Bei insgesamt über 236.000 bekannten Schwachstellen – und durchschnittlich 61 neuen Schwachstellen, die jeden Tag zur NVD hinzugefügt werden – ist es unmöglich, jede einzelne CVE oder jeden Bedrohungsvektor zu beheben, der auftaucht. Wie also gehen Unternehmen im Alltag mit den ständig wachsenden Bedrohungen für die Endbenutzer, Kunden und Daten ihres Unternehmens um – insbesondere in einem zunehmend hybriden und dezentralen Everywhere Workplace?

Zuallererst ist es wichtig, dass Sie Ihre Risikooberfläche abbilden, indem Sie sich darüber informieren, welche Assets jederzeit mit Ihrem Netzwerk verbunden sind. Wir haben zwei Experten – John J. Masserini, Senior Security Analyst bei TAG Cyber, und Chris Goettl, Vice President of Security Product Management bei Ivanti – gefragt, wie man die einzigartigen Cyber-Risikofaktoren eines Unternehmens für die Priorisierung von Sicherheitslücken herausfinden kann.  

Sehen Sie sich unten einen Teil des Gesprächs an. Wenn Sie sich die ganze Diskussion anhören möchten, in der sie weitere Best Practices aus realen RBVM-Programmen austauschen, besuchen Sie die Webinar-Aufzeichnung.

Entdecken Sie jeden (auch unbekannten) Endpunkt in Ihrem Netzwerk

Starting an RBVM program with IT asset discovery

Chris Goettl: Ich glaube, jeder hat ein Sicherheits-Framework, auf das er sich verlässt, um seine Cybersicherheits-Roadmap zu verstehen und zu entwickeln. Wenn Sie sich alle wichtigen Cybersicherheits-Frameworks ansehen, sei es NIST, CIS, die Cyber Essentials oder die ASD Top 20, dann werden Sie feststellen, dass alle diese Frameworks ein Element zur Entdeckung und Verwaltung von Assets enthalten. Denn wenn wir nicht wissen, was sich in unserer Umgebung befindet, können wir sie nicht sichern. Die Discovery ist also ein grundlegender Bestandteil eines jeden Sicherheitsprogramms – aktiv, passiv, die Fähigkeit, sich mit mehreren Datenquellen zu verbinden und wirklich viele Informationen über Ihre Umgebung zu sammeln.  

Ivanti verfügt über eine Vielzahl von Funktionen für die Erkennung. Durch die Zusammenarbeit mit Kunden und einige Sicherheitsumfragen haben wir herausgefunden, dass die meisten Unternehmen eine Lücke von 20 – 30 % in ihrem Verständnis aller Geräte haben, die in ihrer Umgebung tatsächlich verwaltet werden.  

Wenn Sie also sechs oder sieben Datenpunkte in Ihrer Umgebung nehmen – sehen Sie sich die Endpunktverwaltungslösung, die Asset-Verwaltungslösung und Ihren Endpunktschutz an, ob es sich nun um eine EDR- oder eine Bedrohungsschutzplattform handelt –, dann wird jeder dieser Punkte eine Reihe von verwalteten Computern haben. Stimmen Sie das mit Ihrem Beschaffungsteam ab und ich garantiere Ihnen, dass Sie zwischen diesen verschiedenen Datenquellen einen zweistelligen Prozentsatz an Rechnern finden werden, die in der einen und nicht in der anderen Quelle verwaltet werden. Das bedeutet, dass mehr als 30 % meiner Umgebung für mich aus einer einzigen Datenquelle nicht sichtbar sind.  

Einer der wichtigsten Gründe dafür, dass dies die Basis und das Fundament dieser Cybersecurity-Frameworks ist, besteht darin, dass wir einen Blick auf die mehr als 30 % unserer blinden Flecken in unserer Umgebung werfen müssen, denn wenn wir das nicht tun, werden es die Angreifer tun.

Warum unbekannte IoT-Geräte eine Gefahr für Ihre IT-Umgebung darstellen können

Why unknown IoT devices can pose a threat to your IT environment

Chris Goettl: Ein paar Dinge, die ein Problem darstellen könnten. Erstens, wenn es eine Sicherheitslücke auf dem Gerät gibt – ich meine, wir haben gesehen, dass Glühbirnen für weit verbreitete DDoS-Angriffe verwendet wurden. Das ist nur ein Beispiel dafür, wie ein einfaches IoT-Gerät, von dem niemand erwartet hätte, dass es eine Bedrohung darstellt, Teil eines viel größeren Angriffs werden kann.

Es besteht die Möglichkeit, dass jemand das Gerät durch einen Fehler aus der Ferne in einen Zustand versetzen könnte, in dem die Heizelemente eingeschaltet sind und eingeschaltet bleiben, und dadurch ein Feuer auslösen könnte. Es gibt eine Vielzahl von Möglichkeiten, wie solche Geräte gegen uns verwendet werden können.  

Kürzlich gab es eine Art IoT-Gerät im medizinischen Bereich. Diese Roboter befinden sich in Krankenhäusern und sind in der Lage, sich zu bewegen und das Personal bei einer Vielzahl von Dingen zu unterstützen, sei es, dass sie die Dinge bringen, die sie für die Arbeit mit einem Patienten benötigen, oder dass sie etwas in ein Labor liefern oder etwas in dieser Richtung. In diesen Geräten wurde eine Reihe von Sicherheitslücken entdeckt, die es möglich machten, dass jemand die Gespräche abhören konnte, in deren Nähe sich das Gerät befand. Diese Geräte könnten zum Anhalten gezwungen werden. Sie waren so groß, dass sie eine Tür blockieren konnten. In einer medizinischen Einrichtung kann das Blockieren einer wichtigen Tür und das Erzwingen, dass sich das Gerät im Grunde selbst verriegelt und eine Barriere darstellt, zuweilen auch schädlich sein.  

Jedes dieser Geräte, egal wie harmlos es erscheinen mag, stellt eine potenzielle Gefahr für die Umwelt dar. Und in diesem Fall wurde ein Gerät gefunden, das eigentlich vorhanden sein sollte, aber herausgefiltert werden konnte, weil es sich um ein Gerät handelt, das nicht von einem – können Sie es patchen? Nun, nicht wirklich. Es gibt vielleicht ein paar Firmware-Updates, aber das ist etwas, das Sie nicht auf dieser Ebene verwalten werden. Segmentieren Sie diese, aber stellen Sie sicher, dass Sie wissen, was sich in Ihrer Umgebung befindet und was gegen Sie verwendet werden kann.

Wie Asset-Informationen bei der Priorisierung von Patches helfen

How asset information helps prioritize patching

John Masserini: Zu verstehen, was da ist, ist so etwas wie die Grundlage für die Verwaltung von Sicherheitslücken. Ich würde jedoch behaupten, dass der nächste Schritt darin besteht, die Bedeutung dieser Geräte für die Einnahmequellen des Unternehmens zu verstehen.  

Wenn wir uns ansehen, was wir gepatcht haben, wie wir es gepatcht haben, unabhängig von dem Programm, ging es wirklich nur darum, welche Ausfälle wir uns leisten konnten, wie hoch der Umsatz war, der durch dieses Gerät oder diesen Strom von Geräten generiert wurde, und wie wir den Ausfall managen würden oder wer das Risiko übernehmen würde, wenn wir die Sicherheitslücken nicht schließen würden. Das Verständnis dafür, wie wichtig die Geräte für die Geschäftsbereiche sind, ist meiner Meinung nach ein wichtiger Faktor bei jeder Art von Risikokennzahl. Wenn wir über risikobasierte Verwaltung von Sicherheitslücken sprechen, ist es von entscheidender Bedeutung zu verstehen, wie wir diese Risiken in Bezug auf einzelne Geräte, einzelne Arbeitsabläufe nutzen können.  

