Forrester Unified Vulnerability Management (UVM) – Was es bedeutet und warum es wichtig ist

13. Mai 2025

Forrester hat kürzlich seinen neuen Marktleitfaden für Unified Vulnerability Management (UVM) veröffentlicht, und wir freuen uns, dass XM Cyber in diesem neuen Bericht erwähnt wird.

Bevor wir jedoch darauf eingehen, was dies für uns bedeutet, müssen wir zunächst diese neue Kategorie von UVM erläutern. UVM-Lösungen erleichtern es Unternehmen, taktische Berichte zu erstellen, indem sie gängige Methoden wie CVSS, EPSS und den KEV-Katalog der CISA zur Priorisierung von Problemen verwenden. Diese Lösungen helfen auch dabei, die Fortschritte bei der Behebung von Schwachstellen zu verwalten und zu verfolgen, während gleichzeitig alles organisiert bleibt und der Fokus auf die anstehenden Aufgaben gerichtet ist.

Laut Forrester ist UVM „eine Lösung, die als primäre Aufzeichnungsquelle für alle Schwachstellen im Unternehmen dient und die Workflows zur Behebung von Schwachstellen verbessert und vereinfacht“. Unternehmen nutzen UVM-Lösungen, um Schwachstellen aus verschiedenen Quellen zu aggregieren, um „die Reaktion auf Schwachstellen zu koordinieren und zu verbessern und den Status der Behebung zu verfolgen“.

An dieser Stelle könnte man meinen, dass dies sehr nach Schwachstellenmanagement klingt. Das liegt daran, dass es sich im Wesentlichen um eine Weiterentwicklung des Schwachstellenmanagements handelt. Forrester hat den Marktbegriff „Vulnerability Risk Management“ (VRM) in „Unified Vulnerability Management“ (UVM) geändert, da das Unternehmen davon ausgeht, dass die risikobasierten Ansätze von VRM-Lösungen durch eine hybride Kombination aus Expositionsmanagement und kontinuierlichen Sicherheitstests ersetzt werden.

Obwohl diese neueren Märkte echte Vorteile bieten, sind sie derzeit noch nicht so weit verbreitet und möglicherweise weniger effektiv bei der Verbesserung der Schwachstellenbehebung und -reaktion. Stattdessen konzentrieren sie sich in erster Linie auf zwei der drei Prinzipien der proaktiven Sicherheit: Transparenz und Priorisierung.

Was treibt diesen Trend zu einem einheitlichen Ansatz voran?

Die Veränderungen zielen darauf ab, die Herausforderungen isolierter Sicherheitslösungen in Bezug auf Visualisierung, Priorisierung und Behebung zu bewältigen. Mit den Worten von Forrester: „Das Schwachstellenmanagement ist für eine proaktive Sicherheit unerlässlich, aber die heutigen proaktiven Sicherheitsstrategien umfassen mehr als nur das Schwachstellenmanagement.“ Forrester hat außerdem einen deutlichen Anstieg der Kunden festgestellt, die verstehen möchten, wie ihr Angriffsflächenmanagement, ihr Expositionsmanagement und ihre kontinuierlichen Sicherheitstests in ihrer proaktiven Sicherheitsstrategie eine Rolle spielen.

Die Bedeutung eines einheitlichen Schwachstellenmanagements

Ein effektives Programm zum Schwachstellen-Patch-Management ist als Teil einer kontinuierlichen proaktiven Sicherheitsstrategie unerlässlich, um spezifische Schwachstellen in der Angriffsfläche eines Unternehmens zu beheben. Dies wird sowohl durch Compliance-Vorschriften als auch durch die Abhängigkeit von Unternehmen von ihren digitalen Diensten vorangetrieben. Obwohl CVEs nicht die einzigen Schwachstellen in einer Angriffsfläche sind, beeinflussen sie aufgrund ihrer ständig wachsenden Zahl und der vielfältigen Erkennungstechniken, mit denen sie entdeckt werden können, weiterhin die Art und Weise, wie IT-Teams ihre Zeit und ihre Anstrengungen konzentrieren. Der typische Fehler bei diesem Ansatz besteht darin, wie mit der überwältigenden Anzahl kritischer Probleme umgegangen wird, die diese Tools melden. Daher ist ein neuer Ansatz zur Vereinheitlichung und Priorisierung erforderlich, der im Forrester-Bericht diskutiert wird.

Aus Gesprächen mit Unternehmen auf der ganzen Welt über den Erfolg ihrer Schwachstellenmanagementprogramme geht hervor, dass die Absicht ihres Programms nicht immer mit dem angestrebten Ergebnis übereinstimmt. Selbst wenn mehrere Erkennungstools gekauft werden und die Absicht besteht, eine weitaus bessere Transparenz als bisher zu erreichen, führt dies zu noch längeren Listen kritischer Schwachstellen, die behoben werden müssen, wobei immer die gleiche Maßnahme vorgeschlagen wird, nämlich das Aufspielen eines Patches auf das System, was keine einfache Aufgabe ist.

