Was sind Schwachstellenbewertungen?
Eine Schwachstellenbewertung ist der fortlaufende, regelmäßige Prozess der Definition, Identifizierung, Einordnung und Meldung von Cyberschwachstellen bei Endgeräten, Workloads und Systemen.
Schwachstellenbewertungen erfolgen in der Regel automatisiert, und zwar über ein Sicherheitstool, das von einem Drittanbieter für Sicherheitslösungen bereitgestellt wird. Dieses Tool soll dem Unternehmen aufzeigen, welche Schwachstellen in seiner Umgebung vorliegen, und die Prioritäten für die Behebung und das Patching ermitteln.
Bedeutung von Schwachstellenbewertungen
Eine Schwachstelle ist eine Sicherheitslücke in einer IT-Umgebung, die bei einem Cyberangriff von einem Bedrohungsakteur ausgenutzt werden kann, um Zugang zu Systemen, Anwendungen, Daten und anderen Assets zu erlangen. Es ist daher wichtig, dass Unternehmen diese Schwachstellen selbst entdecken, bevor Cyberkriminelle sie sich im Rahmen eines Angriffs zunutze machen können.
Da die Bedrohungslandschaft immer breiter und komplexer wird, identifizieren Unternehmen jedes Jahr Hunderte, wenn nicht gar Tausende von Sicherheitslücken in ihrer Umgebung – und jede davon kann der Ausgangspunkt für eine Kompromittierung oder einen Angriff sein. Eine manuelle Durchführung dieser Scans wäre unglaublich zeitaufwendig, und zwar in dem Maße, dass es für Teams praktisch unmöglich wäre, alle Schwachstellen zu erkennen und zu beheben, sobald sie auftreten.
Tools und Lösungen zur Schwachstellenbewertung automatisieren diese Arbeit, sodass IT-Teams ihre Ressourcen optimieren und sich auf wichtigere Aufgaben wie die Behebung konzentrieren können. Zudem erhalten IT-Teams durch diese Bewertungen wichtigen Kontext zu den bei Suchen und Scans entdeckten Schwachstellen. Entsprechend ist es möglich, diejenigen Schwachstellen zu priorisieren und anzugehen, die die größte Bedrohung für das Unternehmen darstellen.
Schwachstellenbewertungen schützen das Unternehmen vor Datenkompromittierungen und anderen Cyberangriffen. Außerdem unterstützen sie die Einhaltung relevanter Vorschriften, darunter die Datenschutz-Grundverordnung (DSGVO) und der Payment Card Industry Data Security Standard (PCI DSS).
Arten von Schwachstellenbewertungen
Eine umfassende Schwachstellenbewertung nutzt verschiedene automatisierte Tools, um in der gesamten IT-Umgebung eine Vielzahl von Scans durchzuführen. So kann das Unternehmen Schwachstellen bei Anwendungen, Endgeräten, Workloads, Datenbanken und Systemen erkennen.
Die vier wichtigsten Scans, die bei einer Schwachstellenbewertung durchgeführt werden, sind:
Netzwerkbasierter Scan
- Erkennt Schwachstellen, die bei Netzwerksicherheitsangriffen ausgenutzt werden können.
- Umfasst die Bewertung von traditionellen Netzwerken und WLANs.
- Setzt vorhandene Netzwerksicherheitskontrollen und -richtlinien durch.
Hostbasierter Scan
- Erkennt Schwachstellen bei Systemen, Servern, Containern, Workstations, Workloads oder anderen Netzwerk-Hosts.
- Wird in der Regel als Agent eingesetzt, der überwachte Geräte und andere Hosts scannen kann, um nicht autorisierte Aktivitäten, Änderungen oder andere Systemprobleme zu identifizieren.
- Bietet einen besseren Einblick in die Systemkonfiguration und den Patch-Verlauf.
Anwendungsscan
- Erkennt Schwachstellen in Bezug auf Softwareanwendungen, darunter Anwendungsarchitektur, Quellcode und Datenbank.
