In einer Umfrage von CRA Business Intelligence gaben fast die Hälfte der Befragten (45%) an, dass sie sich in den nächsten 12 Monaten sehr oder extrem besorgt über Schwachstellen fühlen.

Mit einer wachsenden Angriffsfläche und einer zunehmenden Anzahl von Schwachstellen müssen Organisationen eine aggressivere und proaktivere Haltung gegenüber dem Vulnerability-Management einnehmen.

Lesen Sie weiter, um zu erfahren, was Vulnerability-Management ist, welche Schritte im Prozess enthalten sind und wie Sie ein robustes Vulnerability-Management-Programm implementieren können, das Automatisierung nutzt.

Was ist Vulnerability-Management?

Vulnerability-Management ist ein Prozess, den Organisationen nutzen, um Schwachstellen in ihrer Betriebsumgebung zu identifizieren, zu analysieren und zu verwalten.

Schwachstellen sind Schwachpunkte in Systemen, Plattformen, Infrastrukturen oder sogar in Menschen und Prozessen, die von Bedrohungsakteuren ausgenutzt werden können und eine gesamte Organisation oder Teile davon anfällig für Angriffe machen.

Beispiele für Schwachstellen sind:

• Unsicherer Code
• Ungepatchte Software
• Fehlkonfigurationen in der Cloud
• Mangelnde Verschlüsselung
• Standard-Authentifizierung
• Mangelndes Sicherheitsbewusstsein und -training
• Unzureichende interne Kontrollen
• Schwache oder fehlende Richtlinien

Warum ist Vulnerability-Management wichtig?

Vulnerability-Management ist ein wichtiger Aspekt des Risikomanagements. Die Bewertung der Umgebung auf technische und betriebliche Schwachstellen hilft bei der Planung und Festlegung der geeigneten Implementierung von Minderungsmaßnahmen.

Vulnerability-Management-Aktivitäten wie das Entdecken, Kategorisieren und Priorisieren von Schwachstellen, das Verwalten der Exposition gegenüber entdeckten Schwachstellen und die Analyse der Ursachen von Schwachstellen sind von entscheidender Bedeutung. Vulnerability-Management kann einer Organisation helfen, ein umfassendes Verständnis ihres Risikoprofils zu entwickeln, zu verstehen, welche Kontrollen zur Risikominderung implementiert werden müssen, und Wiederholungsschwachstellen zu verhindern.

Vulnerability-Management ist daher ein wichtiger Bestandteil des gesamten Sicherheits- und Compliance-Programms einer Organisation.

Was ist ein Vulnerability-Management-Programm?

Ein Vulnerability-Management-Programm ist ein Programm, das ein Unternehmen übernimmt, um Schwachstellen in seiner Betriebsumgebung zu identifizieren, zu überwachen und zu beheben. Das Programm sollte den Prozess, die Struktur und den Umfang des Vulnerability-Managements sowie die Verantwortlichkeiten und Erwartungen derjenigen, die für das Management des Programms verantwortlich sind, sowie aller anderen innerhalb der Organisation klar definieren.

Ein robustes Vulnerability-Management-Programm kann Organisationen helfen:

• Schwachstellen basierend auf Risiko und Exposition zu priorisieren,
• die Einführung bekannter Schwachstellen zu verhindern,
• die Einhaltung von Sicherheitsstandards und -vorschriften aufrechtzuerhalten,
• die gesamte Angriffsfläche zu minimieren,
• ihre Sicherheitslage zu verstehen und zu verbessern.

Um all dies zu erreichen, sollte das Programm mehrere Aspekte umfassen, darunter Schwachstellenscans, Asset-Management, Patch-Management, kontinuierliche Überwachung und automatisierte Lösungen.

Schauen wir uns die folgenden Aspekte und ihre Rolle im Vulnerability-Management-Prozess genauer an.

6 Schritte des Vulnerability Management-Prozesses

Um mit aufkommenden Bedrohungen und Technologien Schritt zu halten, sollte Vulnerability Management ein kontinuierlicher Prozess sein.

Im Folgenden werden wir einige der Schritte im Vulnerability Management-Prozess mit Erkenntnissen aus dem Secureframe Expert Insights-Webinar behandeln, in dem der Secureframe-Compliance-Experte Marc Rubbinaccio und die Penetrationstesterin Jenny Goldschmidt von Red Sentry zu Wort kommen.

