Cloud-Dienste bei der Schwachstellensuche einbeziehen

Ein vollständiges Lagebild der Schwachstellen erstellen

Die Erfassung der vorhandenen Schwachstellen eines Unternehmens zum Schutz von Systemen und Daten vor Bedrohungen ist nur mit modernen Softwarelösungen fürs Schwachstellenmanagement möglich. Diese Plattformen haben sich in den letzten Jahren erheblich weiterentwickelt. Ausgehend von einfachen Netzwerk-Schwachstellenscannern bis zu umfassenden Suiten, die Schwachstelleninformationen von Systemen und Daten integrieren, unabhängig davon, wo sie sich befinden.

Netzwerkscans sind in der Regel Kernstück der Programme fürs Schwachstellenmanagement. Diese Scans suchen nach mit dem Netzwerk verbundenen Systeme, klopfen diese auf bekannte Schwachstellen ab und melden die gefundenen Probleme und ordnen diese nach Priorität. Jedes Unternehmen sollte netzwerkbasierte Scans in seinen eigenen Rechenzentren und in seinen IaaS-Umgebungen einsetzen (Infrastructure as a Service). Netzwerkscans sind am effektivsten, wenn sie aus mehreren Perspektiven durchgeführt werden – vor und hinter Netzwerk-Firewalls – und wenn sie die Ergebnisse an eine zentrale Korrelationsplattform weitergeben.

Scans für Webanwendungen ergänzen die Netzwerkscans und geben einen tiefen Einblick in Probleme, die spezifisch für diese Applikationen sind. Dazu gehören zum Beispiel SQL Injection, Cross Site Scripting (XSS) und Cross Site Request. Der Umgang mit den Ergebnissen dieser Scans ist in einer Cloud-Umgebung oft schwierig, je nachdem, wer die Webanwendung entwickelt und gewartet hat:

• Schwachstellen in Anwendungen, die intern entwickelt wurden, können direkt von diesen Teams behoben werden.
• Schwachstellen in Anwendungen von Softwareanbietern, die vom Unternehmen in lokalen Rechenzentren oder IaaS gehostet werden, erfordern eine Abstimmung mit dem Softwarehersteller.
• Schwachstellen in SaaS-Produkten können in der Regel nicht von internen Teams behoben werden, sondern nur vom Anbieter selbst.

Die zunehmende Abhängigkeit der Unternehmen von SaaS-Produkten erhöht nicht nur das Risiko herkömmlicher Schwachstellen, sondern auch die Möglichkeit von Fehlkonfigurationen, die durch die Anwendungsadministration des eigenen Unternehmens erfolgen. Aus diesem Grund bieten die großen Plattformen fürs Schwachstellenmanagement Module an, die in Cloud-Dienste hineinreichen, um Richtlinieneinstellungen zu analysieren und auch vom Kunden selbst verursachte Schwachstellen zu identifizieren.

Idealerweise sollten Unternehmen eine einzige Plattform fürs Schwachstellenmanagement einsetzen. So können Sie die Schwachstellen im Netzwerk, in Webanwendungen und in der Cloud-Konfiguration in einer einzigen Konsole verwalten. Dieser Ansatz vereinfacht die Schwachstellenanalyse und schafft eine Umgebung, die ein risikobasiertes Schwachstellenmanagement begünstigt.

Einen risikobasierten Ansatz für die Security umsetzen

Experten für Risikomanagement kennen die unterschiedlichen Möglichkeiten, wie man auf jedes Risiko reagieren kann, mit dem man konfrontiert wird: Risikovermeidung, Risikotransfer, Risikominderung und Risikoakzeptanz. Diese Strategien lassen sich auch aufs risikobasierte Schwachstellenmanagement übertragen:

• Risikovermeidung: Unternehmen können Risiken vermeiden, indem sie ihre Geschäftsaktivitäten so ändern, dass das Risiko nicht mehr relevant ist. Das kann bedeuten, dass sie ein System abschalten, zu einer anderen Softwareplattform wechseln, oder andere Maßnahmen ergreifen, die eine Schwachstelle für den Geschäftsbetrieb irrelevant machen.
• Übertragung von Risiken: Unternehmen können Risiken übertragen, in dem sie die Last der Risikobewältigung auf ein anderes Unternehmen verlagern. Häufig lässt sich ein Risiko allerdings nicht vollständig übertragen. Wenn ein Unternehmen ein SaaS-Produkt einsetzt, kann ein Versäumnis des Anbieters, Schwachstellen zu beheben, immer noch die sensiblen Daten des Anwenderunternehmens gefährden.
• Risikominderung: Die gängigste Art und Weise, wie beim Schwachstellenmanagement Risiken angegangen werden, ist deren Abschwächung. Bei der Risikominderung werden Maßnahmen ergriffen, um die Wahrscheinlichkeit und die Eintrittswahrscheinlichkeit eines Risikos zu verringern. Das kann durch die Anwendung eines Patches, die Änderung von Firewall-Regeln oder die Einführung anderer Sicherheitskontrollen geschehen. Bei einem risikobasierten Schwachstellenmanagement ordnen Unternehmen die entdeckten Schwachstellen häufig in einer Rangfolge an und beseitigen die Risiken mit dem höchsten Rang zuerst. Mit diesem Ansatz wird der beste Nutzen aus den zeitaufwendigen Bemühungen zur Risikominderung gezogen.
• Risikoakzeptanz: Risiken werden als vertretbar betrachtet, wenn die Verantwortlichen für Cybersicherheit zu dem Schluss kommen, dass die Kosten für die Anwendung anderer Risikomanagement-Strategien den Nutzen überwiegen. In diesem Fall können IT-Teams in voller Kenntnis des Risikos mit dem Betrieb fortfahren. Verantwortliche verwenden diesen Ansatz in der Regel für Schwachstellen mit geringer Wahrscheinlichkeit und geringen Auswirkungen, die einfach keine Abhilfemaßnahmen erforderlich machen.

Security-Teams fühlen sich häufig von der Anzahl an Berichten, die Schwachstellenscans zurückliefern, überfordert. Die Entwicklung eines vollständigen Lagebildes der Schwachstellensituation und ein risikobasierter Ansatz unterstützen dabei, die Herausforderung zu bewältigen. So lassen sich die begrenzten Ressourcen für das Schwachstellenmanagement effizient und effektiv einsetzen.