- Erkennt Konfigurationsfehler und andere Sicherheitslücken in Web- und Netzwerkanwendungen.
Datenbankscan
- Erkennt Schwachstellen in Datenbanksystemen oder Servern.
- Unterstützt die Vermeidung von datenbankspezifischen Angriffen wie SQL-Injektionen und identifiziert andere Sicherheitslücken wie erweiterte Zugriffsrechte und Konfigurationsfehler.
Schwachstellenbewertung vs. Schwachstellenverwaltung
Die Schwachstellenbewertung und die Schwachstellenverwaltung sind zwei unterschiedliche, wenn auch miteinander verbundene Sicherheitsmaßnahmen.
Die Schwachstellenverwaltung ist der fortlaufende, regelmäßige Prozess der Identifizierung, Beurteilung, Meldung, Verwaltung und Behebung von Cyberschwachstellen bei Endgeräten, Workloads und Systemen. Eine Schwachstellenbewertung bezieht sich ausschließlich auf den ersten Scan eines Netzwerks, einer Anwendung, eines Hosts, einer Datenbank oder eines anderen Assets. Die Schwachstellenbewertung ist also lediglich der erste Teil des umfassenderen Prozesses der Schwachstellenverwaltung.
Die Kombination dieser beiden Maßnahmen kann Unternehmen helfen, Sicherheitslücken in der IT-Umgebung zu erkennen und anzugehen. Sie reduzieren also die Angriffsfläche und schützen das Unternehmen vor Bedrohungen und Risiken.
Durchführung einer Schwachstellenbewertung
Schwachstellenbewertungen werden häufig von automatisierten Tools oder automatisierter Software durchgeführt. Diese Lösungen scannen in der Regel die IT-Umgebung und suchen nach den Signaturen bekannter Schwachstellen. Diese müssen dann entweder durch ein weiteres automatisiertes Tool oder das IT-Team behoben werden.
Sobald der Programmumfang und die Prozesse definiert worden sind, sollten diese Scans kontinuierlich durchgeführt werden, um in einer sich schnell verändernden Landschaft proaktiv Sicherheitslücken zu identifizieren und für maximalen Schutz zu sorgen.
5 Schritte bei der Schwachstellenbewertung
Die meisten Unternehmen setzen bei der Vorbereitung und Durchführung einer Schwachstellenbewertung auf diese fünf grundlegenden Schritte:
1. Bestimmung des Programmumfangs und Vorbereitung
In dieser Phase definiert das IT-Team den Umfang und die Ziele des Programms. Der Hauptzweck dieser Aufgabe besteht darin, die Angriffsfläche präzise zu bestimmen und zu verstehen, wo die größten Bedrohungen vorliegen. Zu den wichtigsten Maßnahmen gehören dabei:
- Identifizierung aller Assets, Anlagen und Endgeräte, die Teil des Scans sein sollen, sowie der Software, Betriebssysteme und anderen Anwendungen, die auf diesen Assets bereitgestellt sind.
- Beschreibung der Sicherheitskontrollen und -richtlinien der einzelnen Assets.
- Bestimmung der Auswirkungen der einzelnen Assets im Falle einer Kompromittierung (enthält oder verarbeitet das Asset beispielsweise sensible Daten?).
In diesem Schritt führen Unternehmen einen automatischen Scan der angegebenen Assets durch, um potenzielle Schwachstellen in der im ersten Schritt definierten Umgebung zu identifizieren. Diese Phase beinhaltet fast immer die Verwendung eines Drittanbietertools oder den Support eines Anbieters von Cybersicherheitsservices. Das Tool bzw. der Anbieter nutzt vorhandene Schwachstellendatenbanken oder Feeds mit Bedrohungsanalysedaten, um Schwachstellen zu erkennen und einzuordnen.
3. Priorisierung
In dieser Phase überprüfen Unternehmen alle Schwachstellen, die während der Bewertung erkannt wurden, und ermitteln, welche das größte Risiko für das Unternehmen darstellen. Die Schwachstellen, die voraussichtlich die größten Auswirkungen auf das Unternehmen haben, sollten vorrangig behoben werden.