Ich habe immer ein BCP-Programm genutzt, um dies zu gewährleisten. Eine Analyse der Auswirkungen auf das Geschäft, die für ein Programm zur Aufrechterhaltung des Geschäftsbetriebs von entscheidender Bedeutung ist, ist ebenso wertvoll für ein Programm zur Verwaltung von Sicherheitslücken, wenn Sie versuchen, das Risiko einer Anwendung oder einer Umgebung zu verstehen, was auch immer. Wenn Sie eine Analyse der Auswirkungen auf das Geschäft durchführen, ist dies sowohl für das Unternehmen als auch für die IT-Abteilung sehr aufschlussreich.  

Jedes Mal, wenn Sie mit einem Unternehmen sprechen, werden Sie sagen: „Wir wollen eine sofortige Antwortzeit. Wir wollen keine Downtime und wir wollen die Zufriedenheit unserer Kunden garantieren.“ All diese Dinge. Und Sie sagen: „Okay, hier ist das Preisschild dafür“. Und die anderen werden sagen: „Halt, halt, halt, wir haben nicht so viel Geld!“ Sie kommen also sehr schnell in die Diskussion darüber, was der minimale, akzeptable Standard für so etwas ist. Wie viel sind Sie bereit zu sagen ... Wir können uns jeden zweiten Freitag ein zweistündiges Ausfallfenster von 2 bis 4 Uhr morgens leisten oder so ähnlich. Und wir müssen uns darüber im Klaren sein, dass dies 80 % der Einnahmen des Unternehmens ausmacht, also müssen wir sehr sensibel damit umgehen. Vielleicht führen wir vierteljährlich Patches durch, aber wir testen diese Patches für solche Umgebungen auf einem anderen Niveau als eine interne Website, die wir nur zum Austausch von Memes oder Ähnlichem nutzen.  

Die verschiedenen Geräte in unserer Infrastruktur sind von Grund auf unterschiedlich kritisch und sollten wirklich bewertet und gemessen werden, um sicherzustellen, dass wir die Risikoanalyse korrekt durchführen.  

Viele dieser Dinge sind, ob Sie es glauben oder nicht, eine Menge Altlasten. Ganz gleich, ob Sie alte Mainframes, AS/400-Systeme oder brandneue Geräte einsetzen, die Sicherheitslücke muss durch einen neuen Firmware-Flash geschlossen werden, anstatt einfach nur einen Patch für eine Bibliothek bereitzustellen. Es handelt sich um sehr unterschiedliche Modelle, sehr unterschiedliche Teile einer sehr unterschiedlichen Risikoanalyse. Das Patchen einer Anwendung – wenn Sie Chrome auf einem Windows-Laptop patchen müssen – ist ein ganz anderes Risikoprofil als wenn Sie sagen: „Okay, ich gehe jetzt zu diesem kritischen Router und flashe die Firmware über Nacht.“ Das sind einfach völlig andere Risiken.  

Wenn Sie also verstehen, wie all das zusammenspielt, sind die Asset-Erkennung und die Risikoanalyse von BIA eine phänomenale Grundlage für den Aufbau einer langfristigen Strategie für die Verwaltung von Sicherheitslücken auf Risikobasis.

  

Zu wissen, was sich in Ihrem Netzwerk befindet, ist der erste Schritt, um zu verstehen, wie Sie Ihre Sicherheitsbemühungen priorisieren können. Ein risikobasierter Ansatz bei der Verwaltung von Sicherheitslücken stellt sicher, dass Sie sich auf Ihre schwächsten Glieder konzentrieren – und mit Asset Discovery können Sie alle identifizieren, auch die versteckten.  

Fahren Sie fort mit der Erforschung von Best Practices aus realen RBVM-Programmen, indem Sie sich den Rest dieser Diskussion ansehen.