Vulnerability Management

Drei-Phasen-Plan für mehr Software-Sicherheit

| Autor / Redakteur: Jim Ryan* / Stephan Augsten

Software-Schwachstellen lassen sich nicht so einfach aus der Welt schaffen, man benötigt eine vernünftige Strategie.
Software-Schwachstellen lassen sich nicht so einfach aus der Welt schaffen, man benötigt eine vernünftige Strategie. (Bild: Archiv)

Jede Schwachstelle kann behoben werden – Unternehmen müssen nur wissen, wo sie zu finden sind. Das Software Vulnerability Management entwickelt sich daher zu einem wesentlichen Bestandteil innerhalb von Sicherheitskonzepten.

Die Zahl der Cyber-Attacken steigt – und als erste Angriffsstelle dienen allzu oft Software-Schwachstellen. Über diese können Hacker in die IT-Infrastruktur eines Unternehmens eindringen und das System mit Malware infizieren. Die Folgen reichen von Datendiebstahl über Image- und Vertrauensverlust bis hin zu einem finanziellen Schaden in Millionenhöhe.

Allein in Deutschland betrugen die Gesamtkosten der Cyberkriminalität je Unternehmen 7,5 Mio. Dollar (Geschäftsjahr 2015). Die Aufdeckung eines Cyberangriffs dauerte durchschnittlich 46 Tage. Für die beteiligten Unternehmen entstanden in diesem Zeitraum Kosten von durchschnittlich 973.130 Dollar.

Alle Branchen sind von Cyberkriminalität betroffen. Doch die Kosten unterscheiden sich je nach Branchensegment und Unternehmensgröße. In Deutschland verursachen Phishing und Social Engineering (21 Prozent) den Unternehmen den höchsten Schaden, gefolgt von webbasierten Angriffen (17 Prozent).

Die erste Verteidigungslinie zur Minimierung dieser Bedrohungen besteht darin, die Angriffsfläche so klein wie möglich zu halten. Damit reduziert sich auch die Zahl der Schwachstellen innerhalb der Umgebung eines Unternehmens. Zudem senkt diese Vorbeugungsmaßnahme das Schadensrisiko durch Hacker erheblich.

Die Bedrohungslage durch Schwachstellen

Software Vulnerability Management ist deshalb so wichtig, weil es präventiv wirkt. Ein Großteil der erfolgreichen Cyberangriffe nutzt bekannte Software-Schwachstellen aus, um sich in IT-Infrastrukturen von Unternehmen Zugang zu verschaffen oder privilegierte Rechte einzurichten.

Haben Hacker erstmal eine Schwachstelle erfolgreich identifiziert und ausgenutzt, bietet sie den perfekten Ausgangspunkt für weitere Angriffe: Angreifer können sich in den Systemen frei bewegen, Daten sammeln und Malware implementieren, um unternehmenskritische Informationen zu stehlen, zu vernichten oder Ausfälle zu verursachen.

Von Schwachstellen verursachte Probleme kommen häufiger vor als gedacht. Im Annual Vulnerability Review 2016 von Flexera Software, der die Schwachstellen und die Verfügbarkeit von Patches im globalen Zusammenhang darstellt, wurden allein 2015 insgesamt 16.081 Schwachstellen in 2.484 Produkten von 263 Herstellern gemeldet.

Diese Zahlen machen die Herausforderungen deutlich, vor denen Sicherheits- und IT-Experten stehen, wenn es darum geht, ihre Umgebungen gegen Angriffe zu schützen. Aus den Daten lässt sich ablesen, wie man mit den Schwachstellen umgehen sollte.

Von den 16.081 ermittelten Schwachstellen wurden 13,3 Prozent als „hoch kritisch“ beurteilt und nur 0,5 Prozent als „extrem kritisch“. Im Jahr 2015 standen für über 84 Prozent der Schwachstellen in allen Produkten am Tag der Offenlegung Patches bereit. Mit einer funktionierenden Strategie für das Software Vulnerability Management können Unternehmen ihre Angriffsfläche und das Risiko eines erfolgreichen Angriffs also erheblich reduzieren.

