Ausgabe November 2019 | 25. November 2019 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
David Häntzschel
, Alle Beiträge anzeigen von
Christian Müller
| 121 Besucher

Schwachstellenmanagement – darum ist es für Ihr Unternehmen wichtig!



Zur Aufrechterhaltung der unternehmensweiten IT-Sicherheit sollte neben der Durchführung von Mitarbeiterschulungen und Penetration-Tests eine Strategie entwickelt werden, mit welcher sich über alle Unternehmensgeräte hinweg ein Überblick über mögliche Schwachstellen und dem einhergehenden Risiko verschaffen lässt. Aufgrund der hohen Anzahl an Geräten, welche mittlerweile Teil des Unternehmensnetzwerks sind, kommt man um den Einsatz unterstützender Systeme meist jedoch nicht umhin.

Da ein signifikanter Teil erfolgreicher Angriffe auf das Ausnutzen von bekannten Schwachstellen in veralteter Software zurückzuführen ist, wäre die Inventarisierung der installierten Anwendungen mit der optionalen Möglichkeit diese auf die aktuelle Version zu heben, ein integraler Bestandteil eines kontinuierlichen Schwachstellenmanagements. Bezugnehmend auf die Erfassung potenzieller Sicherheitslücken dient die inventarisierte Software häufig als Grundlage für den Abgleich mit entsprechenden Datenbanken, in welchen bekanntgewordene Schwachstellen mit einem zugeordneten Risiko gepflegt werden. Das Risiko ist dabei abhängig von dem zugrundeliegenden Bewertungsstandard, wird in der Praxis aber meist anhand des Common Vulnerability Scoring Systems (kurz: CVSS) bewertet und ist technisch orientiert. Zur endgültigen Risikobewertung müssen normalerweise unternehmensspezifische Anforderungen und das angestrebte Sicherheitsniveau mit betrachtet werden.

Da das zentrale Aktualisieren von Clientsoftware im Normalfall den administrativen Login auf den Endgeräten voraussetzt, wird dieser weiterhin dazu genutzt, etwaige unsichere Konfigurationen zu erkennen, indem umfangreiche Registry-Checks durchgeführt oder Windowseinstellungen geprüft werden. Durch die Hinzunahme von Handlungsempfehlungen inkl. detaillierter Informationen ergibt sich in Summe ein sehr guter Überblick über das bestehende Gefahrenpotenzial einzelner Systeme und gibt den Sicherheitsverantwortlichen die nötigen Informationen an die Hand, um entsprechende Gegenmaßnahmen zu planen und umzusetzen.

Die bisherigen Methoden, welche zur Identifikation von potenziellen Sicherheitslücken genutzt werden, sind eher passiver Natur und werden als zusätzliche Module zu verschiedenen Software-Verteilungslösungen (z.B. Baramundi) angeboten. Dabei steht die unternehmensweite Installation und Pflege der Software im Vordergrund, wobei sich primär auf windowsbasierte Systeme fokussiert wird. Für die kontinuierliche und umfängliche Überprüfung aller Geräte bedarf es allerdings einer weiterführenden Lösung, welche sich letztlich auf die Erkennung und Identifikation von Schwachstellen spezialisiert hat. Diese Vulnerability Scanner aus dem Enterprise-Segment vereinen die bisher genannten passiven Methoden mit aktiven. Darunter zählen neben klassischen Portscans auch spezialisierte Module zur Überprüfung von Webapplikationen sowie von üblichen Datenbank-Servern, wie MS-SQL, Oracle oder MySQL.

Durch die zyklische Systemüberprüfung und die Möglichkeit der quantitativen Erfassung von technischen Schwachstellen samt den damit verbundenen Risiken lässt sich darüber hinaus eine gute Messbarkeit der IT-Sicherheit erreichen. Dies spielt u.a. für unterschiedliche Compliance-Anforderungen eine zunehmend wichtigere Rolle. So verlangen Regelungen wie ISO 27001, B3S, TISAX und PCI ein explizites Schwachstellenmanagement, teilweise mit Vorgaben zur Beseitigung von Schwachstellen in einem Zeitraum von 30 Tagen. So ermöglicht beispielsweise die Enterprise-Lösung „Nexpose“ von Rapid 7 auch die Erstellung von regelmäßigen Reports, in welchen diverse Sicherheitsstandards mit den gefundenen Schwachstellen abgeglichen werden. Dies vereinfacht die Einhaltung von Compliance-Forderungen erheblich.

