computerwoche.de

Security

Sicherheitslecks haben System

07.07.2005
Von Gerhard Eschelbeck

Best Practices zum Schutz

Das Schwachstellen-Management umfasst die Identifizierung, Priorisierung und Behebung von Sicherheitslücken. Getreu dem Motto "Was man nicht messen kann, kann man auch nicht meistern" haben mittlerweile viele Unternehmen erfolgreich ein systematisches Schwachstellen-Management implementiert. Von den Trends, die in den "Gesetzen der Schwachstellen" aufgezeigt werden, lassen sich folgende Best Practices für das Schwachstellen-Management ableiten.

Klassifizierung: Unternehmen sollten sämtliche IT-Ressourcen identifizieren und kategorisieren. Dabei empfiehlt es sich, den jeweiligen Systemen abhängig von ihrer geschäftlichen Bedeutung unterschiedliche Prioritätsstufen zuzuweisen. Kritische Assets sollten alle fünf bis zehn Tage überprüft werden, damit Schwachstellen rechtzeitig ermittelt und Schutzmaßnahmen gegen Exploits getroffen werden können. Assets der unteren Kategorien können, entsprechend ihrer hierarchischen Priorität, weniger häufig gescannt werden, da man hier auch Patches in etwas größeren Zeitabständen einspielen wird.

Priorisierung: Unternehmen sollten ihre Abhilfemaßnahmen anhand der Asset-Klassifikation und der Schwere der Sicherheitslücken priorisieren. Mit dem vor kurzem vorgestellten Common Vulnerability Scoring System (CVSS) steht ein wirkungsvolles Instrument zur Verfügung, um Schwachstellen in einer Unternehmensumgebung die richtige Priorität zuzuweisen.

Integration: Um die Wirksamkeit verschiedener Sicherheitstechnologien wie Server- und Desktop-Erkennungssysteme, Patch-Management-Systeme und Upgrade-Dienste zu verbessern, muss deren Integration mit Schwachstellen-Management-Technologien gewährleistet sein. Außerdem sollte in einem Best-Practice-Unternehmen über die Fortschritte Bericht erstattet werden, die im Hinblick auf die gesteckten Ziele im Bereich Schwachstellen-Management gemacht werden, um so das Bewusstsein für die Sicherheitsproblematik in der Führungsetage zu erhöhen.

Messung: Unternehmen müssen ihre Netze anhand der Halbwertszeitskurve und Wirkungsdauerkurve von Schwachstellen bewerten. Mittels grafischer Darstellungen ist zu verfolgen, wie hoch der Prozentsatz von Schwachstellen ist, der jeweils innerhalb eines 30-tägigen Zyklus beseitigt werden kann, und wie viele Schwachstellen länger als 180 Tage bestehen bleiben. Übersichten über die Leistung des Security-Teams sollten erstellt werden, um zu gewährleisten, dass dessen Arbeit im Endergebnis tatsächlich zu einer Risikominderung führt, insbesondere bei den kritischen Ressourcen.