Bob

Chief Security Architect, RSA

Mit Cyber-Schwachstellen fertig werden

Unter den vielen Verantwortlichkeiten von IT-Abteilungen gehört das Management von Cyber-Schwachstellen zu den schwierigsten. Die Erfahrung mit der Heartbleed-Schwachstelle erforderte beispielsweise die Beurteilung des Umfangs und der möglichen Auswirkungen von nur einer Schwachstelle auf jede Anwendung und Umgebung. Dabei wurde möglicherweise OpenSSL verwendet, um die Kommunikation zu schützen. Und so stellen wir uns immer wieder die Frage: Wie hofft eine Organisation solche Schwachstellen zu verstehen und effektiv zu verwalten, denn diese schwächen die Glieder der Cyber-Sicherheitskette ab?

Zwei Erkenntnisse wurden bei der Analyse dieser Frage im Rahmen des SPARKS Projekts als Empfehlung zum Risikomanagement gewonnen: Erstens, müssen Schwachstellen innerhalb des gesamten Risikomanagement-Prozesses für die Organisation verstanden und verwaltet werden. Um die Schwachstellen zu verwalten, sollte daher zuerst das Missbrauchpotenzial der Schwachstelle verstanden werden; gleichzeitig sollten das Interesse über Angriffe bezüglich dieses Missbrauchpotenzials sowie die Auswirkungen, die ein solcher Angriff haben könnte, aufgefasst werden. Liegen diese Informationen vor, kann eine Organisation die notwendigen Entscheidungen über die Behebung der Schwachstellen an allen betroffenen Stellen im Unternehmen priorisieren. Parallel dazu werden Aufgaben mit den zahlreichen konkurrierenden und ergänzenden Sicherheitsmaßnahmen, die die Organisation vornehmen muss, vereinbart.

Die zweite Erkenntnis ist das Schwachstellen-Management. Wie das Risikomanagement im Allgemeinen muss das Schwachstellen-Management als Prozess und nicht als Technologie verstanden werden. Sicherlich ist die Technologie wichtig für das Schwachstellen-Management, sowohl um die Schwachstelle selbst zu erkennen als auch um den Prozess zu automatisieren. Aber wie bei der Reaktion auf Cyber-Angriffe bestimmt der Prozess und nicht die Technologie, wie effektiv Ihr Schwachstellen-Management sein wird.

Auf dem RSA Archer GRC 2014 Summit am 3. November in London erfahren Sie mehr über den effektiven Schwachstellen-Management-Prozess. Wir freuen uns, Ihnen darüber mehr zu berichten.