Kritischer-Pfad Assessment

Schwachstellen in der IT

Die IT-Services sind Grundlage für die meisten Geschäftsprozesse und damit ein essentielles und schützendes Gut. Schwachstellen bedrohen die Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) von IT-Diensten und sollten deshalb ständig beobachtet werden.

Je größer und komplexer eine Infrastruktur ist, desto höher ist auch der Aufwand für das Schwachstellen-Management. Deshalb werden häufig automatisierte Dienste eingesetzt, die Systeme in regelmäßigen Abständen auf Schwachstellen untersuchen.

Schwachstellen-Priorität

Letztlich ist aber nicht entscheidend, wie viele Schwachstellen gefunden werden, sondern welche Schwachstellen welche Auswirkungen haben. Es geht darum, die Schwachstellen nach Relevanz zu priorisieren, gerade dann, wenn in einem Assessment mehrere Sicherheitslücken identifiziert werden.

Den logischen Grundriss verstehen

Um eine Schwachstelle auf Ihre Auswirkungen hin zu untersuchen, ist es notwendig, den Grundriss der IT-Landschaft zu verstehen und nicht nur die Schwachstelle selbst.

Die Auswirkungen von einer Schwachstelle können in zwei unterschiedlichen Infrastruktur-Konzepten völlig unterschiedlich ausfallen.

Fragen wie Datenablage, Datenströme, Nutzerkreis sowie Kapselung von IT-Systemen und -Diensten haben Auswirkungen auf die Priorität der identifizierten Schwachstellen.

Kritischer-Pfad Assessment

Eine Alternative dazu, alle Schwachstellen gemäß ihrer Relevanz aufwändig zu priorisieren, kann im ersten Schritt das kritischer-Pfad Assessment sein, in dem die relevantesten Kommunikationswege auf IT-Systeme untersucht werden. Ziel dieser Betrachtung ist es, nicht alle Schwachstellen zu finden, sondern die, die unmittelbar Teil der Kommunikation sind, bevor im nächsten Schritt ein tiefergreifendes Schwachstellen-Management etabliert wird. Ein Vorteil dieser Vorgehensweise ist der Zeitfaktor. Wenn Schwachstellen bekannt geworden sind, bedeutet dies auch, dass Angreifer diese ggfs. vorher bereits ausgenutzt haben. Die aktuellen Common Vulnerability Informationen zu überprüfen, ist daher sinnvoll, aber ggfs. nicht ausreichend.

Beim kritischen-Pfad Assessment wird die Infrastruktur oder ein Infrastruktur-Teil in ein CAD-Modell überführt und dieser digitale Zwilling einer Angriffssimulation unterzogen. Vom positionierten Angreifer, beispielsweise einem Angreifer aus dem Internet, hin zu den wichtigen IT-Services, werden alle bekannten Wege der Infrastruktur im Modell beschrieben und in der Simulation auf Schwachstellen überprüft. Dabei wird das aktuelle Sicherheitskonzept in Relation zu möglichen Angriffen aus dem Internet abgeglichen und so strukturelle Schwächen und Defizite aufgedeckt.

Ergebnis des Assessments ist zum einen eine Einschätzung, wie widerstandsfähig der jeweilige IT-Dienst ist und zum anderen, welche potentiellen Bedrohungen die Informationssicherheit gefährden.

Ergebnis können dabei auch Schwachstellen sein, für die es noch keine Common Vulnerability Information gibt. Aus den erarbeiteten Informationen werden dann priorisierte Maßnahmen abgeleitet, die mittels Sicherheitsmesswert time to compromise verglichen werden. Vor Umsetzung der empfohlenen Maßnahmen ist deshalb klar, welchen Sicherheitsgewinn die identifizierten Maßnahmen bringen, sodass die Umsetzung – auch aus finanzieller Hinsicht – abgewogen werden kann.

Infrastrukturdaten mit einbeziehen

Liegen bereits Informationen aus gängigen Schwachstellen-Scannern vor, besteht die Möglichkeit, diese Detail-Informationen aus Fremdsystemen mit in die Modellierung aufzunehmen, um ein noch detaillierteres Bild der Gesamtlage zu erfassen.

Ist ein Schwachstellen-Scan geplant, ist es jedoch sinnvoll, die Modellierung im Vorfeld durchzuführen, da sie Aufschluss darauf gibt, an welchen Stellen der Infrastruktur eine detaillierte Betrachtung mittels Schwachstellen-Scan sinnvoll ist.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Menü