Risikobasierte Schwachstellenverwaltung ist der Cybersicherheitsprozess zur Erkennung und Behebung der Schwachstellen, die das höchste Risikopotenzial für ein Unternehmen bergen.
Angesichts der exponentiellen Zunahme der Endgeräte und der gestiegenen Komplexität in der IT-Umgebung ist die Nachfrage nach dieser Funktion in den letzten Jahren gestiegen. Die genannten Probleme stellen viele IT-Teams vor eine Belastungsprobe – zumal parallel dazu noch weitere geschäftliche Prioritäten wie der Wechsel in die Cloud und andere Transformationsinitiativen umgesetzt werden müssen. Daher müssen Aktivitäten priorisiert und die begrenzten Ressourcen optimal eingesetzt werden. Die risikobasierte Schwachstellenverwaltung ist eine Möglichkeit, um diese Teams bei der Identifizierung und Beseitigung von Schwachstellen zu unterstützen, die mit größter Wahrscheinlichkeit von Bedrohungsakteuren ausgenutzt werden und sich demnach negativ auf das Unternehmen auswirken.
Was ist der Unterschied zwischen risikobasierter und klassischer Schwachstellenverwaltung?
Um den Unterschied zwischen risikobasierter und klassischer Schwachstellenverwaltung zu verstehen, müssen die folgenden Begriffe zunächst richtig definiert und voneinander abgegrenzt werden:
Eine Schwachstelle ist laut Definition der Internationalen Organisation für Normung eine „Schwäche bei einem Asset oder einer Gruppe von Assets, die von einer oder mehreren Bedrohungen ausgenutzt werden kann“.
Eine Bedrohung ist ein Element, das eine Schwachstelle ausnutzen kann.
Ein Risiko bezeichnet ein Ereignis, das eintritt, wenn eine Bedrohung eine Schwachstelle ausnutzt.
Sowohl Tools für die risikobasierte als auch solche für die klassische Schwachstellenverwaltung können Risiken in der Umgebung identifizieren. Die risikobasierte Schwachstellenverwaltung ermöglicht jedoch eine wesentlich effektivere Priorisierung der meisten unmittelbaren und kritischen Risiken, denen das Unternehmen ausgesetzt ist. Wichtige Komponenten einer risikobasierten Schwachstellenverwaltung sind zum Beispiel:
- Integrierte Bedrohungsanalysen: Daten werden erfasst, verarbeitet und analysiert, um sich ein Bild von den Motiven, Zielen und dem Angriffsverhalten von Bedrohungsakteuren zu machen.
- Umfassende Risikobewertungen: Das Risiko wird basierend auf der Bedeutung der jeweiligen Assets, dem Schweregrad des Risikos, der Wahrscheinlichkeit eines Angriffs, der Auswirkungen auf das Geschäft und anderen wichtigen Faktoren bewertet.
- Automatisierung: Mit künstlicher Intelligenz (KI), Machine Learning (ML) und anderen intelligenten Automatisierungsanwendungen werden Aufgaben bei der Risikobewertung automatisiert, um Aktivitäten und Ressourcen zu optimieren.
Vorteile der risikobasierten Schwachstellenverwaltung
Unternehmen mit risikobasierter Schwachstellenverwaltung profitieren von vielen Vorteilen, darunter:
- Verbesserte Genauigkeit: Dank der Funktionen für Bedrohungsanalyse und Bedrohungssuche können Unternehmen im Kampf gegen Bedrohungsakteure schnelle, fundierte und datengestützte Sicherheitsentscheidungen treffen. Das Ergebnis ist ein proaktiver Ansatz, mit dem die IT-Teams ihre Zeit und Ressourcen auf die schwerwiegendsten Schwachstellen in der Umgebung konzentrieren können.
- Verbesserte Transparenz: Die risikobasierte Schwachstellenverwaltung gewährleistet Transparenz für alle Assets auf der gesamten Angriffsfläche. Dies sind u. a. moderne Assets wie Mobilgeräte und cloudbasierte Anwendungen, die von Legacy-Tools oft nicht unterstützt werden.
- Kontinuierlicher Schutz: Mit einem modernen Tool zur risikobasierten Schwachstellenverwaltung wird die Umgebung durchgängig untersucht und überwacht. Damit gehören die Erstellung statischer Snapshots anfälliger Daten und die Bereitstellung veralteter Ergebnisse der Vergangenheit an, sodass Unternehmen die Schwachstellen schon während ihrer Entstehung erkennen können.
- Mehr Effizienz: Bei der risikobasierten Schwachstellenverwaltung kommen fortschrittliche Technologien zum Einsatz, die viele Aspekte des Bewertungsprozesses automatisieren. Dadurch können IT-Teams zudem wiederkehrende Aktivitäten optimieren und sich auf wichtigere Aktivitäten konzentrieren.
Wie werden aufkommende Cybersicherheitsrisiken priorisiert?
