Vulnerability Management, auch bekannt als Schwachstellenmanagement, bezieht sich darauf, wie man Schwachstellen innerhalb des eigenen Netzwerks behandelt. Dies geschieht, indem man die bekanntgewordenen Schwachstellen gemäß den bereitgestellten Patches der jeweiligen Anbieter angeht. Zunächst mag dies als solides Konzept erscheinen, aber auf lange Sicht ist es möglicherweise nicht die beste Herangehensweise. Ein effektiverer Ansatz ist die Einführung eines Schwachstellenmanagement-Prozesses. Dabei ist es wichtig, dass jeder Phase klare Verantwortlichkeiten zugewiesen werden.
Ein Schwachstellenmanagement-Prozess besteht aus fünf Schritten:
1. Vorbereitung:
In dieser Phase stellt man sicher, dass die notwendige technische Infrastruktur einsatzbereit ist. Das umfasst auch das Aktualisieren der Signaturen und Skripte des verwendeten Schwachstellenscanners. Wenn der Scanner nicht mehr regelmäßig aktualisiert werden kann, sollte über einen Ersatz nachgedacht werden. Sobald die technischen Grundlagen geklärt sind, wird der Umfang des Scans festgelegt. Dies bedeutet zu prüfen, ob der geplante Scanbereich noch den aktuellen Anforderungen entspricht. Diese Anforderungen ergeben sich aus potenziellen Angriffspunkten und legen fest, welche Ports und Bereiche des Netzwerks gescannt werden sollten. Auch muss entschieden werden, ob WAN- oder LAN-Adressen gescannt werden. Das Scannen eines WAN-Adressbereichs erfolgt normalerweise gegen eine Firewall. Wenn die Firewall jedoch die IP-Adresse des Scanners blockiert, ist der Nutzen des Scans begrenzt.
2. Schwachstellen-Scan:
Vor der Durchführung eines Schwachstellen-Scans sollte die IT-Abteilung informiert werden. Je nach Netzwerkaufbau könnte es zu erhöhten Logfile-Einträgen oder einer Zunahme von Benachrichtigungen aus dem IDS/IPS-System kommen. Während des Scans werden Skripte und Port-Scans auf alle Systeme durchgeführt, um potenzielle Schwachstellen zu identifizieren. Die IT-Abteilung sollte den Scan überwachen können. Das Log-Management informiert über auftretende Probleme oder Hindernisse beim Scannen einzelner Systeme. Nach Abschluss des Scans wird ein Bericht erstellt, der detaillierte Ergebnisse enthält, aufgeteilt in technische Informationen für Fachleute und wirtschaftliche Informationen für die Entscheidungsträger.
3. Festlegung von Maßnahmen:
Die Ergebnisse des Schwachstellen-Scans fließen normalerweise in das Patchmanagement ein, wo sie entsprechend den Vorgaben behandelt werden. Falls dies nicht möglich ist, müssen die gefundenen Schwachstellen innerhalb des Schwachstellenmanagement-Prozesses behandelt werden. Zuerst priorisiert man die Schwachstellen. Je wichtiger die betroffenen Systeme für das Unternehmen sind, desto kritischer ist die Bewertung der Schwachstellen. Wenn es aus Ressourcengründen nicht möglich ist, alle Schwachstellen sofort zu beheben, muss eine weitere Priorisierung unter Berücksichtigung der Schwere und des Schutzbedarfs vorgenommen werden. Diese priorisierten Schwachstellen sollten in Form von Tickets festgehalten werden.
4. Durchführung von Maßnahmen:
Die dokumentierten Schwachstellen werden, basierend auf ihrer Priorisierung, abgearbeitet. Die jeweilige Abteilung legt fest, wie die Schwachstellen behoben werden sollen, sei es durch das Einspielen eines Patches oder die Anwendung eines Workarounds. In beiden Fällen wird die durchgeführte Maßnahme im entsprechenden Ticket dokumentiert. Bei Workarounds sollte zu einem späteren Zeitpunkt eine Überprüfung erfolgen.
5. Erneuter Scan:
Nachdem die Maßnahmen umgesetzt wurden, wird ein erneuter Scan gemacht, um die Effektivität der durchgeführten Maßnahmen zu überprüfen. Dieser erneute Scan folgt den Vorgaben des ersten Schritts, ohne Veränderungen im Zielbereich und Umfang.
Die Einführung eines Schwachstellenmanagements mit diesem Prozess ermöglicht ein strukturiertes Vorgehen im Umgang mit Schwachstellen. Durch regelmäßige Wiederholung können Schwachstellen besser kontrolliert werden. Dies führt zu weniger Aufwand bei der Beseitigung von Schwachstellen, effizienterer Ressourcennutzung und erhöhter Sicherheit im Unternehmen.