Für alle ihre Tipps zur Vereinfachung des Vulnerability Managements und insbesondere der Penetrationstests sehen Sie sich die Videoaufzeichnung auf Abruf an.

1. Inventar

Es ist unmöglich zu verstehen, wie man sicher wird, wenn man nicht weiß, was man überhaupt schützen soll.

Der erste Schritt in jedem Vulnerability Management-Prozess besteht also darin, die Vermögenswerte in Ihrer Umgebung zu inventarisieren und zu verstehen. Fragen Sie zunächst, was für Ihre Organisation wichtig ist. Handelt es sich um geschützte Gesundheitsinformationen (PHI)? Oder um eine andere Art von sensiblen Kundendaten?

Das Dokumentieren, welche Daten oder Vermögenswerte als äußerst sensibel oder kritisch im Vergleich zu öffentlichen Daten angesehen werden können, ist der erste Schritt zum Verständnis Ihrer Vermögenswerte. Als Nächstes wäre es erforderlich, zu skizzieren, wie diese Daten und Vermögenswerte in Ihrer Umgebung gespeichert, übertragen und verarbeitet werden, und diesen Datenfluss in einem Diagramm zu dokumentieren. Schließlich sollten Sie alle Systeme, Ressourcen, Mitarbeiter und Dienste dokumentieren, die die Sicherheit dieser Daten beeinflussen können.

2. Konfiguration

Sobald Ihre Vermögenswerte und Ressourcen erfasst sind, ist es an der Zeit, sie zu schützen.

Prüfen Sie zunächst, ob bei der Einrichtung dieser Ressourcen Konfigurationsstandards verwendet wurden. Konfigurationsstandards sind grundlegende Sicherheitsbest Practices bei der Konfiguration von Servern, Netzwerken, Datenbanken und den meisten Ressourcen. Diese Standards werden normalerweise vom Anbieter oder durch Branchen-Best-Practices wie CIS-Benchmarks erstellt. Die Verwendung von Konfigurationsstandards ist ein zentrales Kontrollinstrument für alle Compliance-Frameworks, die Secureframe unterstützt, und gibt Ihnen die Sicherheit, dass die von Ihnen implementierten Ressourcen sicher sind, bevor Sie sie in die Produktion bringen.

Konfigurationsstandards sind nur der erste Schritt zur Sicherung von Ressourcen. Die Implementierung von Anti-Malware, kontinuierlichem Sicherheitspatching sowie Protokollierung und Überwachung sind ebenfalls entscheidend, um sicherzustellen, dass Ihre Ressourcen und Ihre Umgebung insgesamt vor Schwachstellen geschützt sind.

3. Scannen von Schwachstellen, DAST und SAST

Um so viele Schwachstellen wie möglich zu finden und zu priorisieren, sollten Sie eine Kombination der unten aufgeführten Scantechniken und -werkzeuge in Betracht ziehen.

Schwachstellenscannen

Nachdem Ihre Ressourcen und Umgebungen mithilfe grundlegender Konfigurationsstandards und Sicherheitsbest practices wie häufigem Patching und multifunktionalen Sicherheitskontrollen implementiert wurden, ist es an der Zeit, diese Sicherheitskontrollen kontinuierlich durch Schwachstellenscannen zu testen.

Schwachstellenscannen ist eine wichtige Anforderung für Compliance-Frameworks wie SOC 2, ISO 27001 und PCI DSS. Jedes Compliance-Framework erfordert regelmäßiges internes und externes Schwachstellenscannen (in der Regel vierteljährlich).

Das interne Schwachstellenscannen der Infrastruktur umfasst das Ausführen eines Schwachstellenscanning-Tools wie Nessus oder OpenVAS auf einer virtuellen Maschine oder einem Arbeitsstation mit Zugang zu Ihrer internen Umgebung und das Scannen aller Netzwerkgeräte, Server und Ressourcen auf Schwachstellen, wie bekanntgegebenen Common Vulnerabilities and Exposures (CVEs) und veraltete Betriebssysteme und Software.