Abbildung 1: Auszug Nexpose Reports

Die Integration in SIEM-Systeme, wie z.B. Splunk, bietet eine vereinfachte Auswertung der gefundenen Schwachstellen und ermöglicht eine Analyse von potenziellen Sicherheitsvorfällen. Aus der Sicht der Compliance ermöglicht die Integration in externe Systeme eine Vielzahl an weiterführenden Auswertungsmöglichkeiten. Es können u.a. KPIs definiert werden, welche dazu dienen, die IT-Sicherheit zu quantifizieren und die Sichtbarkeit zu erhöhen. So wären zum Beispiel Kennzahlen denkbar, wie die durchschnittliche Zeit zur Behebung kritischer Schwachstellen. Diese könnten anschließend in den zyklischen Verbesserungsprozess des ISMS mit eingebunden werden. Auch die Erfassung der Anzahl von Schwachstellen pro Produkt oder Hersteller könnte während des Anschaffungsprozesses von Systemen eine sinnvolle Ergänzung sein.

Abbildung 2: Beispieldashboard zur Auswertung der gefundenen Schwachstellen

Unabhängig von der jeweiligen technischen Lösung sollte man letztlich einen Prozess zur kontinuierlichen Erfassung und Bewertung von potenziellen Schwachstellen etablieren, welcher dem eigenen Sicherheitsbedürfnis entspricht. Dabei sollten vor allem bei größeren Änderungen in der eigenen IT-Landschaft Risiken neu bewertet werden und neu implementierte Systeme auf potenzielle Schwachstellen hin geprüft werden.

Sie wollen mehr über ein kontinuierliches Schwachstellenmanagement erfahren?
Kontaktieren Sie uns!

 

David Häntzschel
Autor:
David Häntzschel | Systemengineer Network & Security
Website:
Christian Müller
Autor:
Christian Müller | Technology Consultant
Website:
Bildquelle/Copyright: © hywards — shutterstock.com

Bitte bewerten Sie diesen Beitrag

Es wird kein Zusammenhang zwischen Ihrer Bewertung und Ihrer E-Mail-Adresse hergestellt, falls Sie unseren Newsletter erhalten haben.

SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Ausbau der Geschäftsstelle Dresden

In den vergangenen Jahren ist SHD kontinuierlich und organisch auf nun inzwischen über 140 Mitarbeiter gewachsen. Besonders in den letzten drei Jahren konnten wir zahlreiche neue Kollegen begrüßen. Auch für das letzte Quartal 2019 und das kommende Jahr sind weitere Einstellungen – ...

98 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

CheckPoint-Auszeichnung in Tel Aviv: „Rising Star of the Year“

Unser Kollege Wolfgang Becher, Senior System Engineer bei SHD, wurde für seine hervorragende Arbeit in der Check-Point Community in Tel Aviv ausgezeichnet! Anfang November fand die feierliche Auszeichnung im Hauptquartier von CheckPoint in Tel Aviv statt. Vor Ort gab es viele spannende ...

63 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

KI von heute für das ITSM von morgen

SHD hat auf Basis der CMDB von i-doit ein Add-on für die Vereinfachung von Inventarisierung, IT-Services und Netzwerkmanagement vorgestellt. Das Modul soll Bilderkennung auf dem Smartphone und eine zentrale KI für die treffsichere Erkennung von Items und deren Verknüpfungen verbinden. ...

88 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Unser Angebot: Managed Security Services

Im IT-Markt hat sich mittlerweile der Begriff Managed Security verbreitet. Darunter ist das Handling und Managen von Services, Dienstleistungen oder Produkten zum Thema IT-Security zu verstehen. Dabei geht die Bandbreite des Verständnisses allerdings weit auseinander. SHD sieht hier ...

70 Besucher