Die Vielfalt der IT-/OT-Assets steigt. Dabei generiert das Vulnerability Scanning mittlerweile eine Datenflut, deren ­Bewältigung Unternehmen vor grosse Aufgaben stellt. Warum übliche Strategien heute nicht mehr wirken – und was Sie mit Risk Based Vulnerability Management (RBVM) dagegen tun können.

Kaan Tanriverdi, Presales Consultant und Fachexperte Vulnerability Management mit Qualys, Axians IT Services. (Source: Jan Siebert)

Zahlreiche IoT-Geräte, Container, Cloud-Dienste und die zunehmende Verschmelzung von Information (IT) und Operational Technology (OT) prägen die digitale Transformation. Und obwohl das Schwachstellen-Management (VM) immer noch eine der grundlegendsten und wichtigsten Komponenten eines ganzheitlichen Cybersecurity-Programms darstellt, ist es mittlerweile in die Jahre gekommen und erhält wegen seiner Alltäglichkeit kaum noch die nötige Aufmerksamkeit des IT-Managements im Unternehmen. Die ungepatchten Schwachstellen plagen die betroffenen Unternehmen jedoch weiterhin, was auch die häufigen Schlagzeilen bezüglich Sicherheitsverletzungen beweisen, die aus nicht gepatchten Systemen resultieren. Wenn also mehr Schwachstellen denn je entdeckt werden, muss auch jedes Unternehmen dem Aufbau einer effektiven Strategie zum VM Priorität einräumen.

Was ist Risk-Based Vulnerability Management?

Das Risk-Based Vulnerability Management geht einen Schritt weiter – über das herkömmliche VM hinaus: Indem es der Beseitigung der Schwachstellen Priorität einräumt, die das grösste Risiko für ein Unternehmen darstellen, kann es Angriffsflächen umso effektiver reduzieren. Und es hilft dabei, Schwachstellenrisiken im Bedrohungskontext mitsamt potenzieller Geschäftsauswirkungen zu verstehen.

Was VM heute leisten muss

Da heute also mehr Schwachstellen denn je entdeckt werden, stehen IT-Operations und Security-Teams auch mehr denn je vor der Herausforderung, ihre begrenzten Ressourcen für weniger wichtige Schwachstellen einsetzen zu müssen, anstatt die kritischsten anzugehen.

Deutlich wirksamer ist es, sich auf eine Strategie zu fokussieren, die das Asset Management, VM und Patch Management ganzheitlich unter der Risiko-Prämisse angeht:

  • Mit vollständiger Inventarisierung und Visualisierung aller Asset-Typen einschliesslich herkömmliche IT-Umgebung, Cloud/Container, OT/IoT etc.
  • Mit einer durch Machine Learning und Threat Intelligence unterstützten und durchgeführten Priorisierung: unternehmensrelevante Assets, Schwachstellen und Threats
  • Durch kontinuierliches Monitoring und Bewertung aller Schwachstellen, einschliesslich der Bewertung der Kritikalität von Assets
  • Integration des VM in den Patch-Management-Prozess

Was die IT-/OT-Konvergenz für das VM bedeutet

Ein weiterer Aspekt, der für einen ganzheitlichen Ansatz spricht, ist die IT-/OT-Konvergenz. Denn die fortschreitende Digitalisierung bedingt die zunehmende Anbindung von industrieller Kontrollanlagen (ICS) an die IT und damit ans Internet (OT). So werden Maschinen und Anlagen durch die Vernetzung und Abkehr von geschlossenen, proprietären Systemen von aussen immer angreifbarer.

Das bedeutet im Umkehrschluss, dass spätestens jetzt auch die vernetzten Industrieanlagen und -komponenten nach Schwachstellen gescannt werden müssen. Oder vielmehr, dass ein ganzheitliches und risikobasiertes VM auch hier zum Einsatz kommen sollte.

Bei zunehmender Konvergenz ist eine getrennte Betrachtung beider Welten selbst im VM nicht mehr sinnvoll. Wenn aber weder IT- und OT-Security-Teams das Know-how dafür besitzen, gestaltet sich nicht nur die Zusammenarbeit, sondern auch ein effektives VM schwierig.