Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Am 4. Juli haben wir ein großes Seminar zum Thema Schwachstellenmanagement. Heute veröffentlichen wir die Zusammenfassung des Vortrags von Andrei Novikov von Qualys. Er erlĂ€utert, welche Schritte erforderlich sind, um einen funktionierenden Prozess fĂŒr das Schwachstellenmanagement zu etablieren. Spoiler: Das Scannen erfolgt erst auf halbem Weg.

Video abspielen

Schritt 1: Bestimmen Sie den Reifegrad Ihrer Schwachstellenmanagementprozesse

Zu Beginn mĂŒssen Sie verstehen, auf welcher Stufe sich Ihre Organisation bezĂŒglich der Reife Ihrer Schwachstellenmanagementprozesse befindet. Erst dann können Sie feststellen, in welche Richtung Sie sich bewegen sollten und welche Schritte erforderlich sind. Bevor Organisationen mit dem Scannen und anderen AktivitĂ€ten beginnen, sollten sie interne Analysen durchfĂŒhren und verstehen, wie ihre aktuellen Prozesse in den Bereichen IT und Informationssicherheit strukturiert sind.

Versuchen Sie, grundlegende Fragen zu beantworten:

  • Haben Sie Prozesse zur Inventarisierung und Klassifizierung von Vermögenswerten? 
  • Wie regelmĂ€ĂŸig wird Ihre IT-Infrastruktur gescannt und ist die gesamte Infrastruktur abgedeckt, haben Sie das gesamte Bild im Blick?
  • Werden Ihre IT-Ressourcen ĂŒberwacht?
  • Sind in Ihren Prozessen KPIs implementiert und wie stellen Sie sicher, dass diese erfĂŒllt werden?
  • Sind all diese Prozesse dokumentiert?

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 2: Stellen Sie eine vollstÀndige Abdeckung der Infrastruktur sicher

Sie können nicht schĂŒtzen, was Sie nicht kennen. Wenn Sie kein vollstĂ€ndiges Bild Ihrer IT-Infrastruktur haben, können Sie diese nicht schĂŒtzen. Moderne Infrastrukturen sind komplex und Ă€ndern sich stĂ€ndig in QuantitĂ€t und QualitĂ€t.
Heute basiert die IT-Infrastruktur nicht nur auf einem klassischen Technologiestack (Arbeitsstationen, Server, virtuelle Maschinen), sondern auch auf relativ neuen – Containern, Mikrodiensten. Der Informationssicherheitsdienst versucht nachdrĂŒcklich, sich von Letzterem abzuwenden, da es sehr schwierig ist, mit ihnen zu arbeiten, mit den bestehenden Werkzeugen, die hauptsĂ€chlich aus Scannern bestehen. Das Problem ist, dass kein Scanner die gesamte Infrastruktur abdecken kann. Damit ein Scanner jeden Knoten in der Infrastruktur erreichen kann, mĂŒssen mehrere Faktoren gleichzeitig erfĂŒllt sein. Das Asset muss zum Zeitpunkt des Scans innerhalb des Perimeters der Organisation sein. Der Scanner muss Netzwerkzugriff auf die Assets und deren Konten haben, um vollstĂ€ndige Informationen zu sammeln.

Laut unserer Statistik wird bei mittelstĂ€ndischen und großen Unternehmen etwa 15–20% der Infrastruktur aus verschiedenen GrĂŒnden nicht vom Scanner erfasst: Objekte verlassen den Perimeter oder kommen gar nicht ins BĂŒro. Ein Beispiel wĂ€re ein Mitarbeiter-Laptop, der remote arbeitet, aber Zugang zum Unternehmensnetzwerk hat, oder ein Objekt in externen Cloud-Diensten wie Amazon. Der Scanner wird mit grĂ¶ĂŸter Wahrscheinlichkeit keine Informationen ĂŒber diese Objekte haben, da sie außerhalb seines Sichtfelds liegen.

Um die gesamte Infrastruktur zu erfassen, sollten nicht nur Scanner verwendet werden, sondern ein ganzes Set an Sensoren, einschließlich Technologien fĂŒr passives Traffic-Monitoring zur Erkennung neuer GerĂ€te in Ihrer Infrastruktur, sowie agentenbasierte Methoden zur Datensammlung, die es ermöglichen, Informationen online zu erhalten, ohne scannen zu mĂŒssen und ohne spezielle Anmeldedaten.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 3: Kategorisierung der Assets durchfĂŒhren

Nicht alle Assets sind gleich wichtig. Es liegt an Ihnen, zu bestimmen, welche Assets von Bedeutung sind und welche nicht. Kein Tool, selbst ein Scanner, kann dies fĂŒr Sie tun. Idealerweise analysieren IT-Sicherheit, IT und das GeschĂ€ft gemeinsam die Infrastruktur, um geschĂ€ftskritische Systeme zu identifizieren. FĂŒr diese Systeme legen sie akzeptable Metriken hinsichtlich VerfĂŒgbarkeit, IntegritĂ€t, Vertraulichkeit, RTO/RPO usw. fest.

