Vulnerability Management, Detection und Response: Eine Lösung begleitet den gesamten Patching-Prozess

21. April 2021

Nur wenn ein Überblick über alle Assets im gesamten Netzwerk existiert, kann eingeschätzt werden, welches Risiko von den damit verbundenen Schwachstellen ausgeht. Diese müssen dann priorisiert und eliminiert werden. Geschieht dies mit vielen Einzellösungen, kann eine gefährliche Zeitverzögerung entstehen.

Durch Schwachstellenmanagement lässt sich die Wahrscheinlichkeit verringern, dass Fehler im System oder Design die Sicherheit eines Endpunkts oder Netzwerks gefährden. Dies ist ein automatisierter Prozess, welcher mit Vulnerability-Management-Tools durchgeführt wird.

Potentiell gefährliche Schwachstellen werden proaktiv gescannt und nach ihrer Priorisierung, welche anhand verschiedener Faktoren manuell oder automatisiert durchgeführt wird, behoben. Dies geschieht innerhalb der Netzwerksicherheit einer Organisation. Es ist logisch, dass es das Ziel ist, diese Einfallstore zu schließen, bevor ein Angreifer sie ausnutzen kann.

Zum heutigen Zeitpunkt nutzen viele Unternehmen unterschiedliche Software-Lösungen, um diesem Problem vorzubeugen. Das Risiko dabei ist, dass es zu einer Zeitverzögerung kommen kann, wenn diese Lösungen nicht perfekt aufeinander abgestimmt sind. Daher kann es sinnvoll sein, eine Einzellösung zu verwenden.

Generell stehen die folgenden Prozesse im IT-Bereich an:

  • Asset Inventory: Wer fundierte Entscheidungen über die eigene IT treffen möchte, der kommt an dem Thema eines gut implementierten Asset-Inventory-Programms nicht vorbei, da dies die Basis dafür ist, die Schwachstellen effektiv zu managen. Das Warum liegt auf der Hand: Nur, wenn das eigene Unternehmen zu jedem Zeitpunkt weiß, welche Geräte sich in ihrem Netzwerk befinden, kann sichergestellt werden, dass alle Assets in dem von ihnen ausgehenden Risiko bewertet werden können. Doch was genau versteht man unter der Netzwerk-Inventarisierung? Man spricht von der systematischen Erfassung aller Hard- und Software-Assets in einem Netzwerk. Das Inventar stellt somit die Grundlage für die IT-Dokumentation und das Lizenzmanagement in Unternehmen dar. Die Inventarisierung kann und darf kein periodischer oder einmaliger Vorgang sein. Durch die zunehmende Komplexität in Netzwerken wird der Einsatz von Services in diesem Zusammenhang immer wichtiger. Besonders IoT-Geräte, sowie die sogenannte Schatten-IT überschwemmen das Netzwerk mit IP-Adressen. Ein Überblick ist somit unabdingbar geworden. Wissen Sie wirklich, welche Geräte in Ihrem Netzwerk sind und wo sich diese befinden? Device Visibility zu jedem Zeitpunkt muss oberste Priorität haben.
  • Vulnerability und Config Assesment: Es ist in der Folge wichtig, alle Schwachstellen zu ermitteln, die unter Umständen auf den Systemen vorhanden sind. Dieser Prozess muss für jedes einzelne Asset durchlaufen werden, damit das Unternehmen als Ergebnis darüber Bescheid weiß, inwieweit und auf welchem Weg es unter Umständen angreifbar ist.
  • Threat Risk und Prioritization: Nachdem alle Assets und deren Schwachstellen bekannt sind, muss das Unternehmen anfangen, diese Geräte nach ihrem jeweiligen Risiko einzuordnen und zu priorisieren. Diese Einordnung sollte u.a. die Unternehmensstruktur widerspiegeln. Das bedeutet, dass ein Gerät zwar Schwachstellen haben könnte, jedoch das Risiko für die gesamte Infrastruktur aber niedrig ist, da sich dieses System eventuell in einem isolierten Bereich befindet. Auf der anderen Seite könnte es Assets geben, die zwar nur gering anfällig sind, jedoch aufgrund der Funktionalität und der zentralen Lage ein hohes Risiko für das Unternehmensnetzwerk darstellen könnten und daher in der Prioritätsliste ganz oben stehen müssen. Genau diese Abwägung gilt es optimal abzustimmen und eine Liste auf deren Basis zu erstellen. Es sollte ebenfalls die aktuelle Bedrohungslage mit in Betracht gezogen werden. Es kann durchaus vorkommen, dass für eine Schwachstelle, welche bis vor kurzem noch als unkritisch galten, kritische Angriffe möglich sind. Dies kann durch Threat-Inteligence Methoden gewährleistet werden.
  • Patch Management: Zuletzt müssen die Schwachstellen natürlich behoben werden. Der Grund, warum zunächst über die vorherigen Schritte eine Basis geschaffen wird ist einfach. Patchen benötigt Zeit, eventuell Leerlauf-Zeit. Durch die Priorisierung können kritische Schwachstellen als erstes, weniger anfällige Schwachstellen in der Folge geschlossen werden. Es geht besonders um die Frage, wie können Patches bereitgestellt werden, um high-impact Vulnerabilities zu schließen.