Die UVM-Landschaft verdeutlicht die dringend notwendige Weiterentwicklung dieser Tools und der von ihnen unterstützten Schwachstellenmanagementprogramme. Anschließend werden sowohl die primären als auch die erweiterten Anwendungsfälle für UVM hervorgehoben und erläutert, wie dies zur Rationalisierung der Schwachstellenmanagementprozesse eines Unternehmens und zur Verbesserung der allgemeinen Sicherheitslage beitragen kann, was wiederum zu einer höheren Effizienz, einem besseren Risikomanagement und einer verbesserten Zusammenarbeit zwischen Sicherheits- und IT-Teams führen sollte.

Unterschiedliche Ansätze für ein einheitliches Schwachstellenmanagement

Die in dem Bericht hervorgehobenen primären Anwendungsfälle beziehen sich auf die Fähigkeit, Schwachstellen über die gesamte Angriffsfläche hinweg zu priorisieren, darauf zu reagieren und darüber zu berichten. Aus diesem Grund und aufgrund einiger erweiterter Funktionen wurde XM Cyber in diesem Bericht ausgezeichnet.

Neben unserer Continuous Exposure Management Platform umfasst die Forrester-Landschaft auch eine Vielzahl weiterer Anbieterlösungen, die jeweils unterschiedliche Ansätze zur Bewältigung derselben Herausforderung verfolgen und sich auf verschiedene erweiterte Anwendungsfälle konzentrieren, die auf den drei primären Anwendungsfällen aufbauen.

Meine Interpretation dieser verschiedenen Anbieterfunktionen, die in der Landschaft enthalten sind, lässt sich in drei unterschiedliche Ansätze einteilen: Aggregation, Integration und Vernetzung.

Aggregation ist ein Ansatz, der von Cyber Asset Attack Surface Management (CAASM)-Tools verfolgt wird, die in der Regel keine nativen Erkennungsfunktionen bieten, sondern vollständig auf die Erfassung von Schwachstellendaten aus anderen Drittquellen angewiesen sind. Sie nutzen die Deduplizierung von CVEs nach Assets mit Normalisierung der Bewertung zur Priorisierung und leisten hervorragende Arbeit bei der Zentralisierung der CVE-Berichterstattung, sodass Sie alle Ihre Schwachstellen in einer einzigen Liste sehen.

Dieser Aggregationsansatz kann eine recht gute Amortisationszeit bieten und ist zwar einfach einzurichten, ersetzt jedoch nicht die zugrunde liegenden Tools und Datenquellen. Außerdem werden mit diesem Ansatz keine neuen Erkenntnisse gewonnen. Sie sehen nur die Daten, die Sie bereits aus anderen Tools kennen, die lediglich übersichtlich sortiert sind und theoretisch eine einzige Quelle der Wahrheit darstellen. Das Ziel besteht darin, zusätzliche Transparenz und Awareness zu schaffen, aber das Ergebnis ist nur so gut wie die Summe seiner Teile, was auch bedeutet, dass Sie doppelt bezahlen, um dieselben Informationen zu erhalten!

Der nächste Ansatz ist ein integrierter Ansatz. Dieser ähnelt der Aggregation, sammelt jedoch in der Regel Schwachstellendaten aus mehreren Komponenten der eigenen Lösungen und Tools des Anbieters. Dies ist in der Regel der Ansatz für Anbieter, die viele andere Unternehmen und Technologien übernommen haben und die verschiedenen Sensortypen und Erkennungsmethoden unter einer einzigen einheitlichen Lizenz oder Verwaltungsschnittstelle zusammenführen.

Diese Lösungen bieten alle ihre eigenen Erkennungsfunktionen und finden, wenn sie vollständig in einer Umgebung eingesetzt werden, alle Schwachstellen, nach denen Sie suchen. Sie verwenden zusätzliche Kontextinformationen zu den Assets und Geräten, mit denen die CVEs verknüpft sind, um ihre Risikobewertungen zu beeinflussen und anzupassen. Wenn beispielsweise die CVE auf einem Datenbankserver entdeckt wird oder wenn ein anfälliger Laptop vom CISO verwendet wird, erhält sie in der Regel eine höhere Kritikalitätsgewichtung als eine Standard-Workstation.

