5-stufiger Prozess zur Schwachstellenbewertung
1. Erste Vorbereitung
In dieser Phase entscheidet das Team über den Umfang und die Ziele der Schwachstellentests. Das beinhaltet:
- Identifizieren Sie geschützte Vermögenswerte und Geräte und kartieren Sie alle Endpunkte.
- Ermittlung des Geschäftswerts jedes Vermögenswerts und der Auswirkungen eines Angriffs.
- Identifizieren von Zugriffskontrollen und anderen Sicherheitsanforderungen jedes Systems.
- Bestimmen, ob Systeme sensible Daten enthalten und wie sensible Daten zwischen Systemen übertragen werden.
- Aufzeichnen einer Basislinie von Diensten, Prozessen und offenen Ports für geschützte Assets.
- Bestimmen der auf Anlagen eingesetzten Betriebssysteme und Software.
- Diese Informationen können Sicherheitsteams dabei helfen, die Angriffsflächen und die schwerwiegendsten Bedrohungsszenarien zu verstehen und eine Abhilfestrategie zu entwickeln.
2. Tests zur Schwachstellenbewertung
In dieser Phase führt das Team automatisierte Schwachstellenscans auf Zielgeräten und -umgebungen durch. Bei Bedarf nutzen sie manuelle Tools, um den Sicherheitsstatus eines Systems zu untersuchen.
Um diese Phase zu automatisieren und effizienter zu gestalten, stützen sich Teams in der Regel auf eine oder mehrere Schwachstellendatenbanken, Sicherheitshinweise von Anbietern und Threat-Intelligence-Feeds.
Ein einzelner Test kann je nach Größe des Zielsystems und Art des Scans zwischen einer Minute und mehreren Stunden dauern.
3. Priorisieren Sie Schwachstellen
In dieser Phase entfernt das Team Fehlalarme aus den Ergebnissen des Schwachstellenscans und priorisiert Schwachstellen anhand mehrerer Faktoren. Dazu können gehören:
- Von einer Schwachstellendatenbank bereitgestellter Schweregradwert.
- Die geschäftlichen Auswirkungen, wenn eine Schwachstelle ausgenutzt wird.
- Sensible Daten, die gefährdet sein könnten.
- Die Leichtigkeit, die Schwachstelle auszunutzen.
- Wie lange besteht die Sicherheitslücke?
- Die Fähigkeit, seitliche Bewegungen von diesem System zu anderen empfindlichen Systemen durchzuführen.
- Die Verfügbarkeit eines Patches und der für die Bereitstellung erforderliche Aufwand.
4. Erstellen Sie einen Bericht zur Schwachstellenbewertung
In dieser Phase erstellt das Team einen einheitlichen Bericht, der die in allen geschützten Vermögenswerten gefundenen Schwachstellen aufzeigt und einen Plan zu deren Behebung enthält.
Bei Schwachstellen mit mittlerem bis hohem Risiko sollte der Bericht Informationen über die Schwachstelle enthalten, wann sie entdeckt wurde, welche Systeme sie betrifft, den potenziellen Schaden, wenn Angreifer sie ausnutzen, sowie den Plan und Aufwand, der zur Behebung der Schwachstelle erforderlich ist.
Wenn möglich, sollte das Team auch einen Proof of Concept (PoC) vorlegen, der zeigt, wie jede kritische Schwachstelle ausgenutzt werden könnte.
5. Kontinuierliche Schwachstellenbewertung
Schwachstellenscans liefern eine punktuelle Momentaufnahme der Schwachstellen, die in der digitalen Infrastruktur eines Unternehmens vorhanden sind. Allerdings können neue Bereitstellungen, Konfigurationsänderungen, neu entdeckte Schwachstellen und andere Faktoren zu neuen Schwachstellen führen. Da Schwachstellen nicht statisch sind, sollte auch das Schwachstellenmanagement ein kontinuierlicher Prozess sein.
Softwareentwicklungsteams sollten eine automatisierte Schwachstellenbewertung in ihre CI/CD-Pipeline (Continuous Integration and Deployment) integrieren. Dadurch können Schwachstellen so früh wie möglich im Software Development Lifecycle (SDLC) identifiziert und behoben werden, sodass keine Patches für anfälligen Code entwickelt und veröffentlicht werden müssen.
Da dieser Prozess jedoch nicht alle Schwachstellen abdecken kann und viele Schwachstellen in Legacy- oder Drittsystemen auftreten, muss er durch kontinuierliche Schwachstellenscans von Produktionssystemen ergänzt werden.