All diese Prozesse erfolgen in einem typischen Unternehmen über ein oder mehrere Tools. Dies führt oft zu Verzögerungen, da Schnittstellen zu unterschiedlichen Systemen existieren, welche bedient werden müssen. Ferner sind oftmals verschiedene Teams innerhalb der Organisation mit den einzelnen Aufgaben betraut, was zusätzlichen Kommunikationsaufwand bedeutet. Es liegt auf der Hand, dass, wenn ein neues Asset mit dem Netzwerk verbunden wird, sehr viel Zeit vergeht, bis dieses erfasst, bewertet und schlussendlich gepatcht wird.

Aus dem Grund, dass diese Tools komplett unabhängig voneinander fungieren, existiert eine Zeitverzögerung, um die Schwachstellen zu beseitigen. Diese Zeit ist jener gleichgesetzt, in der ein erhöhtes Risiko von dem jeweiligen Gerät ausgeht.

VMDR – alle vier Lösungen in einer Applikation

Qualys hat eine Lösung vorgestellt, die all diese Funktionen in einer App zusammenführen. Diese Anwendung trägt den Namen VMDR – Vulnerability Management + Detection + Response. Das Ziel ist es, alle „managed“ und „unmanaged“ Assets zu erfassen und zu inventarisieren. Das geschieht über das gesamte Unternehmensnetzwerk hinweg, komplett ortsunabhängig. Diese Geräte werden in der Folge automatisiert, auf Basis von Regeln, organisiert.

Die damit einhergehenden Schwachstellen werden kontinuierlich mit Hilfe von Cloud-Agents erfasst und überwacht. Eine Context-Engine priorisiert dann die Vulnerabilities. Zuletzt erfolgt ein direktes Feedback zu Patches. Der Agent kann damit beauftragt werden, diese Patches automatisiert zur Verfügung zu stellen.

Dem Benutzer zeigt ein weiteres Dashboard direkt an, welche Schwachstellen nicht gepatcht werden können, da noch kein Patch verfügbar ist, z.B. bei Zero-Day Schwachstellen. Auf dieser Oberfläche wird übersichtlich zusammengeführt, was zuvor unter dem Radar verschwand. Hierzu gehört auch, wenn es zum Beispiel noch keinen Patch gibt, der das Problem löst, oder das Gerät nicht mehr ansprechbar ist. VMDR identifiziert automatisch den relevantesten, übergeordneten Patch, um die Schwachstellen schnellstmöglich zu beheben.

Heutzutage ist es immer wichtiger, Prozesse zu automatisieren und auf die eigenen Bedürfnisse anzupassen. Beim Thema Vulnerability Management ist es von besonderer Bedeutung, dass die hierbei gesammelten Informationen direkt verarbeitet werden können. Unnötige Schnittstellen sollten vermieden werden, um weitere Fehlerquellen zu umgehen.

Eine All-In-One Lösung ist daher in vielen Bereichen der IT unumgänglich, da die Cyberkriminellen nicht nur einfallsreicher, sondern in besonderem Maße schneller werden. Wird eine Schwachstelle zu spät gepatcht, wird es dem Eindringling zu einfach gemacht. Dies gilt es zu verhindern.

Jörg Vollmer ist General Manager Field Operations für die Bereiche DACH und CEE bei Qualys.

Qualys

Lesen Sie auch