Wie lässt sich die Leistung von Schwachstellenmanagement messen?
In jedem Unternehmen gibt es geschäftskritische Aktivitäten. Sicherheitskontrollen sollen sie schützen und sicherstellen, dass der Geschäftsbetrieb und die strategischen Ziele auf Dauer aufrechterhalten werden. Ein Sicherheitskonzept nach dem Motto „Install and forget“ bietet wenig Gewähr für das Erreichen dieser Ziele. In einer sich ständig verändernden digitalen Landschaft kann eine Sicherheitslücke zu einem schwerwiegenden Datenverstoß führen. Ereignisse und Entwicklungen wie die Ausweitung von Privilegien, Server-Wildwuchs und Konfigurationsfehler häufen sich. Sicherheitsteams, die diese Ereignisse nicht ständig überwachen, entdecken sie nicht – Angreifer schon. Daher handelt es sich bei Cybersicherheits-Frameworks in der Regel um iterative Prozesse, die Überwachung, Audits und kontinuierliche Verbesserungen umfassen.
Sicherheitsverantwortliche sollten sich fragen: Was muss unser Unternehmen messen, um eine hohe Sicherheit zu erlangen und sie kontinuierlich zu verbessern? In diesem Artikel werden wir Ihnen eine Begründung für Key Performance Indicators (KPI) in der Cybersicherheit geben, die von Branchenführern wie dem NIST und dem SANS Institute dargelegt werden, und einen Kernsatz von KPIs für das Schwachstellenmanagement definieren. Die grundlegenden KPIs, die hier behandelt werden, können als Ausgangspunkt für Unternehmen dienen, die ein einfaches Schwachstellenmanagement-Programm einführen, während die fortschrittlicheren Maßnahmen Unternehmen, die bereits über ein ausgereiftes Schwachstellenmanagement verfügen, mehr Transparenz bieten.
Wie KPIs die Cybersicherheit unterstützen
Leistungskennzahlen (KPIs) werden durch das Sammeln und Analysieren relevanter Leistungsdaten generiert und werden hauptsächlich für zwei strategische Ziele verwendet. Das erste ist die Erleichterung evidenzbasierter Entscheidungsfindung. Beispielsweise können KPIs helfen, die Leistung von Programmen zum Schwachstellenmanagement zu bewerten, um das Gesamtniveau der Risikominderung zu beurteilen und zu entscheiden, ob mehr Ressourcen zugewiesen oder der Status quo akzeptiert werden soll. Das zweite strategische Kernziel, das KPIs unterstützen, ist die Rechenschaftspflicht für Sicherheitsaktivitäten. KPIs können helfen, die Ursachen für eine schlechte Leistung zu ermitteln und eine Frühwarnung über unzureichende oder schlecht implementierte Sicherheitskontrollen auszusenden. Mit einer angemessenen Überwachung der Leistung des Schwachstellenmanagements kann die Wirksamkeit bestehender Verfahren bewertet werden, sodass diese angepasst oder durch zusätzliche Kontrollen ergänzt werden können. Die bei der Erstellung von KPIs gesammelten Nachweise können auch dazu verwendet werden, die Einhaltung interner Richtlinien, verbindlicher oder freiwilliger Cybersicherheitsstandards oder geltender Gesetze und Vorschriften nachzuweisen, indem die Aktivitäten des Cybersicherheitsprogramms belegt werden.
Der Umfang der Messung von KPIs kann unternehmensweit sein oder sich auf Abteilungen oder Infrastrukturen konzentrieren, die für den Geschäftsbetrieb entscheidend sind. Dieser Umfang kann auch angepasst werden, wenn ein Cybersicherheitsprogramm ausgereift ist. In der Anfangsphase eines Schwachstellenmanagements stehen möglicherweise nur grundlegende Informationen zur Verfügung, aus denen KPI-Metriken erstellt werden können. Mit zunehmender Reife eines Programms wird die Datenerfassung jedoch robuster und ermöglicht komplexere KPI-Metriken. Fortgeschrittenere Maßnahmen können auch gerechtfertigt sein, um für Organisationen mit erhöhtem Risiko eine hohe Sichtbarkeit zu erreichen.
Arten von Cybersicherheitsmaßnahmen
NIST SP 800-55 V1 (und sein Vorgänger NIST SP 800-55 r2) konzentriert sich auf die Entwicklung und Erfassung von drei Arten von Maßnahmen:
- Implementierungsmaßnahmen: Diese messen die Umsetzung der Sicherheitsrichtlinien und den Fortschritt der Implementierung. Beispiele hierfür sind: die Gesamtzahl der gescannten Informationssysteme und der Prozentsatz der kritischen Systeme, die auf Schwachstellen gescannt wurden.
