Überblick
Schwachstellenmanagement ist eine IT-Sicherheitspraktik, bei der Sicherheitslücken in Geräten, Netzwerken und Anwendungen identifiziert, bewertet und behoben werden, um die Risiken von Cyberattacken und Sicherheitsverletzungen zu reduzieren.
Sicherheitsfachleute sehen Schwachstellenmanagement als einen wichtigen Teil der Sicherheitsautomatisierung an. Es ist eine notwendige Funktion des ISCM (Information Security Continuous Monitoring), wie es vom US-amerikanischen NIST (National Institute of Standards and Technology) definiert wurde.
Schwachstellen werden als CVEs (Common Vulnerabilities and Exposures) protokolliert. Dabei handelt es sich um ein von der Sicherheitsbranche verwendetes System, das von Sicherheitsforschenden und IT-Anbietern identifizierte Sicherheitslücken katalogisiert. Da ständig neue CVEs auftreten, ist Schwachstellenmanagement ein kontinuierlicher Prozess. Mithilfe eines Programms für das Schwachstellenmanagement können Sicherheitsteams ihren Fehlererkennungs- und -behebungsprozess, darunter das Scannen und Patchen von Schwachstellen, automatisieren.
Was sind die Funktionen des Schwachstellenmanagements?
Schwachstellenmanagement zielt darauf ab, das Risiko von Cyberattacken zu reduzieren und die IT-Infrastruktur zu schützen. Diese Prozesse tragen dazu bei, die Angriffsfläche einer Organisation zu verringern, indem Sicherheitsprobleme oder Fehlkonfigurationen identifiziert und beseitigt, Software-Patches gepflegt und Attacken, die Schwachstellen ausnutzen, erkannt und gemindert werden. So kann sichergestellt werden, dass Endgeräte, Server, Netzwerke und Cloud-Assets korrekt gepatcht und konfiguriert sind.
Schwachstellenmanagement kann als 5 sich überschneidende Workflows betrachtet werden:
- Erkennung: Überprüft die IT-Assets eines Unternehmens auf bekannte und potenzielle Schwachstellen.
- Kategorisierung und Priorisierung: Kategorisiert identifizierte Schwachstellen und priorisiert sie nach Kritikalitätsstufe und tatsächlichem Risiko (eine extrem kritische Schwachstelle in einem Gerät, die nur ausgenutzt werden kann, wenn es mit dem Internet verbunden ist, stellt beispielsweise kein Risiko dar, wenn dieses Gerät niemals mit dem Internet verbunden wird).
- Lösung: Löst Schwachstellen durch Korrektur (Schwachstelle wird vollständig beseitigt), Risikominderung (Ausnutzen wird erschwert oder Auswirkung gemindert) oder Akzeptanz (Entscheidung, vorhandene Schwachstellen mit niedriger Risikobewertung zu ignorieren).
- Neubewertung: Führt neue Bewertungen durch, um sicherzustellen, dass umgesetzte Maßnahmen erfolgreich waren und keine neuen Schwachstellen produziert haben.
- Berichterstellung: Definiert Baseline-Metriken für das Schwachstellenmanagement und überwacht die Performance im Zeitverlauf.
Schwachstellenmanagement ist eine Komponente der Informationssicherheit und unterstützt dieselben Funktionen. Innerhalb des Cybersicherheits-Frameworks, das von NIST etabliert wurde, sind diese Funktionen:
- Identifizieren: Systeme, Menschen, Assets, Daten und Funktionen verstehen
- Schützen: In der Lage sein, die Auswirkungen eines potenziellen Cybersicherheitsvorfalls zu beschränken oder einzudämmen
- Erkennen: Die zeitnahe Erkennung von Cybersicherheitsvorfällen ermöglichen
- Reagieren: Notwendige Maßnahmen durchführen, wenn ein Cybersicherheitsvorfall erkannt wurde
- Wiederherstellen: Resilienz planen und von einem Vorfall betroffene Funktionen oder Services wiederherstellen
Wie werden Schwachstellen identifiziert und verfolgt?
IT-Sicherheitsschwachstellen werden anhand der CVE-Liste katalogisiert und verfolgt. Diese Branchenressource wird von der MITRE Corporation verwaltet und von der CISA (Cybersecurity and Infrastructure Security Agency) finanziert, die zum U.S. Department of Homeland Security gehört. Sicherheitslücken, die zu CVE-Einträgen werden, können von Forschenden, Anbietern und Mitgliedern der Open Source Community eingereicht werden.
Zusätzlich zu den kurzen CVE-Einträgen können Sicherheitsfachleute technische Details zu Schwachstellen in der US-amerikanischen NVD (National Vulnerability Database), der CERT/CC Vulnerability Notes Database und anderen Quellen finden, wie etwa produktspezifischen, anbietergeführten Listen.
In diesen verschiedenen Systemen bieten CVE-Nummern den Nutzenden eine zuverlässige Möglichkeit, eindeutige Schwachstellen zu erkennen und die Entwicklung von Sicherheitstools und -lösungen zu koordinieren.
Was ist ein CVSS-Score? Wie und warum werden Scores zugewiesen?
Das CVSS (Common Vulnerability Scoring System) ist ein Branchenstandard für die Bewertung von CVEs. Dabei wird eine Formel angewendet, die eine Reihe von Faktoren in Bezug auf die Schwachstelle abwägt, darunter die Komplexität der Attacke, ob die potenzielle Attacke remote durchgeführt werden kann und ob Nutzende Maßnahmen ergreifen müssen. Das CVSS weist einer CVE einen Basisscore zwischen 0 (keine Auswirkung) und 10 (größte Basisauswirkung) zu.
