1 Einführung

1.1 Schwachstellenmanagement

In der IT-Sicherheit beeinflusst die Kombination von drei Elementen die Angriffsfläche einer IT-Infrastruktur:

  • Cyber-Kriminelle mit ausreichend Erfahrung, Ausrüstung und Geld, um den Angriff auszuführen.

  • Zugriff auf die IT-Infrastruktur.

  • Schwachstellen in IT-Systemen, verursacht durch Fehler in den Anwendungen und Betriebssystemen oder inkorrekte Konfigurationen.

Falls diese drei Elemente zusammentreffen, ist ein erfolgreicher Angriff auf die IT-Infrastruktur wahrscheinlich.

Da die meisten Schwachstellen bekannt sind und behoben werden können, kann die Angriffsfläche durch Schwachstellenmanagement aktiv beeinflusst werden. Beim Schwachstellenmanagement wird die IT-Infrastruktur von außen betrachtet – genauso wie es potenzielle Cyber-Kriminelle tun würden. Das Ziel ist es, jede Schwachstelle zu finden, die in der IT-Infrastruktur vorhanden sein könnte.

Schwachstellenmanagement identifiziert Schwachstellen in der IT-Infrastruktur, bewertet deren Risikopotenzial und empfiehlt konkrete Maßnahmen zur Behebung. Auf diese Weise können Angriffe durch gezielte Vorsorgemaßnahmen verhindert werden. Dieser Prozess – vom Erkennen über die Behebung bis hin zur Überwachung – wird kontinuierlich durchgeführt.

_images/vm_steps-de.png

Abb. 1.1 Prozess des Schwachstellenmanagements

1.2 Greenbone Cloud Service

Der Greenbone Cloud Service bietet einen einfach nutzbaren, hochwertigen Dienst für das Schwachstellenmanagement. Er prüft die IT-Infrastruktur auf Sicherheitslücken und liefern einen Bericht, der alle gefundenen Schwachstellen sortiert nach Schweregrad enthält.

Dazu bieten der Greenbone Cloud Service die Möglichkeit, den Bedarf an zu scannenden IP-Adressen ganz individuell festzulegen. Kommerzielle und öffentliche Einrichtungen jeder Größe können den Greenbone Cloud Service selbstständig nutzen, um sich mit ihren besonderen Sicherheitsanforderungen zu befassen.

Benutzer loggen sich mit ihren Zugangsdaten ein und haben die Möglichkeit ortsunabhängig mit dem Greenbone Cloud Service zu arbeiten. Dabei können sowohl öffentliche IP-Dienste (WWW-Server, E-Mail-Server, etc.) als auch interne Netzwerke gescannt werden. Die Pakete sind als Abonnements strukturiert und können auf monatlicher Basis gekündigt oder bearbeitet werden.

Der Greenbone Cloud Service erreicht dies durch unterschiedliche Sichtweisen von Angreifenden:

Extern

Der Greenbone Cloud Service kann einen externen Angriff simulieren, um veraltete oder falsch konfigurierte Firewalls zu entdecken.

Demilitarisierte Zone (DMZ)

Der Greenbone Cloud Service identifiziert tatsächliche Schwachstellen, welche von Angreifenden, die die Firewall überwunden haben, ausgenutzt werden können.

Intern

Der Greenbone Cloud Service ist zusätzlich in der Lage, Schwachstellen, die ausgenutzt werden können (z. B. durch Social Engineering oder Computerwürmer), zu entdecken. Aufgrund der möglichen Auswirkungen solcher Attacken ist diese Perspektive für die Sicherheit von IT-Infrastrukturen besonders wichtig.

Informationen zum Scannen von Webanwendungen

Der Schwachstellen-Scanner des Greenbone Cloud Service scannt Hosts, die durch einen Domainnamen oder eine IP-Adresse angegeben werden. Eine Website-URL besteht jedoch aus mehr Teilen als nur einem Domainnamen oder einer IP-Adresse. Da der Scanner die anderen Teile einer URL nicht verarbeitet, kann er die Struktur einer Website nicht automatisch analysieren und testen. Es handelt sich daher nicht um einen Web Application Security Scanner (WASS) oder einen HTTP-Scanner.

Wenn jedoch ein Host gescannt wird, auf dem eine Webanwendung läuft, und wenn sowohl eine bekannte Schwachstelle vorhanden als auch ein geeigneter Schwachstellentest dafür im Feed enthalten ist, kann der Greenbone Cloud Service die Schwachstelle möglicherweise trotzdem erkennen.

Für DMZ und interne Scans kann zwischen authentifizierten und nicht-authentifizierten Scans unterschieden werden. Wenn ein authentifizierter Scan durchgeführt wird, nutzt der Greenbone Cloud Service Anmeldedaten und kann Schwachstellen in Anwendungen, die nicht als Dienst laufen, aber ein hohes Risiko mit sich bringen, entdecken. Dies beinhaltet Webbrowser, Office-Anwendungen und PDF-Viewer. Für die Vor- und Nachteile von authentifizierten Scans siehe Kapitel 6.3.1.

Aufgrund dessen, dass jeden Tag neue Schwachstellen entdeckt werden, sind regelmäßige Systemupdates und -tests nötig. Der Greenbone Enterprise Feed stellt sicher, dass der Greenbone Cloud Service immer mit den neuesten Tests versorgt ist und die neuesten Schwachstellen zuverlässig feststellen kann. Greenbone analysiert CVE-Nachrichten und -Sicherheitsmitteilungen [1] von Anbietern und entwickelt täglich neue Schwachstellentests.

Wenn ein Schwachstellenscan mit dem Greenbone Cloud Service durchgeführt wird, erhalten die zuständigen Fachleute eine Liste aller Schwachstellen, die auf dem Zielsystem identifiziert wurden. Für die Auswahl der Beseitigungsmaßnahmen wird eine Priorisierung benötigt. Die wichtigsten Maßnahmen sind die, die das System gegen kritische Risiken schützen und die entsprechenden Sicherheitslücken eliminieren.

Der Greenbone Cloud Service nutzt das Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard für die Klassifizierung und Bewertung von Schwachstellen. Es unterstützt bei der Prioritätensetzung von Beseitigungsmaßnahmen.

Grundsätzlich gibt es zwei Möglichkeiten zum Behandeln von Schwachstellen:

  • Eliminieren der Schwachstelle durch Updaten der Software, Entfernen der fehlerhaften Komponente oder Verändern der Konfiguration.

  • Implementieren einer Regel in einer Firewall oder einem Intrusion-Prevention-Systeme (Virtual Patching).

    Virtual Patching ist die scheinbare Eliminierung einer Schwachstelle durch eine ausgleichende Maßnahme. Die wirkliche Schwachstelle existiert weiterhin und Angreifende können die Schwachstelle ausnutzen, falls die Maßnahme versagt oder ein alternativer Ansatz genutzt wird.

Eine tatsächliche Korrektur oder ein Update der betroffenen Software ist dem Virtual Patching immer vorzuziehen.

Der Greenbone Cloud Service unterstützt auch das Prüfen implementierter Beseitigungsmaßnahmen. Mit seiner Hilfe können zuständige Fachleute den aktuellen Status der IT-Sicherheit dokumentieren, Änderungen erkennen und diese Änderungen in Berichten erfassen.

Fußnoten