Fast jede Bank hat Probleme mit dem Management von Schwachstellen – auch meine. Wir hatten viele Sicherheitslücken und standen vor der Herausforderung, herauszufinden, welche wir zuerst beheben sollten. Nach der Zusammenarbeit mit dem IBM® X-Force® Red Team erfahrener Hacker haben wir eine deutlich bessere Kontrolle über unser Schwachstellenmanagement erreicht und erfreuen uns weiterhin an kontinuierlichen Verbesserungen sowohl bei den Verfahren als auch bei den Ergebnissen.
Unser Team war mit einer riesigen Anzahl von Sicherheitslücken überfordert, darunter ein Rückstand an kritischen Sicherheitslücken, die nicht schnell genug beseitigt werden konnten. Zu den Problemen gehörte, dass wir nicht in der Lage waren, aggregierte Trenddaten effektiv in umsetzbare Informationen für die für die Sanierung zuständigen Personen zu destillieren.
Das Team von X-Force Red stürzte sich auf unsere zahlreichen Probleme. Vier Monate nach Beginn des Programms konnten wir eine 60-prozentige Reduzierung der kritischen Schwachstellen und eine fast 45-prozentige Reduzierung der gesamten Schwachstellen feststellen.
Finanzdienstleister werden 300 Mal häufiger Opfer von Cybersecurity-Angriffen als Unternehmen in anderen Branchen. Deshalb hat unser Unternehmen in ein Programm zum Management von Schwachstellen investiert und diesem Priorität eingeräumt.
Wir hatten einen Rückstau von wichtigen und kritischen Sicherheitslücken. Das schiere Volumen machte die Berichterstellung, Priorisierung und Verfolgung der Probleme zu einer echten Herausforderung. Uns fehlte einfach eine auf Unternehmen abgestimmte Lösung für das Schwachstellenmanagement.
Wir hatten eine ineffektive Lösung mit komplexen Tabellenkalkulationen, die eine große Anzahl von Schwachstellen aus mehreren Systemen und Scannern extrahierten – was dazu führte, dass sowohl das Schwachstellenmanagement-Team als auch andere Teams, die für Patches zuständig waren, nicht in der Lage waren, die komplizierten Berichte zu dekonstruieren und die Daten zu analysieren. Die Berichte enthielten eine Gesamtzahl von Schwachstellen und einen formelbasierten Schlüsselrisikoindikator, aber wir brauchten einen Einblick, wie diese Kennzahl berechnet wurde und welche Schwachstellen sich auf bestimmte Systeme auswirkten.
Wir fühlten uns paralysiert. Anhand der Ergebnisse unserer Schwachstellen-Scanner konnten wir sehen, wie viele Schwachstellen wir hatten, aber wir konnten die Daten nicht zuverlässig mit bestimmten Systemen und Besitzern in Verbindung bringen. Ohne effektive Berichte wussten die Systemadministratoren nicht, wo sie mit dem Patchen beginnen sollten, und das Schwachstellen-Team konnte keine nützlichen Hinweise geben.
Der Stress belastete unser Team. Die Daten waren so undurchsichtig, dass wir das Gefühl hatten, die Kontrolle zu verlieren. Jeden Monat erstatteten wir der Geschäftsleitung Bericht und hofften, dass die Zahl der Schwachstellen sinken würde, aber wir wussten, dass wir das Ergebnis nicht kontrollieren konnten. Wir fühlten uns hilflos.
Außerdem hat sich unser damaliger Anbieter nicht um die aufkommenden Bedenken gekümmert und die Probleme mit seinem Berichtsmodell nicht angepackt, die uns daran gehindert haben, Fortschritte zu machen. Wir mussten unser Programm zur Verwaltung von Sicherheitslücken überarbeiten und den Anbieter wechseln.