Das wird helfen, PrioritĂ€ten im Vulnerability Management zu setzen. Wenn Ihre FachkrĂ€fte Informationen ĂŒber Schwachstellen erhalten, handelt es sich nicht um eine Liste mit Tausenden von Schwachstellen in der gesamten Infrastruktur, sondern um detaillierte Informationen, die die KritikalitĂ€t der Systeme berĂŒcksichtigen.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 4: FĂŒhren Sie eine Bewertung der Infrastruktur durch.

Und erst in Schritt vier kommen wir zur Bewertung der Infrastruktur hinsichtlich SicherheitsanfĂ€lligkeiten. Wir empfehlen Ihnen, in diesem Schritt nicht nur die Schwachstellen in der Software, sondern auch Konfigurationsfehler zu berĂŒcksichtigen, die ebenfalls als Schwachstelle gelten können. Hier raten wir zu einem agentenbasierten Informationssammlungsverfahren. Scanner sollten genutzt werden, um die Sicherheit des Perimeters zu bewerten. Wenn Sie Ressourcen von Cloud-Anbietern verwenden, mĂŒssen auch dort Informationen ĂŒber Vermögenswerte und Konfigurationen gesammelt werden. Legen Sie besonderen Wert auf die Analyse von Schwachstellen in Infrastrukturen, die Docker-Container nutzen.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt № 5: Richten Sie die Berichterstattung ein

Dies ist eines der wichtigen Elemente im Prozess des Schwachstellenmanagements.
Der erste Punkt: Niemand möchte mit umfangreichen Berichten arbeiten, die eine unorganisierte Liste von Schwachstellen und deren Behebung enthalten. ZunĂ€chst muss man mit den Kollegen kommunizieren und klĂ€ren, was im Bericht enthalten sein sollte und wie sie die Informationen am besten erhalten. Einem Administrator reicht möglicherweise eine kurze Information ĂŒber den Patch und den entsprechenden Link, wĂ€hrend ein anderer Fachmann nur an den Schwachstellen interessiert ist, die in der Netzwerkarchitektur gefunden wurden.

Der zweite Punkt: Unter Berichterstattung verstehe ich nicht nur Papierberichte. Das ist ein veraltetes Format zur Informationsbeschaffung und eine statische Darstellung. Der Nutzer erhĂ€lt einen Bericht und kann nichts daran Ă€ndern, wie die Daten darin prĂ€sentiert werden. Um den Bericht in der gewĂŒnschten Form zu erhalten, muss der IT-Spezialist den Experten fĂŒr Informationssicherheit kontaktieren und ihn bitten, den Bericht neu zu strukturieren. Die Zeit vergeht, neue Schwachstellen treten auf. Anstatt Berichte zwischen den Abteilungen hin und her zu werfen, sollten die Spezialisten beider Bereiche die Möglichkeit haben, die Daten online zu beobachten und dasselbe Bild zu sehen. Daher verwenden wir in unserer Plattform dynamische Berichte in Form von anpassbaren Dashboards.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 6: Priorisieren Sie

Hier kann Folgendes gemacht werden:

1. Erstellung eines Repositories mit Goldbildern von Systemen. Arbeiten Sie regelmĂ€ĂŸig mit Goldbildern, ĂŒberprĂŒfen Sie diese auf Schwachstellen und Konfigurationsgenauigkeit. Dies kann mit Hilfe von Agenten erfolgen, die automatisch ĂŒber das Auftreten neuer Vermögenswerte berichten und Informationen zu deren Schwachstellen bereitstellen.

2. Konzentrieren Sie sich auf die kritischen GeschĂ€ftsinvestitionen. Es gibt keine Organisation auf der Welt, die Schwachstellen in einem Rutsch beheben kann. Der Prozess der Schwachstellenbehebung ist langwierig und kann sogar mĂŒhsam sein.