- Maßnahmen zur Effektivität/Effizienz: Diese messen die Ergebnisse von Sicherheitsaktivitäten und überwachen Prozesse auf Programm- und Systemebene. So lässt sich feststellen, ob die Sicherheitskontrollen korrekt implementiert sind, wie beabsichtigt funktionieren und zu den gewünschten Ergebnissen führen. Zum Beispiel der prozentuale Anteil aller identifizierten kritischen Schwachstellen, die in der gesamten betrieblich kritischen Infrastruktur entschärft wurden.
- Auswirkungsmessungen: Diese messen die geschäftlichen Auswirkungen von Sicherheitsaktivitäten wie Kosteneinsparungen, Kosten, die durch die Behebung von Sicherheitsschwachstellen entstehen, oder andere geschäftsbezogene Auswirkungen der Informationssicherheit.
Wichtige Leistungsindikatoren für das Schwachstellenmanagement
Da es beim Schwachstellenmanagement im Wesentlichen darum geht, bekannte Schwachstellen zu erkennen und zu beheben, sind KPIs, die Aufschluss über die Erkennung und Behebung bekannter Bedrohungen geben, am besten geeignet. Zusätzlich zu diesen beiden Schlüsselbereichen kann die Bewertung der Effektivität eines bestimmten Schwachstellenmanagement-Tools helfen, verschiedene Produkte zu vergleichen. Da dies die logischsten Möglichkeiten zur Bewertung von Schwachstellenmanagement-Aktivitäten sind, gruppiert unsere Liste die KPIs in diese drei Kategorien. Zu jedem Element wurden außerdem Tags hinzugefügt, die angeben, welchen in NIST SP 800-55 spezifizierten Zweck die Metrik erfüllt.
Die Liste ist zwar nicht vollständig, enthält jedoch einige wichtige KPIs für das Schwachstellenmanagement:
Leistungsmetriken für die Erkennung
- Scan-Abdeckung (Implementierung): Hier wird der prozentuale Anteil der gesamten Anlagen einer Organisation gemessen, die auf Schwachstellen gescannt werden. Die Scan-Abdeckung ist besonders in den frühen Phasen der Programmimplementierung wichtig, um Ziele festzulegen und die sich entwickelnde Reife des Programms zu messen. Der Scan-Abdeckungsgrad kann auch verwendet werden, um Lücken in der IT-Infrastruktur eines Unternehmens zu identifizieren, die nicht gescannt werden und somit ein erhöhtes Risiko darstellen.
- Mean Time to Detect (MTTD) (Effizienz): Damit wird die durchschnittliche Zeitspanne zwischen der ersten Veröffentlichung von Informationen und der Erkennung von Schwachstellen durch eine Sicherheitskontrolle gemessen. Die MTTD kann verbessert werden, indem die Häufigkeit der Aktualisierung der Module eines Schwachstellen-Scanners oder die Häufigkeit der Durchführung von Scans angepasst wird.
- Verhältnis der nicht identifizierten Schwachstellen (Wirksamkeit): Das Verhältnis zwischen den proaktiv durch Scans identifizierten Schwachstellen und den Schwachstellen, die durch Post-Mortem-Analysen von Sicherheitsverletzungen oder Vorfällen entdeckt wurden. Ein höheres Verhältnis deutet auf bessere proaktive Erkennungsfähigkeiten hin.
- Automatisierte Entdeckungsrate (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die durch automatisierte Tools im Vergleich zu manuellen Erkennungsmethoden identifiziert werden. Eine höhere Automatisierung kann zu einer konsistenteren und schnelleren Erkennung führen.
Metriken zur Behebungsleistung
- Mean Time to Remediate (MTTR; Effizienz): Damit wird die durchschnittliche Zeit gemessen, die für die Behebung von Schwachstellen nach deren Entdeckung benötigt wird. Durch die Verfolgung der Behebungszeiten können Unternehmen ihre Reaktionsfähigkeit auf Sicherheitsbedrohungen messen und das Risiko, das durch die Expositionszeit entsteht, bewerten. Eine kürzere MTTR deutet in der Regel auf einen agileren Sicherheitsbetrieb hin.
- Remediation Coverage (Wirksamkeit): Diese Kennzahl gibt den Anteil der entdeckten Schwachstellen an, die erfolgreich behoben wurden, und dient als wichtiger Indikator für die Wirksamkeit bei der Behebung erkannter Sicherheitsrisiken. Der Abdeckungsgrad bei der Behebung kann so angepasst werden, dass er speziell die Rate der Schließung kritischer oder schwerwiegender Sicherheitslücken widerspiegelt. Indem sich die Sicherheitsteams zuerst auf die gefährlichsten Schwachstellen konzentrieren, können sie das Risiko effektiver minimieren.
- Risikoscore-Reduktion (Auswirkung): Diese Kennzahl spiegelt die Gesamtauswirkungen der Schwachstellenmanagement-Aktivitäten auf das Risiko wider. Durch die Überwachung von Änderungen des Risikowertes lässt sich beurteilen, wie gut die Bedrohung durch exponierte Schwachstellen gehandhabt wird. Die Verringerung des Risiko-Scores wird in der Regel mit Hilfe von Risikobewertungs-Tools berechnet, die eine kontextbezogene Ansicht der einzigartigen IT-Infrastruktur und des Risikoprofils eines jeden Unternehmens bieten.