Die Priorisierung erfolgt anhand verschiedener Faktoren:
- Bewertung der Schwachstelle anhand der Schwachstellendatenbank oder des Tools für Bedrohungsanalysedaten
- Auswirkungen für das Unternehmen, wenn die Sicherheitslücke ausgenutzt wird (d. h. sind sensible Daten aufgrund dieser Schwachstelle gefährdet?)
- Bekanntheit der Sicherheitslücke (d. h. wie wahrscheinlich ist es, dass Cyberkriminelle die Sicherheitslücke kennen, bzw. wurde sie bereits in der Vergangenheit ausgenutzt?)
- Wie leicht kann die Sicherheitslücke ausgenutzt werden?
- Verfügbarkeit eines Patches und/oder erforderlicher Aufwand zur Neutralisierung der Schwachstelle
4. Berichterstellung
In dieser Phase erstellt das Tool einen umfassenden Bericht, der dem Sicherheitsteam eine Momentaufnahme aller Schwachstellen in der Umgebung bietet. Der Bericht enthält auch eine Priorisierung der Schwachstellen und Informationen zu ihrer Behebung.
Im Bericht finden sich genauere Informationen zu den Schwachstellen, darunter:
- Wann und wo die Schwachstelle entdeckt wurde
- Welche Systeme oder Assets von ihr betroffen sind
- Wahrscheinlichkeit der Ausnutzung
- Potenzieller Schaden für das Unternehmen bei Ausnutzung der Schwachstelle
- Verfügbarkeit eines Patches und Aufwand für dessen Bereitstellung
5. Kontinuierliche Verbesserung
Da sich die Schwachstellenlandschaft täglich (wenn nicht gar minütlich) ändert, sollten Schwachstellenbewertungen regelmäßig und häufig durchgeführt werden. So können Unternehmen nicht nur sicherstellen, dass sie die bei früheren Scans identifizierten Schwachstellen erfolgreich behoben haben, sondern auch, dass sie neue Schwachstellen erkennen, sobald diese auftreten.
Zusätzlich zur Bewertung vorhandener Assets (z. B. Netzwerke, Datenbanken, Hosts und Anwendungen) sollten Unternehmen auch erwägen, eine Schwachstellenanalyse in den Prozess der kontinuierlichen Integration/kontinuierlichen Auslieferung (CI/CD) einzubeziehen. Dies kann dazu beitragen, dass Schwachstellen früh im Entwicklungszyklus behoben werden. Diese potenziellen Exploits werden also gepatcht und geschützt, bevor sie live gehen.
Kontinuierliche Schwachstellenbewertung dank CrowdStrike
Ein umfassender Echtzeit-Überblick über die gesamte IT-Umgebung ist unerlässlich zur Wahrung der Cybersicherheit eines Unternehmens. Unternehmen, die ihre Umgebung kontinuierlich auf Schwachstellen überprüfen, sind besser in der Lage, sich vor Bedrohungen und Risiken zu schützen.
Doch nicht alle Lösungen zur Schwachstellenbewertung bieten den gleichen Funktionsumfang. Entscheiden Sie sich unbedingt für ein Tool, das Bedrohungen rechtzeitig identifiziert, ohne Endgeräte oder Systeme unnötig aufzublähen oder ihre Leistung zu verlangsamen.
Aus genau diesem Grund sollten Unternehmen eine scanlose Lösung in Betracht ziehen, also eine Lösung, die ständig nach Sicherheitslücken sucht und Schwachstellen identifiziert – und über einen schlanken Agent bereitgestellt wird.
CrowdStrike Falcon Spotlight ist eine scanlose Lösung, die Unternehmen eine einheitliche Schwachstellenverwaltung auf nur einer Plattform über einen zentralen Agent bietet. Sie umfasst ein interaktives Dashboard mit Such- und Filterfunktionen. IT-Teams können Daten also in Echtzeit sehen und mit ihnen interagieren, d. h. sie können sofort potenziell gefährliche Sicherheitslücken im Unternehmen schließen.