Cybersecurity: Warum Patches nicht das ultimative Ziel sind

Wenn es um Cybersicherheit geht, erscheint das Patchen von Schwachstellen oft wie der Heilige Gral. Wenn die CVEs (Common Vulnerabilities and Exposures, häufige Schwachstellen und Risiken in Computersystemen) gepatcht sind, ist man sicher, oder? Nun, nicht ganz. Leider ist Patchen nicht so einfach – oder so effektiv – wie Unternehmen glauben. Angesichts begrenzter Ressourcen, Geschäftsunterbrechungen und der Menge an Schwachstellen kann sich das Ziel, selbst kritische und schwerwiegende Funde zu 100 Prozent zu patchen, wie die Suche der Stecknadel im Heuhaufen anfühlen.

Es gibt einige Hindernisse beim Patchen von Schwachstellen, die Unternehmen beachten sollten: 

Umfang der Schwachstellen: Die Zahl der gemeldeten Sicherheitslücken steigt jedes Jahr sprunghaft an. Die National Vulnerability Database (NVD) katalogisiert jährlich Zehntausende von neuen Sicherheitslücken. Wie soll man entscheiden, was gepatcht werden soll, wenn jeder Scanner eine Flut von kritischen Warnungen erzeugt?

Bedenken hinsichtlich der Geschäftskontinuität: Die Anwendung von Patches bedeutet oft Ausfallzeiten, Tests und das Risiko, dass wichtige Systeme nicht mehr funktionieren.

Eingeschränkte Ressourcen: Ob Budget, Personal oder Tools – die Ressourcen von Cybersicherheitsteams sind knapp bemessen. Ein begrenztes Team kann nicht alles patchen, ohne andere wichtige Aufgaben wie die Reaktion auf Vorfälle, Schulungen zur Sensibilisierung der Benutzer oder die Suche nach Bedrohungen zu vernachlässigen.

100%iges Patching sollte nicht das Ziel sein

Beim herkömmlichen Schwachstellenmanagement werden oft alle Schwachstellen als gleich dringend behandelt, was zu Patching-Müdigkeit führt.

„100%iges Patching sollte nicht das Ziel sein,“ erklärt Andy Grolnick, CEO vom SIEM-Security-Anbieter Graylog. „Die Realität sieht so aus: Jede Schwachstelle zu patchen ist nicht nur unpraktisch, sondern auch unnötig. Bei der Sicherheit geht es nicht um Perfektion, sondern um die Festlegung von Prioritäten. Es ist besser, sich auf die Schwachstellen zu konzentrieren, die für die Risikolage Ihres Unternehmens wirklich wichtig sind. Nicht alle Schwachstellen stellen ein echtes Risiko dar und erfordern möglicherweise keine sofortigen Maßnahmen. Wenn sich Sicherheitsteams zu sehr auf Schwachstellen mit geringem Risiko konzentrieren, bleiben Risiken mit hoher Auswirkung zu lange unbeachtet. Angreifer wollen an die für sie wertvollen Unternehmensressourcen. Vor allem da sollte dann auch die Priorität beim Patching im Unternehmen liegen.“

Der Laufzeitkontext ist wichtiger

Statische Schwachstellenbewertungen sagen Unternehmen, was schief gehen könnte, aber der Laufzeitkontext zeigt, was tatsächlich passiert. Dies ist der Schlüssel zur Unterscheidung zwischen theoretischen Risiken und aktiven Bedrohungen.

Traditionelles Schwachstellenmanagement ist wie der Blick auf eine statische Karte – Sicherheitsteams sehen das Gelände, aber nicht die Bewegung. Es ist wichtig, einen Schritt weiterzugehen, indem die Laufzeitaktivität mit einbezogen wird.

„Hier kommt ein anlagenbasierter Risikoansatz ins Spiel. Mit unserer SIEM/TDIR Plattform ermitteln wir eine Risikobewertung, die auf realen Aktivitäten und Schwachstellendaten basiert. Dabei helfen wir Fragen zu beantworten wie: Wird die anfällige Anlage aktiv angegriffen? Kommuniziert es mit bekannten bösartigen IPs? Finden auf dem System ungewöhnliche Prozesse oder Verhaltensweisen statt? Dieser Echtzeit-Einblick hilft Unternehmen, die Schwachstellen zu priorisieren, die Angreifer tatsächlich ausnutzen,“ geht Grolnick ins Detail.

Das Patchen von Schwachstellen befasst sich mit dem, was passieren könnte, aber viel wichtiger ist es zu erkennen, was gerade passiert. Durch die Korrelation von Protokolldaten, Bedrohungsdaten und dem Verhalten von Anlagen werden Indikatoren für eine Gefährdung (IOCs) und Taktiken, Techniken und Verfahren (TTPs) aufgedeckt, die auf aktive Bedrohungen hinweisen.

Echte Erkennung von Kompromittierungen

Die im Unternehmen eingesetzte IT-Sicherheit sollte sich nicht nur auf potenzielle Risiken, sondern auch auf tatsächliche Kompromittierungen konzentrieren. Es braucht Werkzeuge, die helfen, Vorfälle zu identifizieren und darauf zu reagieren, die die Grenze zwischen theoretischen und realen Angriffen überschritten haben. Damit verlieren Sicherheitsteams weniger Zeit mit der Suche nach Patches mit geringer Priorität und gewinnen mehr Zeit für die Bekämpfung aktiver Bedrohungen.

Patches sind zwar wichtig, aber nicht die ultimative Lösung zur Sicherung der Unternehmensumgebung. In der Cybersicherheit kann das Perfekte nicht der Feind des Guten sein. Die Jagd nach 100 %igen Patches ist so, als würde man alle Fenster im Haus verschließen, während der Einbrecher durch die Vordertür einsteigt. Unternehmen sollten sich stattdessen darauf konzentrieren, ihre Umgebung zu verstehen, Schwachstellen mit hoher Auswirkung zu priorisieren und echte Gefährdungen zu erkennen. Mit einem anlagenbezogenen Risikoansatz erhalten sie den notwendigen Kontext, um schnell und effektiv einen echten Angriff erkennen und direkt darauf reagieren zu können.

---

Bild/Quelle: https://depositphotos.com/de/home.html