Unternehmen haben es in ihrer Umgebung zwar mit einer Vielzahl von Schwachstellen zu tun, doch nur sehr wenige davon bergen die Gefahr eines kritischen Risikos. Bei der Priorisierung von Schwachstellen sind vier wichtige Punkte zu berücksichtigen:
- Welche Risikostufe ist akzeptabel? Unternehmen sollten mit einem Schwellenwert festlegen, welche Risikostufe noch akzeptabel ist. Bei der Definition dieses Schwellenwerts sollten die zur Behebung eines Vorfalls erforderlichen Ressourcen, die potenzielle Ausfallzeit im Falle eines Angriffs, die Kosten von Behebungsmaßnahmen, die Auswirkungen von Rufschäden und der potenzielle Verlust von sensiblen Daten oder geistigem Eigentum berücksichtigt werden.
- Wie wahrscheinlich ist das Risiko? Ein System zur risikobasierten Schwachstellenverwaltung nutzt Informationen zu Exploits, die bei aktuellen Angriffen eingesetzt werden, historische Daten sowie Analysen und prädiktive Modellierung, um für jede Schwachstelle die Angriffswahrscheinlichkeit festzustellen. Dabei ist zu bedenken, dass diese Analysen nur dann effektiv ausgeführt werden können, wenn vom Unternehmen durchgängig Daten zum Bedrohungskontext und zu den jeweiligen Schwachstellen erfasst werden.
- Wie schwerwiegend ist das Risiko? Der Schweregrad des Risikos wird berechnet, indem die damit einhergehenden finanziellen Belastungen mit seiner Wahrscheinlichkeit multipliziert werden. Dadurch ergibt sich ein deutlicher Hinweis auf die Größenordnung der Bedrohung.
- Wie dringend muss auf das Risiko reagiert werden? Angreifer können jederzeit zuschlagen. Mit einem Tool zur risikobasierten Schwachstellenverwaltung können Unternehmen jedoch feststellen, ob und wie bald ein Angriff bevorsteht. Das Tool hilft dem Team auch bei der Berücksichtigung anderer geschäftlicher Kontexte, die sich auf die Reaktion des Unternehmens auswirken, z. B. die Verfügbarkeit von Mitarbeitern, die Kundennachfrage und sogar die aktuelle Zeit innerhalb des Jahres (z. B. Sommerferienzeit, Vorweihnachtszeit).
Wie funktionieren Bewertungsmethoden zur Risikoanalyse?
Die Priorisierung von Risiken umfasst eine intelligente Risikobewertung. Das Common Vulnerability Scoring System (CVSS) ist ein freier und offener Branchenstandard, den CrowdStrike und viele andere Cybersicherheitsunternehmen zur Beurteilung von Softwareschwachstellen und zur Berechnung des Schweregrads, der Dringlichkeit und Wahrscheinlichkeit von Schwachstellen verwenden. CVSS-Bewertungen erfolgen auf einer Skala von 0,0 bis 10,0.
Außerdem wird mithilfe der National Vulnerability Database (NVD) eine Schweregradeinstufung auf die CVSS-Bewertung angewendet. Die Informationen der NVD stammen von der MITRE Corporation und aus deren Cybersicherheits-Framework, dem MITRE ATT&CK-Framework. Dieses Framework korreliert Angreifergruppen mit Kampagnen, damit Sicherheitsteams Angreifer besser verstehen, ihre Abwehrmechanismen bewerten und ihre Sicherheitsmaßnahmen an den relevanten Punkten gezielt stärken können.
Wie lässt sich ein erfolgreiches Programm für risikobasierte Schwachstellenverwaltung entwickeln?
Auf dem Markt gibt es unzählige Optionen, von denen eigenen Angaben zufolge jede in irgendeiner Form führend sein soll. Bei der Entwicklung eines erfolgreichen Programms für risikobasierte Schwachstellenverwaltung sollten Sie die folgenden Punkte berücksichtigen:
Echtzeit-Transparenz:
- Ist das Schwachstellenverwaltungstool in der Lage, Sicherheitsschwachstellen rechtzeitig zu erkennen?
- Stellt das Tool durchgängige Transparenz für alle Endgeräte und Assets in der IT-Umgebung des Unternehmens bereit?
- Umfasst die Lösung Technologie, die in Echtzeit eine scanlose Anzeige von Daten und die Interaktion mit diesen ermöglicht?
- Bietet die Lösung Schutz für Endgeräte sowohl innerhalb als auch außerhalb des Netzwerks?
Endgeräteleistung:
- Ist das Tool zur risikobasierten Schwachstellenverwaltung eine schlanke Lösung, die sich mit nur geringfügigen Auswirkungen auf die Endgeräteleistung implementieren und aktualisieren lässt?
Automatisierung:
- Kommen in der Lösung die neuesten KI-, ML- und Automatisierungsverfahren zur Anwendung, um die Cyberrisikobewertung zu optimieren und wertvolle IT-Mitarbeiter zu entlasten?
Integration:
- Wie gut lässt sich die Lösung in die bestehende Cybersicherheitsarchitektur und die Sicherheitslösungen des Unternehmens integrieren?
- Stellt der Anbieter Integrationen bereit, um die Aktivitäten für Patch-Installationen und Schwachstellenbehebung zu beschleunigen?
- Welche Unterstützung bietet der Hersteller, um sicherzustellen, dass sich das System problemlos mit anderen Tools und Technologien integrieren lässt?