Schwachstellen identifizieren

Wesentliche Grundlage für dieses Konzept sind fundierte Informationen über die Schwachstellen. Das Stichwort lautet „Vulnerability Intelligence“. Dies können alle möglichen Arten von Daten sein, wie beispielsweise historische Daten, Angriffsvektoren, Auswirkungen, Gefahrenkategorien und Bug Fixes.

Vulnerability Intelligence lässt sich in die Sicherheitsstrategie eines Unternehmens integrieren und unterstützt so die Risikobewertung. Außerdem kann das Software Vulnerability Management darauf zugreifen und in seine Tools einspeisen. Doch wie werden die dafür nötigen Daten erhoben? Zunächst muss die Existenz einer Schwachstelle verifiziert werden, um anschließend ihre Gefährlichkeit zu evaluieren. Nur so lässt sich einschätzen, welche Schwachstellen ein größeres Risiko darstellen und sofortigen Handlungsbedarf erfordern.

Drei Phasen zur Bewältigung von Schwachstellen

Vulnerability Intelligence fügt sich in die drei wichtigen Phasen des Software Vulnerability Management Lifecycle ein.

Vulnerability Management Lifecycle
Vulnerability Management Lifecycle (Bild: Archiv)

Der Lifecycle beginnt mit dem „Bewerten (1)“. Hier wird das Vorhandensein der Schwachstelle untersucht und verifiziert. Als nächstes muss die Organisation die Schwachstellen herausfiltern, die sie selbst betreffen könnten. Das verlangt nach einer umfassenden Bestandsaufnahme der eigenen Assets. Nur so lässt sich ermitteln, welche Systeme durch die Schwachstellen potenziell gefährdet sind. Sobald aus der großen Masse der bekannten Schwachstellen die wirklich für das Unternehmen relevanten herausgefiltert sind, lässt sich anhand von Vulnerability Intelligence ermitteln, welche Schwachstellen besonders kritisch sind und daher mit Priorität behandelt werden müssen.

Die zweite Phase des Software Vulnerability Management Lifecycle ist das „Begrenzen und Beheben (2)“. Hier erfolgt oft die Übergabe vom Security Team an das IT Operations Team. (Wobei sich eine strikte Trennung zwischen diesen beiden Bereichen eigentlich nicht empfiehlt.)

Das IT Operations Team übernimmt üblicherweise das Patch-Management. Identifizierung und Download erfolgen dann anhand der Application-Readiness-Prozesse. Wie gesagt: 84 Prozent der Schwachstellen wurden 2015 noch am Tag ihrer Offenlegung behoben. Anschließend müssen die Patches getestet werden, z. B. auf Abhängigkeiten. Anschließend werden sie paketiert und auf die betreffenden Maschinen verteilt. Dieser Eindämmungsprozess muss gut administriert und automatisiert sein, um Überlastung und Ausfälle der Systeme zu vermeiden.

Der letzte Schritt ist das „Überprüfen (3)“. Hierbei wird die Anwendung des Patches oder anderer Techniken zur Risikominderung verifiziert. Nach Abschluss dieses Schrittes ist der Angriffsvektor für diese Schwachstelle beseitigt.

Zur Bekämpfung der Cyberkriminalität müssen Unternehmen eine Kombination aus proaktiven und reaktiven Techniken einsetzen. Proaktiv bedeutet hier, einem Hacker den Einbruch in die Systeme so schwer wie möglich zu machen. Reaktiv bedeutet, Vorfälle erkennen und darauf reagieren zu können.

Jim Ryan
Jim Ryan (Bild: Flexera Software)

Viele Unternehmen konzentrieren sich ausschließlich auf reaktive Maßnahmen und werden erst dann aktiv, wenn ein Angriff bereits stattgefunden hat. Doch es ist ungleich schwerer, Vorfälle zu erkennen und darauf zu reagieren, wenn es einfach zu viele Lücken gibt, die Hacker nutzen können. Ein vorausschauendes Konzept im Software Vulnerability Management ist gleichbedeutend mit Investitionen in Personen, Prozesse und Technologien, um Angriffsflächen wirksam zu reduzieren und die Wahrscheinlichkeit, dass Hacker Softwareschwachstellen ausnutzen, zu minimieren.

* Jim Ryan ist President und CEO von Flexera Software.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44197595 / Schwachstellen-Management)