3. Verringerung der AngriffsflĂ€che. RĂ€umen Sie Ihre Infrastruktur von unnötiger Software und Diensten auf und schließen Sie nicht benötigte Ports. KĂŒrzlich hatten wir einen Fall mit einem Unternehmen, bei dem auf 40.000 GerĂ€ten etwa 100.000 Schwachstellen in Verbindung mit einer alten Version des Mozilla-Browsers gefunden wurden. Wie sich herausstellte, war Mozilla vor vielen Jahren in das Gold-Image integriert worden, und niemand nutzt es mehr, doch es ist eine Quelle fĂŒr viele Schwachstellen. Nachdem der Browser von den Computern (er war sogar auf einigen Servern installiert) entfernt wurde, verschwanden diese Zehntausenden von Schwachstellen.

4. Bewerten Sie Schwachstellen mithilfe von Bedrohungsintelligenz. BerĂŒcksichtigen Sie nicht nur die KritikalitĂ€t der Schwachstelle, sondern auch die VerfĂŒgbarkeit öffentlicher Exploits, Malware, Patches und externen Zugriff auf das System mit der Schwachstelle. Bewerten Sie die Auswirkungen dieser Schwachstelle auf kritische GeschĂ€ftssysteme: Kann sie zu Datenverlust, Dienstunterbrechung usw. fĂŒhren?

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 7: Vereinbaren Sie KPIs

Scannen Sie nicht einfach nur zum Scannen. Wenn nachfolgend mit den gefundenen Schwachstellen nichts unternommen wird, wird dieses Scannen zu einer sinnlosen Übung. Um sicherzustellen, dass die Arbeit mit Schwachstellen keine FormalitĂ€t wird, ĂŒberlegen Sie, wie Sie die Ergebnisse bewerten werden. Die IT- und Sicherheitsabteilungen mĂŒssen sich darauf einigen, wie das Vorgehen zur Behebung der Schwachstellen gestaltet wird und wie hĂ€ufig Scans, Patch-Installationen usw. durchgefĂŒhrt werden.
Auf der Folie sehen Sie Beispiele fĂŒr mögliche KPIs. Es gibt auch eine erweiterte Liste, die wir unseren Kunden empfehlen. Bei Interesse kontaktieren Sie mich, dann teile ich diese Informationen gerne mit Ihnen.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 8: Automatisieren Sie

Ich komme zurĂŒck zum Scannen. Wir bei Qualys sind der Meinung, dass Scannen das Unwichtigste im heutigen Schwachstellenmanagementprozess ist und dass es in erster Linie maximal automatisiert werden sollte, sodass es ohne das Zutun eines Sicherheitsspezialisten durchgefĂŒhrt werden kann. Heute gibt es viele Tools, die das ermöglichen. Sie mĂŒssen lediglich eine offene API und die erforderliche Anzahl von Konnektoren haben.

Ein Beispiel, das ich oft anfĂŒhre, ist DevOps. Wenn Sie dort einen Schwachstellenscanner implementieren, können Sie DevOps vergessen. Mit alten Technologien, wie sie ein klassischer Scanner verwendet, werden Sie nicht in diese Prozesse gelangt. Entwickler werden nicht darauf warten, dass Sie scannen und ihnen einen unhandlichen, mehrseitigen Bericht ĂŒberreichen. Entwickler erwarten, dass Informationen ĂŒber Schwachstellen als Fehlerberichte in ihre Code-Build-Systeme fließen. Sicherheit muss nahtlos in diese Prozesse integriert sein und sollte lediglich eine Funktion sein, die automatisch von dem System aufgerufen wird, das Ihre Entwickler verwenden.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Schritt Nr. 9: Konzentrieren Sie sich auf das Wesentliche

Fokussieren Sie sich auf das, was Ihrem Unternehmen echten Nutzen bringt. Scans können automatisch erfolgen, Berichte können ebenfalls automatisch versendet werden.
Konzentrieren Sie sich darauf, die Prozesse zu verbessern, damit sie flexibler und benutzerfreundlicher fĂŒr alle Beteiligten sind. Stellen Sie sicher, dass Sicherheit in alle VertrĂ€ge mit Ihren Partnern integriert ist, die beispielsweise Webanwendungen fĂŒr Sie entwickeln.

Wenn Sie detailliertere Informationen darĂŒber benötigen, wie Sie in Ihrem Unternehmen einen Prozess zur Verwaltung von Schwachstellen aufbauen können, wenden Sie sich bitte an mich und meine Kollegen. Ich helfe Ihnen gerne weiter.

Nicht nur durch Scannen – oder wie Sie in 9 Schritten ein effektives Schwachstellenmanagement aufbauen

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster