Anzeige
SECURITY15. November 2017

Security-Ansage: “Ein 100-Prozent-Ansatz beim Patchen ist schlicht und ergreifend nicht umsetzbar.“

Patrick Schraut, Vice President Consulting Europe NTT SecurityNTT Security

Vulnerability Management ist ein unverzichtbarer Bestandteil für eine hohe IT-Sicherheit. Vielfach wird allerdings verkannt, dass es dabei um weit mehr als ein reines Vulnerability Assessment geht.

von Patrick Schraut, Vice President Consulting Europe NTT Security

Dass im Finanzdienstleistungsbereich die IT-Sicherheit höchste Priorität einnimmt, steht außer Frage – allein schon im Hinblick auf Compliance-Anforderungen, vertragsrechtliche Verpflichtungen oder Risk-Management-Vorgaben.

Ein wesentlicher Punkt ist dabei auch das Vulnerability und Patch Management. Hier zeigt sich allerdings, dass viele Institute auf halbem Weg stehenbleiben.”

Zunächst ist festzuhalten, dass sie vielfach nur ein Vulnerability Assessment durchführen, in dem ihnen die Schwachstellen in ihren Systemen aufgezeigt werden. Und wenn die IT-Abteilungen dann das Thema Risikominderung aufgreifen, etwa durch ein Patchen der betroffenen Systeme, verdeutlicht sich die extrem hohe Komplexität der Aufgabenstellung. In diesem Kontext muss nur der von der Mitre Corporation in Zusammenarbeit mit Herstellern von Sicherheitssoftware, Behörden und Bildungseinrichtungen verwaltete Industriestandard CVE (Common Vulnerabilities and Exposures) betrachtet werden, das Verzeichnis bekannter Sicherheitslücken in IT-Systemen.

Allein für 2017 finden sich auf der CVE-Liste bis Anfang Oktober bereits mehr als 11.000 Meldungen über neue Verwundbarkeiten. Ein 100-Prozent-Ansatz beim Patchen ist somit schlicht und ergreifend nicht umsetzbar.”

Autor Patrick Schraut, NTT Security
Patrick Schraut ist Vice President Consulting Europe bei NTT Security. Er begann seine Karriere in der NTT-Gruppe bereits 1999 als Sicherheitsexperte. Seit 2010 ist er im deutschsprachigen Raum für den Bereich Consulting zuständig, bevor seine Verantwortung 2017 auch auf weitere europäische Länder ausgedehnt wurde.
Ein Beispiel zeigt dies deutlich: Betreibt ein Institut 2.400 Server und kalkuliert man den Patchprozess mit einer Stunde pro Server, würden 2.400 Stunden anfallen, also 300 Personentage – ein mehr als unrealistisches Szenario.

Infolgedessen sollte als Antwort auf diese Herausforderung ein Vulnerability Management, ein sogenanntes Smart Vulnerability Management etabliert werden. Es setzt bei der Bestandsaufnahme der IT an und berücksichtigt dabei vor allem zwei potenzielle zentrale Schwachstellen: Angriffe durch die eigenen Mitarbeiter und ungepatchte Systeme. Das Motto in einem ersten Schritt lautet: „Risiken bewerten, filtern und priorisieren“. Vor allem die Risikoabschätzung ist von zentraler Bedeutung, da jedes Unternehmen oder Institut ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützens­wer­ten Daten und Prozesse ermittelt werden muss. Darauf bauen dann alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf.

Weiß ein Finanzinstitut, an welchem Ort wichtige Daten liegen und sicherheitsrelevante Ereignisse eintreten können, sind nicht nur gezielte Reaktionen möglich, sondern auch proaktive Maßnahmen durchführbar.”

Wenn ein Unternehmen Auswertungen über historische Ereignisse machen kann, kann es auch Vorhersagen treffen, an welchen Stellen eventuell ein erhöhtes Sicherheitsrisiko für die Daten existiert. Hier kann dann frühzeitig in entsprechende Sicherheitsmaßnahmen investiert werden. Dazu zählen zum Beispiel die Transportverschlüsselung, der Einsatz sicherer Authentifizierungsmethoden, effiziente Berechtigungsmodelle, die Datenverschlüsselung und die Netzwerksegmentierung – immer angepasst auf die jeweilige Risikolage.

