. Zugleich kann Ihr Team auf diese Weise zeigen, dass es seine Leistung verbessert.

Wenn Sie Ihre Sicherheit erhöhen und Schwachstellen effektiv bewältigen möchten, müssen Sie sich weiterentwickeln und nach vorn bewegen. Die Zahl der Sicherheitslücken nimmt von Jahr zu Jahr zu: Laut der US National Vulnerability Database stieg sie von 18.153 im Jahr 2018 auf 18.938 in 2019, und wenn mit der gleichen Geschwindigkeit Schwachstellen offengelegt werden wie bisher, wird dieses Jahr die Marke von 20.000 überschritten. Es ist unmöglich, all diese kumulativen Probleme manuell nachzuverfolgen. Um mit den Veränderungen Schritt zu halten, muss kontinuierlich gescannt werden. Wir müssen über das Schwachstellenmanagement hinaus- und zu einer fortgeschritteneren Problembehebung übergehen. Nur wenn wir klarer erkennen, wo wir stehen, können wir uns laufend verbessern.

Weitere Informationen zum Thema:

Qualys, Inc.
Information Security and Compliance

datensicherheit.de, 06.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt

datensicherheit.de, 26.06.2020
Digitale Transformation: Durchblick bei den Kunden, Blindheit in der IT