Unternehmen werden angegriffen. Es ist keine Frage des ob, sondern nur und ausschließlich des wann! Je nach Studie sind nicht gepatchte Schwachstellen für ein Drittel bis mehr als die Hälfte aller Cybersicherheitsvorfälle verantwortlich. Schwachstellen zu beheben gehört zur unternehmerischen Verantwortung. Wer es nicht tut, handelt grob fahrlässig. Aber Vorsicht: auch beim Patchen kann man einiges falsch machen.
1.) Automatisieren
Schwachstellenmamagementplattformen wie Runecast helfen, Lücken in der eigenen Landschaft zu finden. Die Plattformen testen die Umgebung kontinuierlich und berücksichtigen HCLs, Best Practices, Schwachstellendatenbanken wie die von MITRE 🌐 oder dem NIST 🌐 und Compliance-Vorgaben wie HIPAA, BSI Grundschutz 🌐 (PDF), u. ä.
Der große Vorteil dieser Plattformen ist die automatisierte Aktualisierung im Hintergrund. So werden immer die neuesten Informationen berücksichtigt. Unternehmen können sich drauf verlassen, dass auch die Implementierung sauber läuft.
2.) Priorisieren
Ein weiterer Vorteil von Automatisierung ist die Priorisierung und Bewertung von Schwachstellen. Anhand eines Common Vulnerability Scoring System (CVSS) werden Schwachstellen in verschiedene Schweregrade eingestuft. Das hilft bei der Bewertung, was am dringendsten behoben werden muss.
Plattformen wie Runecast 🌐 liefern zudem gleich Tipps zum Beheben einer Schwachstelle. Das können auch Workarounds sein. Die sind hilfreich, wenn es noch keine Patches vom Hersteller gibt oder man selbst nicht sofort patchen kann oder will.
Zusätzlich können noch Systeme eingesetzt werden, die automatisiert prüfen, ob die eigene Systemlandschaft überhaupt betroffen ist. So etwas bietet z. B. Pentera 🌐.
Prinzipiell muss nur behoben oder aktualisiert werden, was auch wirklich benutzt wird und/oder tatsächlich angreifbar ist.
3.) Validieren
Patches und Updates sollten prinzipiell ausschließlich aus vertrauenswürdigen Quellen akzeptiert werden. Im Idealfall also nur direkt vom Hersteller und mit einer gültigen Signatur.
4.) Testen
Patches sollten nie direkt aus dem Internet installiert werden. Wir empfehlen, jeden Patch (und jedes Update/Upgrade) erst in einer Sandbox zu testen, bevor sie in der Produktivumgebung ausgerollt werden.
5.) Zero Trust
Schwachstellen werden nicht immer gleich entdeckt oder behoben. Vor Angriffen auf noch unbekannte Schwachstellen (Zero Days) schützt nur Zero Trust. Das ist kein einzelnes Werkzeug, sondern eine mehrschichtige Sicherheitsstrategie. Dazu gehören Verhaltensanalysen der Netzwerkobjekte z. B. mit Network Detection & Response (NDR) wie Sycope sie anbietet, echte Next Generation Firewalls wie die von Lancom, Mehrfaktorauthentifizierung (MFA) – und natürlich gesunder Menschenverstand!