1 Einführung

Schwachstellenmanagement

In der IT-Sicherheit bildet das Zusammentreffen von drei Grundelementen die Angriffsfläche einer IT-Infrastruktur.

  1. Cyber-Kriminelle mit ausreichend Erfahrung, Ausrüstung und Geld, um den Angriff auszuführen.
  2. Zugriff auf die IT-Infrastruktur.
  3. Schwachstellen in IT-Systemen, verursacht durch Fehler in den Anwendungen und Betriebssystemen oder inkorrekte Konfigurationen.

Falls diese drei Elemente zusammentreffen, ist ein erfolgreicher Angriff auf die IT-Infrastruktur wahrscheinlich. Das dritte Element kann beeinflusst werden, da 999 von 1.000 erfolgreich ausgenutzten Schwachstellen seit mehr als einem Jahr bekannt sind.

Das Schwachstellenmanagement ist ein Kernelement der modernen IT-Compliance. Die IT-Compliance beschreibt die Einhaltung gesetzlicher, unternehmensweiter und vertraglicher Regeln und Vereinbarungen bezüglich der IT-Infrastruktur. Sie betrifft hauptsächlich die Sicherheit, Verfügbarkeit, Speicherung und Vertraulichkeit von Informationen. Unternehmen und Behörden müssen in diesem Bereich viele gesetzliche Pflichten erfüllen.

Die Kontrolle und Verbesserung der IT-Sicherheit ist ein kontinuierlicher Prozess, welcher mindestens aus den folgenden Schritten besteht:

  • Feststellen des aktuellen Zustands
  • Verbessern des momentanen Zustands
  • Überprüfen der ergriffenen Maßnahmen

Greenbone Enterprise Appliance

Die Greenbone Enterprise Appliance ist eine als Hardware- oder als virtuelles Modell verfügbare Appliance für das Schwachstellenmanagement von IT-Infrastrukturen.

Sie unterstützt Unternehmen und Behörden beim automatisierten und integrierten Bewerten und Managen von Schwachstellen. Ihre Aufgabe ist es, Schwachstellen und Sicherheitslücken zu entdecken, bevor dies potenzielle Cyber-Kriminelle tun.

Die Greenbone Enterprise Appliance besteht aus dem Greenbone Operating System (GOS), auf dem der Greenbone Enterprise Feed installiert ist, einem Scandienst, der Web-Oberfläche und, im Falle der Hardware-Appliances, aus einer speziellen Hardware.

Der Scandienst nutzt über 100.000 Schwachstellentests (engl. vulnerability tests, VTs), um auf dem zu testenden Netzwerk das Vorhandensein von Sicherheitslücken zu erkennen. Die gefundenen Schwachstellen werden nach ihrem Schweregrad bewertet, was das Setzen von Prioritäten beim Beseitigen der Schwachstellen ermöglicht.

Die Greenbone Enterprise Appliance ist flexibel einsetzbar und kann für spezielle Audits und Trainings sowie für kleine und mittlere Betriebe bis hin zu großen Unternehmen verwendet werden. Durch die Master-Sensor-Technologie ist die Greenbone Enterprise Appliance auch in Hochsicherheitszonen einsetzbar.

Die Greenbone Enterprise Appliance erreicht dies durch unterschiedliche Sichtweisen von Cyber-Kriminellen:

Extern
Die Appliance kann einen externen Angriff simulieren, um veraltete oder falsch konfigurierte Firewalls zu entdecken.
Demilitarisierte Zone (DMZ)
Die Appliance identifiziert tatsächliche Schwachstellen, welche von Cyber-Kriminellen, die die Firewall überwunden haben, ausgenutzt werden können.
Intern
Die Appliance ist zusätzlich in der Lage, Schwachstellen, die ausgenutzt werden können (z. B. durch Social Engineering oder Computerwürmer), zu entdecken. Aufgrund der möglichen Auswirkungen solcher Attacken ist diese Perspektive für die Sicherheit von IT-Infrastrukturen besonders wichtig.

Für DMZ und interne Scans kann zwischen authentifizierten und nicht-authentifizierten Scans unterschieden werden. Wenn ein authentifizierter Scan durchgeführt wird, nutzt die Appliance Anmeldedaten und kann Schwachstellen in Anwendungen, die nicht als Dienst laufen, aber ein hohes Risiko mit sich bringen, entdecken. Dies beinhaltet Webbrowser, Office-Anwendungen und PDF-Viewer. Für die Vor- und Nachteile von authentifizierten Scans siehe Kapitel 10.3.1.

Aufgrund dessen, dass jeden Tag neue Schwachstellen entdeckt werden, sind regelmäßige Systemupdates und -tests nötig. Der Greenbone Enterprise Feed stellt sicher, dass die Appliance immer mit den neuesten Tests versorgt ist und die neuesten Schwachstellen zuverlässig feststellen kann. Greenbone analysiert CVE-Nachrichten und -Sicherheitsmitteilungen 1 von Anbietern und entwickelt täglich neue Schwachstellentests.

Wenn ein Schwachstellenscan mit der Greenbone Enterprise Appliance durchgeführt wird, erhalten die zuständigen Fachleute eine Liste aller Schwachstellen, die auf dem Zielsystem identifiziert wurden. Für die Auswahl der Beseitigungsmaßnahmen wird eine Priorisierung benötigt. Die wichtigsten Maßnahmen sind die, die das System gegen kritische Risiken schützen und die entsprechenden Sicherheitslücken eliminieren.

Die Greenbone Enterprise Appliance nutzt das Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard für die Klassifizierung und Bewertung von Schwachstellen. Es unterstützt bei der Prioritätensetzung von Beseitigungsmaßnahmen.

Grundsätzlich gibt es zwei Möglichkeiten zum Behandeln von Schwachstellen:

  • Eliminieren der Schwachstelle durch Updaten der Software, Entfernen der fehlerhaften Komponente oder Verändern der Konfiguration.

  • Implementieren einer Regel in einer Firewall oder einem Intrusion-Prevention-Systeme (Virtual Patching).

    Virtual Patching ist die scheinbare Eliminierung einer Schwachstelle durch eine ausgleichende Maßnahme. Die wirkliche Schwachstelle existiert weiterhin und Cyber-Kriminelle können die Schwachstelle ausnutzen, falls die Maßnahme versagt oder ein alternativer Ansatz genutzt wird.

Eine tatsächliche Korrektur oder ein Update der betroffenen Software ist dem Virtual Patching immer vorzuziehen.

Die Greenbone Enterprise Appliance unterstützt auch das Prüfen implementierter Beseitigungsmaßnahmen. Mit seiner Hilfe können zuständige Fachleute den aktuellen Status der IT-Sicherheit dokumentieren, Änderungen erkennen und diese Änderungen in Berichten erfassen.

Fußnoten

[1]Das Common Vulnerability and Exposures (CVE) Projekt ist ein herstellerunabhängiges Forum für die Identifikation und Veröffentlichung neuer Schwachstellen.