Smart Vulnerability Management

Ein umfassendes Smart Vulnerability Management fußt auf der Schwachstellen- und Angriffserkennung. Prinzipiell können Angriffe etwa durch Logfile-Auswertung, Pattern-Vergleich mit bekannten Angriffen, Untersuchung des Datenverkehrs oder
 Anomalien-Erkennung identifiziert werden. Und SIEM (Security Information and Event Management)-Systeme zum Beispiel korrelieren Logfiles und gleichen diese mit bekannten Informationen ab, um Angriffe zu erkennen.

Mit Hilfe eines Vulnerability-Managements werden IT-Systeme gescannt und auf Schwachstellen untersucht. Gleichzeitig werden Trends und Statistiken über deren Entstehung und Bereinigung geführt und die Ergebnisse der Scans in IT- und Management-Reports festgehalten. So kann der internen und externen Revision auf Anfrage der Umgang mit auftretenden Schwachstellen aufgezeigt werden.

Ein Vulnerability Management sollte aber nicht nur Schutz für die Infrastruktur durch die einmalige Aufdeckung von Schwachstellen bieten, sondern Tools für die Verwaltung des gesamten Vulnerability-Lifecycles umfassen, das heißt, es geht um die Etablierung eines kontinuierlichen Prozesses zur Identifizierung, Klassifizierung und Beseitigung von Schwachstellen und nicht nur um ein Vulnerability Assessment oder einen Penetrationstest, die lediglich eine Momentaufnahme zur aktuellen IT-Sicherheitssituation liefern.

Konkret sollte ein Smart-Vulnerability-Management-System enthalten:

1. Identifizierung: Echtzeit-Vulnerability-Informationen in einer zentralen Datenbank
2. Priorisierung: Kunden- und anforderungsspezifische Schwachstellen-Klassifizierung
3. Management: Remediation-Tracking, Kunden-Reports, -Dashboards und -Charts
4. Audit: Auditierbare Aufzeichnungen von Remediation-Prozessen von der Schwachstellen-Identifizierung bis zur-Beseitigung
5. Vulnerability-Threat-Korrelation
6. Asset-bezogenes Scheduling, Scanning und Reporting

Vulnerability Management und Managed Security Services

Natürlich kann ein Finanzdienstleister ein Vulnerability-Management-System „on-site“ betreiben. Dabei muss aber auch immer berücksichtigt werden, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen heute kaum völlig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und dynamisch und zum anderen der Kostenaufwand zu hoch ist. Alternativ sollte die Nutzung von MSS (Managed Security Services) in Betracht gezogen werden. MSS-Anbieter betreiben SOC (Security Operations Center) als proaktive Abwehrzentren für Unternehmen, in denen unter anderem die Früherkennung von Angriffen erfolgt. Moderne SOC verfügen über intelligente Tools, die eine permanente, automatische Analyse des Datenverkehrs und die Korrelation unterschiedlichster Informationen sicherstellen.

Advanced Analytics Engine
NTT Security etwa setzt eine Advanced Analytics Engine ein, die multiple Verfahren des maschinellen Lernens nutzt, und kombiniert sie mit hochperformanten Korrelationsmethoden, einer globalen Threat-Intelligence-Plattform und den Analysen der Security-Experten und Threat-Hunting-Teams in seinen globalen und lokalen SOC. Durch die Verbindung von hochgradiger Automation und Expertise können Milliarden von Sicherheitsinformationen ausgewertet und konkrete Angriffe und auch Bedrohungen identifiziert und proaktiv behandelt werden.

Managed Security Services im Umfeld von IT-Management und -Betrieb umfassen etwa: Device Management (Authentifizierung, Privileged Identity Management, Key Management), Log-Monitoring, Nutzung von Threat Intelligence Feeds, SIEM as a Service und nicht zuletzt das Vulnerability Management.

Traditionelle Vulnerability-Management-Prozesse sind zeitaufwändig, ressourcenintensiv und ineffizient und fokussieren oft die falschen Kriterien, sodass Sicherheits- und Compliance-Lücken die Folge sein können. Ein Smart-Vulnerability-Management-Ansatz hingegen adressiert primär die größten Schwachstellen in einer IT-Umgebung. Er bietet damit eine schnelle und effiziente Möglichkeit für die Umsetzung eines erfolgreichen Vulnerability-Managements – auch wenn eine große Anzahl potenzieller Schwachstellen zu berücksichtigen ist. Alle Maßnahmen im Rahmen eines Vulnerability-Management-Konzepts haben letztlich das Ziel, die IT-Security auf einem gleichbleibend hohen Niveau zu halten beziehungsweise auf ein höheres Level zu heben.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert