CTEM: Schwachstellen effektiv priorisieren und beheben

Täglich werden neue Schwachstellen entdeckt und auf die CVE-Liste gesetzt. Das blosse Abarbeiten dieser Liste reicht im modernen Cyber Threat Exposure Management (CTEM) allerdings nicht aus. Um Remediation-Backlogs zu vermeiden und einen Nutzen aus CVEs zu ziehen, müssen Unternehmen zuerst verstehen, welche Schwachstellen für sie wirklich relevant sind. Ähnlich wie beim NIST Cybersecurity Framework (siehe meine früheren Beiträge dazu) basiert auch CTEM auf einem Kreislauf mit verschiedenen Schritten, die Unternehmen bei ihrem Bedrohungsmanagement unterstützen:

• 1. Prepare: Zuerst muss ein Verständnis für die gesamte Angriffsfläche im Unternehmen geschaffen werden – vom Netzwerk über die Cloud-Infrastruktur bis hin zu den Endpoints. Dazu gehört auch zu verstehen, welche Systeme und Daten für das Geschäft kritisch sind und welche Angriffspfade zu diesen Assets existieren.
• 2. Identify: Mithilfe von CVEs und durch Scannen erhobene Bedrohungsdaten werden in diesem Schritt alle Schwachstellen und Exposures identifiziert, die im Unternehmen vorhanden sind.
• 3. Prioritize: Als nächstes wird eine risikobasierte Priorisierung der identifizierten Schwachstellen durchgeführt. Hier sollten sowohl der Business-Kontext als auch die aktuelle Bedrohungslandschaft berücksichtigt und folgende Fragen beantwortet werden: Welche meiner Assets sind unternehmenskritisch? An welchen Assets sind Angreifer in meiner Industrie typisch interessiert? Liegt das System mit der Schwachstelle auf einem identifizierten Angriffsweg, den ein Angreifer nehmen könnte, um auf kritische Systeme zu gelangen? Wird die identifizierte Schwachstelle bereits aktiv ausgenutzt?

Wichtig bei diesen ersten drei Schritten ist ihre Einbettung in eine Cybergovernance, die idealerweise im Executive Board verwurzelt ist. Nur so können die nötigen Fähigkeiten geschaffen, geschäftskritische Systeme gemeinsam mit dem Business identifiziert und auch die für einen effizienten Betrieb dieses Lifecycle nötige Sorgfalt geschaffen werden.

• 4. Validate: In diesem Schritt wird mithilfe von weiteren Experten (beispielsweise aus den Application- oder Infrastructure-Teams) validiert, welche Schwachstellen tatsächlich ausnutzbar sind und ob eine Remedierung realistisch durchführbar ist.
• 5. Mobilize: Darauf aufbauend werden spezifische Massnahmen entwickelt und umgesetzt. Es geht dabei nicht nur um das Einspielen von Patches, sondern auch um die Umsetzung weiterer Verbesserungen – beispielsweise die Verstärkung des Identity-Managements, um kritische Assets noch besser zu schützen, oder die gezielte Härtung spezifischer Systeme, die sich auf wichtigen Angriffspfaden befinden. Hier sollten daher unbedingt auch das Security-Team und andere technische Experten miteinbezogen werden. Entscheidend ist auch, dass die Mobilisierung der Remedierung über etablierte Systeme erfolgt, welche für Change- und IT-Service-Management bereits genutzt werden.
• 6. Report: Das Reporting dient dazu, den ganzen Prozess zu tracken und Prioritäten und Verantwortliche festzulegen. Dieser Schritt sollte nicht unterschätzt werden, denn er fliesst meist auch in Entscheidungen rund um das Remedierungsbudget und die Sicherheitsarchitektur ein. Das Reporting liefert zudem Erkenntnisse über die Effektivität der Remedierungen und hilft so, den ganzen Prozess zu verfeinern und anzupassen.

Die Bedrohungslandschaft und Angriffspfade verändern sich ständig. Entsprechend ist CTEM ein kontinuierlicher Prozess, der laufend angepasst und verbessert werden muss.

In meiner nächsten Kolumne tauchen wir mit dem MITRE ATT&CK Framework tiefer in die Welt der verschiedenen Angriffstechniken ein.

Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.

Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.