Das Gleiche gilt für alle nach außen gerichteten Ressourcen. Verwenden Sie eine Arbeitsstation, auf der diese Tools ausgeführt werden, und scannen Sie Ihre öffentlich zugänglichen Ressourcen. Bitte beachten Sie, dass PCI DSS für die Einhaltung dieser Scans erfordert, dass dieses externe Infrastrukturscannen von einem vom PCI DSS-Rat genehmigten Scanner oder ASV durchgeführt wird.

Wenn Sie einen Cloud-Service-Anbieter nutzen, bietet dieser wahrscheinlich einen Service an, den Sie zum Durchführen des Schwachstellenscannens der Infrastruktur nutzen können, wie AWS Inspector oder Azure Defender for Cloud.

Das Scannen Ihrer zugrunde liegenden Infrastruktur reicht wahrscheinlich nicht aus, um sicherzustellen, dass Sie alle kritischen Schwachstellen in Ihrer gesamten Umgebung entdecken oder die Anforderungen an das Schwachstellenscannen für Compliance-Frameworks erfüllen.

DAST-Scannen

Wenn Sie eine öffentlich zugängliche Anwendung oder API bereitstellen, müssen diese Dienste ebenfalls gründlich gescannt werden. Durch die Verwendung von dynamischen Anwendungssicherheitstests (DAST) Tools wie SOOS oder Netsparker können Sie einfach Ihre öffentlich zugängliche Domain und Anmeldedaten für die Authentifizierung eingeben. Diese Scanner durchsuchen dann Ihre Anwendung, um alle Verzeichnisse, Eingabefelder und Funktionen zu finden. Sie scannen außerdem nach den Top 10 Schwachstellen von OWASP, einschließlich Injection, fehlerhafte Zugriffskontrolle und Leckage sensibler Daten.

SAST-Scanning

Ein weiterer Aspekt der Absicherung von Anwendungen gegen Schwachstellen ist die Implementierung von Sicherheitsscanns im Code-Review-Prozess. Dies kann durch den Einsatz von statischen Anwendungssicherheitstests (SAST) Tools wie Sudoviz oder SonarQube erfolgen. Diese überprüfen Ihr Code-Repositorium und den Quellcode, bevor Sie die Codeänderungen in die Produktion implementieren. Dadurch vermeiden Sie, dass kritische Sicherheitsprobleme und Schwachstellen in Ihre Anwendung gelangen. Eine Kombination aus DAST- und SAST-Scans wird dringend empfohlen, um Ihre Produktionsanwendungen zu schützen.

4. Risikobewertung

Ein weiterer kritischer Schritt im Schwachstellenmanagementprozess ist die Bestimmung des Risikos Ihrer Lösung und Ihres Dienstes insgesamt. Dazu sollten Sie jährlich eine Risikobewertung durchführen. Dies ist auch eine Compliance-Anforderung.

Um eine Risikobewertung abzuschließen, sollten Sie ein Risikomanagement-Rahmenwerk wie NIST 800-37 verwenden. Wenn Sie Secureframe-Kunde sind, können Sie auch unseren Risikobewährungsfragebogen ausfüllen.

Risikobewertung und -management umfasst:

• Dokumentation und Verfolgung von Risiken
• Festlegung, wer für das Management der Risiken verantwortlich ist
• Bestimmung der Sicherheitsauswirkungen, die diese Risiken für Ihre Organisation darstellen
• Einen Plan zur Behebung oder Minderung dieser Risiken haben

5. Mitarbeiterschulung

Der nächste Schritt ist, Ihre Sicherheitsbemühungen auf das wahrscheinlich anfälligste Gut zu konzentrieren: Mitarbeiter und Personal.

Phishing und andere Arten von Social-Engineering-Angriffen sind immer noch eine der häufigsten Methoden, wie sensible Daten gestohlen werden. Deshalb erfordern die meisten Compliance-Rahmenwerke eine Art von Sicherheitsbewusstseinsschulung.

Einige Rahmenwerke wie PCI DSS erfordern fokussierte Schulungen basierend auf den Daten, die die Organisationen unterstützen, sowie spezifische Schulungen im Zusammenhang mit der tatsächlichen Arbeitsfunktion der Benutzer. Beispielsweise müssen Softwareentwickler Schulungen zur sicheren Codierung absolvieren, die sich auf bewährte Codierungsmethoden und häufige Schwachstellen wie die im OWASP Top Ten beziehen.

Rahmenwerke wie FedRAMP gehen noch weiter und erfordern ein Social-Engineering-Engagement, wie z. B. eine E-Mail-Phishing-Kampagne, als Teil eines Penetrationstests, den wir als nächstes besprechen werden.

6. Penetrationstest

Der beste Weg, um sicherzustellen, dass alle oben genannten Maßnahmen korrekt implementiert sind, besteht darin, einen ausgebildeten ethischen Hacker zu beauftragen, all diese Sicherheitskontrollen zu durchbrechen. Hier kommt der Penetrationstest ins Spiel.

Der Penetrationstest ist das Testen der Konfigurationsstandards einer Organisation, der Schwachstellenscans, des Risikomanagements und der Schulung zum Sicherheitsbewusstsein. Dies muss von einem qualifizierten Penetrationstester durchgeführt werden. Dies kann entweder ein Profi sein, der von Zertifizierungsstellen wie Offensive Security, SANS oder eLearnSecurity zertifiziert wurde, um Penetrationstests durchzuführen, oder ein Profi mit Erfahrung in der Durchführung von Penetrationstests.

Der Umfang des Penetrationstests wird von der Organisation festgelegt und kann auf Compliance-Anforderungen basieren. Rahmenwerke wie SOC 2, ISO 27001 und PCI DSS erfordern, dass der folgende Umfang in den Penetrationstest einbezogen wird:

• Systeme, die sensible Daten speichern, übertragen und verarbeiten
• Kritische Systeme
• Systeme, die mit der Umgebung sensibler Daten verbunden sind

Penetrationstests beinhalten normalerweise eine Kombination aus Gray-Box- und White-Box-Tests. Gray-Box bedeutet, dass der Tester Zugriff auf bestimmte Informationen wie einen bestimmten IP-Adressbereich, Domains oder eine Liste von Zielpersonen hat. Diese Tests werden extern ohne gewährten Zugriff auf Systeme oder Anwendungen gestartet. Der Penetrationstester versucht, Schwachstellen zu finden und Exploits durchzuführen, um Zugriff auf Systeme aus dem Internet zu erlangen oder Daten zu extrahieren.

Sobald die Gray-Box-Tests erschöpft sind, verwendet der Tester gewährte Anmeldeinformationen, um Tests innerhalb von Netzwerken und Anwendungen mit verschiedenen Zugriffsebenen durchzuführen. Mit diesem Zugang versucht der Tester, Privilegien zu eskalieren und Schwachstellen in der gesamten Umgebung zu entdecken.

Die Ergebnisse des Penetrationstests werden in Form eines Berichts vorliegen, der die Penetrationstestmethodik, Proof of Concepts für alle gefundenen Schwachstellen und Anleitungen zur Behebung beschreibt.

Best Practices für das Schwachstellenmanagement

Um sicherzustellen, dass Ihr Programm zum Schwachstellenmanagement erfolgreich ist, sollten Sie die folgenden Best Practices beachten:

• Nutzen Sie Automatisierung: Ressourcen sind eine der größten Herausforderungen, denen sich Organisationen beim effektiven Management von Schwachstellen gegenübersehen. Automatisierte Tools zur Schwachstellenscannung können das Schwachstellenmanagement effektiver und schneller machen, indem sie automatisch nach häufigen Schwachstellen und Exposures suchen und den Gesundheitszustand von IT-Assets überwachen.
• Schaffen Sie konsistente Compliance- und Sicherheitsschulungen in Ihrer eigenen Organisation: Oftmals sind Daten- und Sicherheitsverletzungen auf menschliches Versagen zurückzuführen. Durch kontinuierliche Sicherheitsbewusstseinsschulungen können Sie das interne Risiko eines Vorfalls verringern.
• Richten Sie eine Richtlinie zum Schwachstellenmanagement ein: Eine Richtlinie zum Schwachstellenmanagement definiert den Ansatz Ihrer Organisation für das Schwachstellenmanagement. Sie ist unverzichtbar für die Aufrechterhaltung eines Prozesses und von Verfahren zur Implementierung eines Programms zum Schwachstellenmanagement.

