Täglich werden zahlreiche Sicherheitslücken öffentlich. Die eigene IT davor zu schützen, Lücken zu schließen und die Systeme auf dem aktuellen Stand zu halten ist Aufgabe des Schwachstellenmanagement. Wir stellen diesen wichtigen Teil einer IT-Sicherheitsstrategie genauer vor.
Der Inhalt im Überblick
Was ist ein Schwachstellenmanagement?
Beim Schwachstellenmanagement (Vulnerability Management) werden die IT-Systeme regelmäßig auf bekannte technische Schwachstellen untersucht. Dies kann manuell durchgeführt werden, ist jedoch besonders bei größeren IT-Umgebungen ein enormer Aufwand. Viele Hersteller bieten inzwischen Tools an um diese Aufgabe zu übernehmen. Mit dem Ergebnis solcher Schwachstellenscans kann dann geprüft werden, ob und welche Sicherheitslücken bei einem System vorliegen und entsprechend agiert werden.
Darüber hinaus kann ein Schwachstellenmanagement-Tool auch dazu genutzt werden das Netzwerk grundsätzlich nach IT-Geräten zu scannen, um möglicherweise unbekannte Geräte aufzudecken. Dies ist besonders bei Infrastrukturen interessant, die keinen Netzwerkzugriffsschutz implementiert haben, da dort eine erhöhte Gefahr besteht, dass unerwünschte Geräte mit dem Firmennetzwerk verbunden wurden.
PDCA-Zyklus
Die Implementierung und Praktizierung folgt wie viele andere Managementsysteme dem PDCA-Zyklus (Plan, Do, Check, Act).
- Plan
Zuerst wird geplant, welche Systeme einbezogen werden sollen. Dies kann z.B. durch die Festlegung bestimmter Netzwerksegmente oder IP-Adresse geschehen. Nachdem die Ziele definiert sind, geht es darum die Scans zu planen. Hierbei wird sowohl der zeitliche Ablauf festgelegt, als auch die Art der Scans. Eine einfache Einteilung kann hierbei durch „sichere“ und „unsichere“ Scans vorgenommen werden. Sichere Scans fügen dem zu testenden System keinen Schaden zu, während ein Unsicherer möglicherweise den Betrieb beeinflussen kann. - Do
Nachdem Ziele und Umfang des Scans definiert sind, wird dieser ausgeführt. Die Tests zur Ermittlung von Sicherheitslücken, die während des Scans ausgeführt werden, beruhen auf bekannten Schwachstellen, die u.a. in der Common Vulnerabilities and Exposures (CVE) Datenbank veröffentlich werden. Bei dem Scan wird nun untersucht, welche Software auf den Zielen installiert ist und ob es Schwachstellen in der Software oder deren Konfiguration gibt. - Check
Im Anschluss werden die Ergebnisse ausgewertet. Hierbei wird ein Vergleich vom erwarteten Zustand der Systeme zum Ermittelten durchgeführt und entsprechende Maßnahme zur Korrektur beschlossen. - Act
In den letzten Phasen werden die geplanten Korrekturen angewandt und geprüft, ob diese zu einer Verbesserung des Ergebnisses beigetragen haben. Dies kann im einfachsten Fall das Einspielen eines neuen Patches sein. Anschließen kehrt man in die Planungsphase zurück und beginnt von vorne.
Integration anderer IT-Systeme
Ein Schwachstellenmanagement kann mit anderen Systemen interagieren um die Effektivität zu steigern. Naheliegend ist das Patch-Management. Während das Patch-Management das Ausrollen von Patches auf die Systeme plant und durchführt, kann ein Schwachstellenscan überprüfen, ob der Patch auch wirklich installiert wurde. Anders herum kann ein Ergebnis aus dem Schwachstellenmanagement auch Input für das Patch-Management sein, um neue Patches zu planen.
Des Weiteren können die Ergebnisse auch in ein vorhandenes Security Information and Event Management (SIEM) einfließen um deren Ergebnisse und Aussagekraft zu verbessern.
Schwachstellenmanagement als Teil der IT-Sicherheitsstrategie
Ein funktionierendes Schwachstellenmanagement kann das IT-Sicherheitsniveau erhöhen und bietet die Möglichkeit bereits getroffene Maßnahme zu überprüfen. Schwachstellen- und Patch-Management helfen dabei die IT-Systeme auf dem aktuellen Stand zu halten und gegen bekannte Angriffe zu schützen. Nicht zuletzt sind diese auch Teil der Maßnahmen des ISO 27001 Informationssicherheitsmanagementsystems (ISMS).
Kann man machen … aber:
1. „bekannte Schwachstellen“: das hilft eben nur gegen Bekanntes – viele Vorfälle gehen in letzter Zeit aber auf zuvor Unbekanntes zurück, wo sich ja auch die Schwächen von Virenschutz-Systemen zeigen.
2. „viele Hersteller“: Ja, viele Hersteller locken mit vielen Funktionen. Oft sind das Rohrkrepierer, die nur gutes Marketing machen. Die Produkte sollte man sich sehr genau vorher ansehen und ggf. in einem Pilot-Projekt testen, bevor man aufgrund von Versprechungen irgendwas kauft.
Alternativ zum Vulnerability Management würde ich mehr Augenmerk auf „Anomalie Management“ legen. Man muss ja nicht gleich mit einem teuren SIEM-System anfangen, weil es da auch wieder viele Luftnummern gibt. Wenn man einfach mal nur mit ein paar eigenen Scripten die vorhandenen Logs auswertet, wird man schon ziemlich viele A-ha-Erlebnisse haben …