Dieser Score allein stellt noch keine umfassende Risikobewertung dar. Zwei weitere Bewertungen – eine zeitliche und eine umgebungsbezogene – können für eine umfassendere CVSS-Analyse herangezogen werden. Eine zeitliche Bewertung fügt weitere Details hinzu, darunter aktuelle Angriffstechniken, das Vorliegen von Attacken, die sich die Schwachstelle zunutze machen, und die Verfügbarkeit von Patches oder Workarounds für das Problem. Eine umgebungsbezogene Bewertung fügt unternehmensspezifische Details über geschäftskritische Daten, Systeme oder Kontrollen hinzu, die in der Umgebung von Endkonsumierenden existieren und die Auswirkung oder Wahrscheinlichkeit einer erfolgreichen Attacke beeinflussen können.
Anbieter und Forschende können zusätzlich zu CVSS-Scores weitere Skalen verwenden. Beispielsweise verwendet Red Hat Product Security eine 4-Punkte-Schweregradskala, mit der Nutzende Sicherheitsprobleme bewerten können. Diese Einstufungen sind:
- Kritisch: Schwachstellen, die leicht von einem nicht autorisierten Remote-Angreifer ausgenutzt werden und zur Kompromittierung des Systems führen können, ohne dass Nutzerinteraktion erforderlich ist.
- Wichtig: Schwachstellen, die leicht die Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen kompromittieren können.
- Moderat: Schwachstellen, die zwar nicht so leicht ausgenutzt werden können, jedoch trotzdem unter bestimmten Umständen zu einer Kompromittierung der Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen führen können.
- Niedrig: Andere Probleme, die Auswirkungen auf die Sicherheit haben. Bei dieser Art von Fehler/Mangel sind unwahrscheinliche Umstände erforderlich, damit sie ausgenutzt werden können, oder eine eventuelle Ausnutzung hätte nur minimale Folgen.
Was ist risikobasiertes Schwachstellenmanagement (RBVM)?
Mit einer zunehmenden Anzahl an Schwachstellen und immer mehr Menschen und Ressourcen, die für die Sicherheit verantwortlich sind, ist es wichtiger denn je, diese Aufgaben optimal zu priorisieren. Die Verwendung umfassender und ungenauer Risikodaten als Teil eines Programms für das Schwachstellenmanagement kann zu einer Über- oder Unterpriorisierung bestimmter Schwachstellen führen. Dadurch steigt das Risiko, dass ein kritischer Fehler zu lange nicht behoben wird.
Risikobasiertes Schwachstellenmanagement (RBVM) ist ein neuer Ansatz, der darauf abzielt, Maßnahmen basierend auf dem unternehmensspezifischen Bedrohungsrisiko zu priorisieren. RBVM berücksichtigt stakeholderspezifische Schwachstellendaten, darunter Threat Intelligence, die Wahrscheinlichkeit einer Ausnutzung und die Bedeutung der betroffenen Assets für das Unternehmen. Dabei können KI- und ML-Funktionen verwendet werden, um genauere Risikobewertungen zu entwickeln. Das Ziel von RBVM besteht außerdem darin, Schwachstellen in Echtzeit und mit automatisierten, kontinuierlichen Schwachstellenscans zu überwachen.
Was ist der Unterschied zwischen einer Schwachstellenbewertung und Schwachstellenmanagement?
Eine Schwachstellenbewertung ist eine Untersuchung der Sicherheitsmaßnahmen eines IT-Systems, um Sicherheitsdefizite zu identifizieren. Sie beinhaltet unter anderem das Sammeln von Daten über das System und seine Ressourcen, eine Überprüfung auf bekannte Schwachstellen und das Erstellen von Berichten, in denen die Ergebnisse nach Risiko klassifiziert und Verbesserungsmethoden identifiziert werden. Eine Schwachstellenbewertung ist eine Art interne Prüfung und ein Scan der gesamten Infrastruktur mit dem Ziel, Sicherheitsprobleme aufzudecken. Obwohl sie als regelmäßiger Prozess geplant werden kann, ist eine Schwachstellenbewertung im Grunde ein einzelnes Event mit einem Endergebnis, bei dem es sich um einen Bericht handelt, der eine Momentaufnahme darstellt.
Im Gegensatz dazu ist das Schwachstellenmanagement ein fortlaufender und automatisierter Prozess, der kontinuierlich durchgeführt wird. Die Funktionen des Schwachstellenmanagements sind fortlaufend, überschneiden sich und werden kontinuierlich ausgeführt. Dadurch kann schnell und frühzeitig auf kritische Schwachstellen reagiert werden, wodurch die Sicherheit verbessert wird.
Wie Red Hat helfen kann
Als führender Anbieter von Open Source-Software steht bei Red Hat Transparenz und Verantwortlichkeit für Kunden und Communities im Vordergrund. Red Hat veröffentlicht regelmäßig Informationen zu Schwachstellen und wurde 2022 zur Root-Organisation innerhalb des CVE-Programms.
Außerdem bietet Red Hat Organisationen mehr Sicherheit bei der Entwicklung, Bereitstellung und Ausführung cloudnativer Anwendungen. Erfahren Sie, wie Sie mit Red Hat Advanced Cluster Security for Kubernetes Schwachstellen besser erkennen und verwalten können.