- Konformitätsrate (Auswirkung): Diese Kennzahl gibt den Prozentsatz der Systeme an, die bestimmte Cybersicherheitsvorschriften, Standards oder interne Richtlinien einhalten. Sie ist ein wichtiges Maß für die Beurteilung des Konformitätsstatus und liefert verschiedenen Interessengruppen einen Nachweis über diesen Status. Sie dient auch als Warnung, wenn die Compliance-Anforderungen nicht erfüllt werden, wodurch das Risiko von Strafen verringert und die in den Compliance-Vorgaben vorgesehene Sicherheitslage gewährleistet wird.
- Wiederöffnungsrate von Schwachstellen (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die wieder geöffnet werden, nachdem sie als behoben markiert wurden. Die Wiederöffnungsrate gibt Aufschluss über die Effizienz der Abhilfemaßnahmen. Im Idealfall wird für die Schwachstelle kein weiteres Ticket ausgestellt, sobald ein Problembehebungs-Ticket geschlossen wurde.
- Kosten der Behebung (Auswirkung): Diese Kennzahl misst die Gesamtkosten, die mit der Behebung erkannter Schwachstellen verbunden sind, und umfasst sowohl direkte als auch indirekte Ausgaben. Die Kostenanalyse kann Entscheidungen zur Budgetierung und Ressourcenzuweisung unterstützen, indem sie den Zeit- und Ressourcenaufwand für die Erkennung und Behebung von Schwachstellen erfasst.
Metriken zur Effektivität von Schwachstellenscannern
- True-Positive-Erkennungsrate (Wirksamkeit): Sie misst den Prozentsatz der Schwachstellen, die von einem bestimmten Tool genau erkannt werden können. Diese Rate zielt auf die effektive Abdeckung eines Schwachstellen-Scanning-Tools und ermöglicht den Vergleich zweier Schwachstellen-Scanning-Produkte anhand ihres relativen Werts.
- False-Positive-Erkennungsrate (Effektivität): Diese Metrik misst die Häufigkeit, mit der ein Tool fälschlicherweise nicht vorhandene Schwachstellen als vorhanden identifiziert. Dies kann zu einer Verschwendung von Ressourcen führen. Anhand dieser Rate kann die Zuverlässigkeit eines Schwachstellen-Scanning-Tools gemessen werden, um sicherzustellen, dass es mit den betrieblichen Anforderungen übereinstimmt.
Erkenntnisse
Durch die Erstellung und Analyse von Leistungsindikatoren (KPIs) können Unternehmen die grundlegenden Anforderungen an die Cybersicherheit für eine kontinuierliche Überwachung und Verbesserung erfüllen. KPIs unterstützen außerdem zentrale Geschäftsstrategien wie evidenzbasierte Entscheidungsfindung und Rechenschaftspflicht.
Mit quantitativen Einblicken in Schwachstellenmanagement-Prozesse können Unternehmen ihre Fortschritte besser einschätzen und ihre Cybersicherheitsrisiken genauer bewerten. Durch die Zusammenstellung geeigneter KPIs können Unternehmen den Reifegrad ihrer Schwachstellenmanagement-Aktivitäten nachverfolgen, Lücken in den Kontrollen, Richtlinien und Verfahren erkennen, die die Effektivität und Effizienz ihrer Schwachstellenbeseitigung einschränken, und die Übereinstimmung mit den internen Risikoanforderungen und den relevanten Sicherheitsstandards, Gesetzen und Vorschriften sicherstellen.
Referenzen
National Institute of Standards and Technology. Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures. NIST, January 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/ipd
National Institute of Standards and Technology. Performance Measurement Guide for Information Security, Revision 2. NIST, November 2022, https://csrc.nist.gov/pubs/sp/800/55/r2/iwd
National Institute of Standards and Technology. Assessing Security and Privacy Controls in Information Systems and Organizations Revision 5. NIST, January 2022, https://csrc.nist.gov/pubs/sp/800/53/a/r5/final
National Institute of Standards and Technology. Guide for Conducting Risk Assessments Revision 1. NIST, September 2012, https://csrc.nist.gov/pubs/sp/800/30/r1/final
National Institute of Standards and Technology. Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology Revision 4. NIST, April 2022, https://csrc.nist.gov/pubs/sp/800/40/r4/final
SANS Institute. A SANS 2021 Report: Making Visibility Definable and Measurable. SANS Institute, June 2021, https://www.sans.org/webcasts/2021-report-making-visibility-definable-measurable-119120/
SANS Institute. A Guide to Security Metrics. SANS Institute, June 2006, https://www.sans.org/white-papers/55/