Was ist Schwachstellenmanagement?

Veröffentlicht 5. Mai 2023
URL kopieren

Überblick

Schwachstellenmanagement ist eine IT-Sicherheitspraktik, bei der Sicherheitslücken in Geräten, Netzwerken und Anwendungen identifiziert, bewertet und behoben werden, um die Risiken von Cyberattacken und Sicherheitsverletzungen zu reduzieren.

Sicherheitsfachleute sehen Schwachstellenmanagement als einen wichtigen Teil der Sicherheitsautomatisierung an. Es ist eine notwendige Funktion des ISCM (Information Security Continuous Monitoring), wie es vom US-amerikanischen NIST (National Institute of Standards and Technology) definiert wurde. 

Schwachstellen werden als CVEs (Common Vulnerabilities and Exposures) protokolliert. Dabei handelt es sich um ein von der Sicherheitsbranche verwendetes System, das von Sicherheitsforschenden und IT-Anbietern identifizierte Sicherheitslücken katalogisiert. Da ständig neue CVEs auftreten, ist Schwachstellenmanagement ein kontinuierlicher Prozess. Mithilfe eines Programms für das Schwachstellenmanagement können Sicherheitsteams ihren Fehlererkennungs- und -behebungsprozess, darunter das Scannen und Patchen von Schwachstellen, automatisieren.

Whitepaper über Container-Image-Sicherheit

Wie werden Schwachstellen identifiziert und verfolgt?

IT-Sicherheitsschwachstellen werden anhand der CVE-Liste katalogisiert und verfolgt. Diese Branchenressource wird von der MITRE Corporation verwaltet und von der CISA (Cybersecurity and Infrastructure Security Agency) finanziert, die zum U.S. Department of Homeland Security gehört. Sicherheitslücken, die zu CVE-Einträgen werden, können von Forschenden, Anbietern und Mitgliedern der Open Source Community eingereicht werden.

Zusätzlich zu den kurzen CVE-Einträgen können Sicherheitsfachleute technische Details zu Schwachstellen in der US-amerikanischen NVD (National Vulnerability Database), der CERT/CC Vulnerability Notes Database und anderen Quellen finden, wie etwa produktspezifischen, anbietergeführten Listen.

In diesen verschiedenen Systemen bieten CVE-Nummern den Nutzenden eine zuverlässige Möglichkeit, eindeutige Schwachstellen zu erkennen und die Entwicklung von Sicherheitstools und -lösungen zu koordinieren.

 

Mehr über CVEs erfahren

Was ist ein CVSS-Score? Wie und warum werden Scores zugewiesen?

Das CVSS (Common Vulnerability Scoring System) ist ein Branchenstandard für die Bewertung von CVEs. Dabei wird eine Formel angewendet, die eine Reihe von Faktoren in Bezug auf die Schwachstelle abwägt, darunter die Komplexität der Attacke, ob die potenzielle Attacke remote durchgeführt werden kann und ob Nutzende Maßnahmen ergreifen müssen. Das CVSS weist einer CVE einen Basisscore zwischen 0 (keine Auswirkung) und 10 (größte Basisauswirkung) zu.

Dieser Score allein stellt noch keine umfassende Risikobewertung dar. Zwei weitere Bewertungen – eine zeitliche und eine umgebungsbezogene – können für eine umfassendere CVSS-Analyse herangezogen werden. Eine zeitliche Bewertung fügt weitere Details hinzu, darunter aktuelle Angriffstechniken, das Vorliegen von Attacken, die sich die Schwachstelle zunutze machen, und die Verfügbarkeit von Patches oder Workarounds für das Problem. Eine umgebungsbezogene Bewertung fügt unternehmensspezifische Details über geschäftskritische Daten, Systeme oder Kontrollen hinzu, die in der Umgebung von Endkonsumierenden existieren und die Auswirkung oder Wahrscheinlichkeit einer erfolgreichen Attacke beeinflussen können.

Anbieter und Forschende können zusätzlich zu CVSS-Scores weitere Skalen verwenden. Beispielsweise verwendet Red Hat Product Security eine 4-Punkte-Schweregradskala, mit der Nutzende Sicherheitsprobleme bewerten können. Diese Einstufungen sind:

  • Kritisch: Schwachstellen, die leicht von einem nicht autorisierten Remote-Angreifer ausgenutzt werden und zur Kompromittierung des Systems führen können, ohne dass Nutzerinteraktion erforderlich ist. 
  • Wichtig: Schwachstellen, die leicht die Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen kompromittieren können.
  • Moderat: Schwachstellen, die zwar nicht so leicht ausgenutzt werden können, jedoch trotzdem unter bestimmten Umständen zu einer Kompromittierung der Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen führen können.
  • Niedrig: Andere Probleme, die Auswirkungen auf die Sicherheit haben. Bei dieser Art von Fehler/Mangel sind unwahrscheinliche Umstände erforderlich, damit sie ausgenutzt werden können, oder eine eventuelle Ausnutzung hätte nur minimale Folgen.