Da dieser integrierte Ansatz die gesamte Erkennung selbst übernimmt, bietet er Kostenvorteile durch den Wegfall anderer unterschiedlicher Tools, kann jedoch in der Praxis immer noch umständlich zu implementieren, zu betreiben und zu verwalten sein. Ihre Priorisierungslogik kann auch etwas fehlerhaft sein, da sie das Risiko oft nur als eigenständigen Wert für jedes Asset messen, was zwar zum Verständnis der Wahrscheinlichkeit einer Kompromittierung dieses einzelnen Assets beitragen kann, aber keine Informationen über laterale Bewegungen oder den potenziellen Ausbreitungsradius oder die Auswirkungen auf das Geschäft liefert, wenn die Schwachstelle tatsächlich ausgenutzt wird.

Dies bringt uns zum dritten Ansatz, der der Herangehensweise von XM Cyber an die UVM-Herausforderung am nächsten kommt: der vernetzte Ansatz. Ich betrachte dies gerne als einen bedrohungsorientierten Ansatz für das Schwachstellenmanagement, aber vorerst fasse ich ihn als vernetzt zusammen, da er auf der Priorisierungslogik des integrierten Ansatzes aufbaut, aber das Bewusstsein für das Risiko der Vernetzung von lateralen Bewegungen über verschiedene Schwachstellen desselben Assets hinweg mit einbezieht. Dies wird mithilfe von Angriffspfadmodellierung und realen Angriffstechniken korreliert, die verwendet werden könnten, um das Asset zu kompromittieren und sich lateral in Richtung Ihrer geschäftskritischen Systeme zu bewegen.

Dieser Ansatz umfasst die von Forrester hervorgehobenen erweiterten Anwendungsfälle für die Anreicherung von Schwachstellen, das Management von Angriffsflächen und Risiken, die Quantifizierung von Cyberrisiken sowie die Reaktion auf Notfälle oder Schwachstellen bei Prominenten. Die Anreicherung erfolgt durch die Korrelation von Bedrohungsinformationen, die Risikobewertung erfolgt durch XM Attack Graph Analysis(™), die sowohl die Komplexität einer bestimmten Angriffstechnik als auch den Prozentsatz der kritischen Assets berücksichtigt, die durch jede Schwachstelle oder jedes anfällige Gerät gefährdet sind, um eine ganzheitlichere und flexiblere Logik für die Priorisierung zu erhalten.

Das Forschungsteam von XM Cyber ist auch stolz auf seine Reaktionszeit bei neu bekannt gewordenen CVEs von Prominenten und arbeitet daran, das XM Attack Arsenal mit neuen Techniken zu aktualisieren, um die Ausnutzbarkeit dieser Notfall-CVEs innerhalb einer 72-Stunden-SLA zu validieren.

UVM ist ein bewegliches Ziel!

In Bezug auf die Marktreife erklärt Forrester weiter, dass UVM eine Weiterentwicklung der bisherigen VRM-Landschaft ist, jedoch nicht den Endzustand proaktiver Sicherheit darstellt. In verwandten Berichten und Blogs, wie „Die drei Prinzipien proaktiver Sicherheit“ und „Stärkung der proaktiven Sicherheit durch kontinuierliche Sicherheitstests“, wird deutlich, dass UVM nur ein Schritt auf dem Weg zu einer neuen Zukunftsmethodik und neuen Technologiekategorien im Bereich Sicherheit ist, die einen effektiveren Ansatz für proaktive Sicherheit und Expositionsmanagement vorantreiben werden.

XM Cyber bedankt sich für die Anerkennung im UVM Landscape Report von Forrester. Wir wissen, dass die Zukunft der Cybersicherheit in diesem Ansatz liegt. Unternehmen müssen Technologie, Mitarbeiter und Prozesse in einer einheitlichen Strategie kombinieren, um durch kontinuierliche Erkennung von Schwachstellen und eine Priorisierungslogik, die die Vernetzungsrisiken aller Schwachstellentypen berücksichtigt, Angriffe mit hoher Auswirkung zu verhindern. Dies hilft ihnen, die Effizienz ihrer Abhilfemaßnahmen zu steigern, indem sie Engpässe identifizieren und umfassende Abhilfemaßnahmenleitfäden nutzen, die Flexibilität bei der effektiven Behebung von Schwachstellen bieten und das Vertrauen der Führungskräfte durch detaillierte Berichte über Cyberrisiken und die Sicherheitslage stärken.

---

Weitere Informationen:

CTEM Section

Continuous Exposure Management

XM Cyber deckt auf, wie Angreifer Ihre Umgebung ausnutzen können – vollautomatisch. Unsere Lösung visualisiert sämtliche Angriffspfade zu kritischen Ressourcen in einem Diagramm. So können Sie sich auf die 2 % der Fixes konzentrieren, mit denen sich die wirklich relevanten Angriffspfade durchkreuzen lassen – und vergeuden keine Zeit mehr mit Maßnahmen, die sich nicht auf Ihr Risiko auswirken.

XM Cyber bei LinkedIn