1. Einführung

Das Schwachstellenmanagement ist ein Kernelement der modernen IT-Compliance. Die IT-Compliance beschreibt die Einhaltung gesetzlicher, unternehmensweiter und vertraglicher Regeln und Vereinbarungen bezüglich der IT-Infrastruktur. Sie betrifft hauptsächlich die Sicherheit, Verfügbarkeit, Speicherung und Vertraulichkeit von Informationen. Unternehmen und Behörden müssen in diesem Bereich viele gesetzliche Pflichten erfüllen.

Die Kontrolle und Verbesserung der IT-Sicherheit ist ein kontinuierlicher Prozess, welcher mindestens aus den folgenden Schritten besteht:

  • Feststellen des aktuellen Zustands
  • Verbessern des momentanen Zustands
  • Überprüfen der ergriffenen Maßnahmen

Der Greenbone Security Manager (GSM) unterstützt Unternehmen und Behörden beim automatisierten und integrierten Bewerten und Managen von Schwachstellen. Seine Aufgabe ist es, Schwachstellen und Sicherheitslücken zu entdecken, bevor dies ein potentieller Angreifer tut.

Der GSM erreicht dies durch unterschiedliche Sichtweisen eines Angreifers:

Extern
Der GSM greift das Network von außen an, um veraltete oder falsch konfigurierte Firewalls zu entdecken.
Demilitarisierte Zone (DMZ)
Der GSM identifiziert tatsächliche Schwachstellen, welche von Angreifern, die die Firewall überwunden haben, ausgenutzt werden können.
Intern
Der GSM ist zusätzlich in der Lage, Schwachstellen, die ausgenutzt werden können (z. B. durch Social Engineering oder Computerwürmer), zu entdecken. Aufgrund der möglichen Auswirkungen solcher Attacken ist diese Perspektive für die Sicherheit von IT-Infrastrukturen besonders wichtig.

Für DMZ und interne Scans kann zwischen authentifizierten und nicht-authentifizierten Scans unterschieden werden. Wenn ein authentifizierter Scan durchgeführt wird, nutzt der GSM Anmeldedaten und kann Schwachstellen in Anwendungen, die nicht als Dienst laufen, aber ein hohes Risiko mit sich bringen, entdecken. Dies beinhaltet Webbrowser, Office-Anwendungen und PDF-Viewer. Für die Vor- und Nachteile von authentifizierten Scans siehe Kapitel 10.3.1.

Aufgrund dessen, dass jeden Tag neue Schwachstellen entdeckt werden, sind regelmäßige Systemupdates und -tests nötig. Der Greenbone Security Feed stellt sicher, dass der GSM immer mit den neusten Prüfroutinen versorgt ist und die neusten Schwachstellen zuverlässig feststellen kann. Greenbone Networks analysiert CVE-Nachrichten und -Sicherheitsmitteilungen 1 von Anbietern und entwickelt täglich neue Schwachstellentests.

Wenn ein Schwachstellenscan mit dem GSM durchgeführt wird, erhalten die zuständigen Mitarbeiter eine Liste aller Schwachstellen, die im Zielsystem identifiziert wurden. Für die Auswahl der Beseitigungsmaßnahmen wird eine Priorisierung benötigt. Die wichtigsten Maßnahmen sind die, die das System gegen kritische Risiken schützen und die entsprechenden Sicherheitslücken eliminieren.

Der GSM nutzt das Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard für die Klassifizierung und Bewertung von Schwachstellen. Es unterstützt bei der Prioritätensetzung von Beseitigungsmaßnahmen.

Grundsätzlich gibt es zwei Möglichkeiten zum Behandeln von Schwachstellen:

  • Eliminieren der Schwachstelle durch Updaten der Software, Entfernen der fehlerhaften Komponente oder Verändern der Konfiguration.

  • Implementieren einer Regel in einer Firewall oder einem Intrusion-Prevention-Systeme (Virtual Patching).

    Virtual Patching ist die scheinbare Eliminierung einer Schwachstelle durch eine ausgleichende Maßnahme. Die wirkliche Schwachstelle existiert weiterhin und ein Angreifer kann die Schwachstelle ausnutzen, falls die Maßnahme versagt oder ein alternativer Ansatz genutzt wird.

Eine tatsächliche Korrektur oder ein Update der betroffenen Software ist dem Virtual Patching immer vorzuziehen.

Der GSM unterstützt auch das Prüfen implementierter Beseitigungsmaßnahmen. Mit seiner Hilfe können zuständige Mitarbeiter den aktuellen Status der IT-Sicherheit dokumentieren, Änderungen erkennen und diese Änderungen in Berichten erfassen.

Fußnoten

[1]Das Common Vulnerability and Exposures (CVE) Projekt ist ein herstellerunabhängiges Forum für die Identifikation und Veröffentlichung neuer Schwachstellen.