Was ist risikobasiertes Schwachstellenmanagement (RBVM)?

Mit einer zunehmenden Anzahl an Schwachstellen und immer mehr Menschen und Ressourcen, die für die Sicherheit verantwortlich sind, ist es wichtiger denn je, diese Aufgaben optimal zu priorisieren. Die Verwendung umfassender und ungenauer Risikodaten als Teil eines Programms für das Schwachstellenmanagement kann zu einer Über- oder Unterpriorisierung bestimmter Schwachstellen führen. Dadurch steigt das Risiko, dass ein kritischer Fehler zu lange nicht behoben wird.

Risikobasiertes Schwachstellenmanagement (RBVM) ist ein neuer Ansatz, der darauf abzielt, Maßnahmen basierend auf dem unternehmensspezifischen Bedrohungsrisiko zu priorisieren. RBVM berücksichtigt stakeholderspezifische Schwachstellendaten, darunter Threat Intelligence, die Wahrscheinlichkeit einer Ausnutzung und die Bedeutung der betroffenen Assets für das Unternehmen. Dabei können KI- und ML-Funktionen verwendet werden, um genauere Risikobewertungen zu entwickeln. Das Ziel von RBVM besteht außerdem darin, Schwachstellen in Echtzeit und mit automatisierten, kontinuierlichen Schwachstellenscans zu überwachen.

Was ist der Unterschied zwischen einer Schwachstellenbewertung und Schwachstellenmanagement?

Eine Schwachstellenbewertung ist eine Untersuchung der Sicherheitsmaßnahmen eines IT-Systems, um Sicherheitsdefizite zu identifizieren. Sie beinhaltet unter anderem das Sammeln von Daten über das System und seine Ressourcen, eine Überprüfung auf bekannte Schwachstellen und das Erstellen von Berichten, in denen die Ergebnisse nach Risiko klassifiziert und Verbesserungsmethoden identifiziert werden. Eine Schwachstellenbewertung ist eine Art interne Prüfung und ein Scan der gesamten Infrastruktur mit dem Ziel, Sicherheitsprobleme aufzudecken. Obwohl sie als regelmäßiger Prozess geplant werden kann, ist eine Schwachstellenbewertung im Grunde ein einzelnes Event mit einem Endergebnis, bei dem es sich um einen Bericht handelt, der eine Momentaufnahme darstellt.

Im Gegensatz dazu ist das Schwachstellenmanagement ein fortlaufender und automatisierter Prozess, der kontinuierlich durchgeführt wird. Die Funktionen des Schwachstellenmanagements sind fortlaufend, überschneiden sich und werden kontinuierlich ausgeführt. Dadurch kann schnell und frühzeitig auf kritische Schwachstellen reagiert werden, wodurch die Sicherheit verbessert wird.

Wie Red Hat helfen kann

Als führender Anbieter von Open Source-Software steht bei Red Hat Transparenz und Verantwortlichkeit für Kunden und Communities im Vordergrund. Red Hat veröffentlicht regelmäßig Informationen zu Schwachstellen und wurde 2022 zur Root-Organisation innerhalb des CVE-Programms.

Mehr über den Ansatz von Red Hat zum Schwachstellenmanagement erfahren

Außerdem bietet Red Hat Organisationen mehr Sicherheit bei der Entwicklung, Bereitstellung und Ausführung cloudnativer Anwendungen. Erfahren Sie, wie Sie mit Red Hat Advanced Cluster Security for Kubernetes Schwachstellen besser erkennen und verwalten können.

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Verwandte Artikel

Ressourcen

E-Book

Vereinfachen Sie Ihr Security Operations Center

Red Hat Blog

Finden Sie mehr zum Thema Sicherheit im Red Hat Blog

Video

Sicherheit und Compliance mit Red Hat: Die Arbeit ist nie getan

Mehr erfahren

WHITEPAPER

Ein mehrschichtiger Sicherheitsansatz für Container und Kubernetes

E-BOOK

State of Kubernetes Security Report 2023

Mehr Sicherheit, bessere Compliance

ÜBERSICHT

Wie Sie eine umfassende DevSecOps-Lösung bereitstellen

Verbesserung der Cyber-Compliance mit Infrastrukturautomatisierung

CHECKLISTE

Wichtige Aspekte der IT-Modernisierung: Sicherheit und Compliance

Sechs Methoden zur Optimierung Ihrer IT-Umgebung

DATENBLATT

Red Hat Insights: Prädiktive Analysen für Red Hat Enterprise Linux