Richtlinienvorlage für das Schwachstellenmanagement

Eine Richtlinie zum Schwachstellenmanagement definiert einen Ansatz für das Schwachstellenmanagement zur Reduzierung von Systemrisiken und Prozessen zur Implementierung von Sicherheitskontrollen. Um Ihnen den Einstieg in die Erstellung einer Richtlinie für Ihre Organisation zu erleichtern, haben wir eine anpassbare Vorlage erstellt, die Sie unten herunterladen können.

Wie man das Schwachstellenmanagement automatisiert

Die Automatisierung des Schwachstellenmanagement-Prozesses kann Ihrem Unternehmen helfen, Zeit zu sparen und schneller auf Bedrohungen zu reagieren.

Automatisierung kann auf mehrere Aspekte des Schwachstellenmanagements angewendet werden, einschließlich: 

• Asset-Inventar: Eine Automatisierungsplattform kann ein Inventar all Ihrer Assets basierend auf den Integrationen, die Sie mit der Plattform verbinden, erstellen und sicherstellen, dass die Geräte Ihres Personals, die Cloud-Assets des Unternehmens und die Versionskontroll-Repositorys alle gepflegt werden. 
• Schwachstellenscans: Automatisierungsplattformen ziehen CVE-Daten aus mehreren verbundenen Integrationen, organisieren Schwachstellen an einem Ort und benachrichtigen Sie automatisch, wenn Schwachstellen entdeckt werden.
• Risikomanagement: Mit einer Automatisierungsplattform können Sie ein Risikoregister einrichten, um Risiken an einem einzigen Ort zu verfolgen. Dies kann aktualisiert werden, wenn Ihr Unternehmen neue Services einführt, Ergebnisse interner und externer Audits einbinden oder auf Änderungen im Geschäfts- oder technologischen Umfeld reagieren möchte. 
• Tests und Schulungen: Eine Automatisierungsplattform kann Ihnen ermöglichen, Benachrichtigungen für erforderliche regelmäßige Aufgaben im Laufe des Jahres einzurichten, einschließlich Schwachstellenscans und Penetrationstests. Sie können auch Erinnerungen für das Personal einrichten, um Schulungen zum Sicherheitsbewusstsein abzuschließen.
• Kontinuierliche Überwachung: Eine Automatisierungsplattform kann Ihre Sicherheitskontrollen und deren Einhaltung von regulatorischen und branchenspezifischen Rahmenwerken kontinuierlich überwachen.

Wenn Sie nach einem automatisierten Schwachstellenmanagement-Produkt suchen, suchen Sie nach einem, das neben einem einfach zu bedienenden Plattform auch ein Team von Sicherheits- und Compliance-Experten bietet, das Ihr Unternehmen durch jeden Schritt des Schwachstellenmanagement-Prozesses führen kann.

Wie Secureframe Unternehmen helfen kann, Schwachstellen zu verwalten

Secureframe bietet Ihnen eine zentrale Anlaufstelle, um alle Anforderungen Ihres Compliance-Rahmenwerks an einem Ort zu verwalten und zu organisieren, einschließlich Ihres Schwachstellenmanagement-Programms.

Mit Secureframe können Sie:

• Integrieren Sie Ihre Cloud-Plattform und Entwickler-Tools, um alle Ihre Schwachstellen von Diensten wie AWS Inspector und Github an einem Ort zu sehen. 
• Füllen Sie jährlich einen Risiko-Fragebogen aus und erstellen Sie Ihr Risikoregister, in dem Sie Ihre Risiken das ganze Jahr über kontinuierlich verwalten können.
• Erhalten Sie In-App-Leitfäden zu Sicherheitskontrollen basierend auf den spezifischen Ressourcen, die Sie in Ihrer Umgebung verwenden. Wenn Sie beispielsweise eine Integration mit AWS einrichten, erhalten Sie Tests zu Sicherheitsbest Practices für die Ressourcen, die Sie in Ihrem AWS-Konto verwenden.
• Erhalten Sie Anleitungen zu Secureframe-Tests und Antworten auf Fragen, die Sie von Compliance-Managern haben könnten.
• Zugriff auf ein Partnernetzwerk vertrauenswürdiger Prüfer- und Penetrationstestfirmen erhalten.

Erfahren Sie mehr darüber, wie Secureframe Ihnen helfen kann, Schwachstellen zu verwalten, indem Sie heute eine personalisierte Demo planen.