Wir suchten nach einem Service, der über das Fachwissen, die Tools und die Intelligenz verfügt, um uns dabei zu helfen, den Rückstau an Sicherheitslücken zu schließen, insbesondere die kritischen. Die Entscheidung für X-Force Red Vulnerability Management Services im November 2018 erwies sich schnell als nutzbringend. Das Team von X-Force Red, bestehend aus erfahrenen Hackern, analysierte sofort die verschiedenen Technologiebereiche und Geschäftsfelder unseres Unternehmens. Sie überarbeiteten das Datenmodell, behoben erhebliche Probleme mit der Datenqualität und führten eine Automatisierung ein, die sie bis heute weiter verbessern.
Während wir früher jede einzelne Schwachstelle manuell überprüft und versucht haben, aus den Millionen von Schwachstellen die potenziell gefährlichsten herauszufinden, half uns die automatisierte Ranking-Formel von X-Force Red, die kritischsten Schwachstellen effizienter und effektiver zu priorisieren.
Das Team von X-Force Red hat die Formel transparent gemacht, sodass wir genau wussten, wie der Algorithmus funktioniert. Mit seiner Hacker-Mentalität hat X-Force Red die Schwachstellen danach eingestuft, ob Kriminelle sie als Waffe einsetzen und welchen Wert die gefährdeten Assets haben. Die automatische Priorisierung dauerte nur Minuten im Vergleich zu Tagen mit unseren früheren manuellen Methoden. Dank dieser schnellen Reaktion konnten wir Schwachstellen sofort beheben, um Angriffe zu verhindern, und meine Teammitglieder konnten sich auf andere Aufgaben konzentrieren.
Mit Hilfe von X-Force Red war mein Team in der Lage, Schwachstellen den richtigen Verantwortlichen für die Behebung zuzuordnen, aber auch die Leistung dieser Verantwortlichen im Laufe der Zeit leichter zu messen. Unsere neu entdeckte Fähigkeit, die Systemverantwortlichen zu unterstützen und sie zur Verantwortung zu ziehen, hat große Fortschritte gebracht. Die X-Force Red Vulnerability Management Services ermöglichen eine schnelle Anpassung unseres Berichtsprozesses. Wir verstehen jetzt Daten, die wir vorher jahrelang nicht entziffern konnten, und können diese Daten in einem bestimmten Format oder als Ausschnitt anfordern, und das alles dank der Vulnerability Management Services von X-Force Red.
Die Zahlen sprechen für sich. Nur vier Monate nach Beginn unserer Partnerschaft mit X-Force Red konnten wir eine 60-prozentige Reduzierung der kritischsten Schwachstellen und eine 44-prozentige Reduzierung der gesamten Schwachstellen verzeichnen.
Wir implementieren jetzt die Komponente zur Erleichterung der Behebung von Schwachstellen der Vulnerability Management Services von X-Force Red, um unsere schwerwiegendsten Probleme in überschaubaren Stapeln an die Systemadministrationsteams weiterzuleiten, die für deren Behebung zuständig sind.
Zusätzlich zu den Aspekten der Berichterstellung und Nachverfolgung des Schwachstellenmanagements hat das X-Force Red-Team auch die Verantwortung für die Verbesserung unserer Scan-Infrastruktur übernommen. Wir sind in der Lage, die Umgebung fast doppelt so schnell zu scannen, da wir redundante Scans eliminiert und Probleme bei der Scannerkonfiguration behoben haben.
Unser Team ist optimistisch, was die Fortsetzung unserer Partnerschaft mit X-Force Red und den bedeutenden Einfluss seiner Vulnerability Management Services auf unsere zukünftige Sicherheit angeht. Ich bin außerordentlich glücklich – es kommt nicht oft vor, dass ein Partner die Erwartungen übertrifft, aber in diesem Fall hat X-Force Red das absolut geschafft.
Rechtshinweise
© Copyright IBM Corporation 2019. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, September 2019.
IBM, das IBM Logo, ibm.com und X-Force sind Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright and trademark information“ unter https://ibm.com/legal/copyright-trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.