16.10.2006 | Autor / Redakteur: Diana Kelley, Ed Moyle / Peter Schmitz
Schwachstellen-Management-Tools geben ein realistisches Bild eines Unternehmens, in dem Sicherheitslücken als Teil der IT-Infrastruktur gesehen werden und so dabei helfen können, das eigene Unternehmens-Netzwerk viel besser zu verstehen.
Stellen Sie sich vor, Sie springen aus einem Flugzeug. Die Sicht aus der Luft ist eine ganz andere, als die auf der Erde. Und die Sichtweise auf die Umgebung ändert sich während Sie mit dem Fallschirm in Richtung Erde schweben. Das kommt daher, dass die Sichtweise immer subjektiv, individuell ist und sich durch neue Faktoren immer wieder ändert. Das gleiche gilt, wenn es um die Absicherung des Unternehmensnetzwerkes geht.
Wenn die Sichtweise mit der Realität auf eine Linie gebracht wird, sinkt auch die Gefahr, dass Sicherheits-Verantwortliche Fehler machen. An dieser Stelle kommt Schwachstellen-Management (Vulnerability management, VM) ins Spiel. Schwachstellen-Management ist eine bequeme Methode für Unternehmen, ihr eigenes Netzwerk besser zu verstehen – ohne Vorgaben und Einschränkungen.
Ein typisches Beispiel: Die allgemeine Auffassung besagt, dass der Patch-Prozess alle wichtigen Systeme abdeckt. Die Realität jedoch ergibt, dass die E-Mail-Server-Farm des Unternehmens ungepatched ist. Dies führt mit Sicherheit dazu, dass es beim nächsten Ausbruch eines Wurms erhebliche Probleme mit den Systemen geben wird.
Durch den Einsatz von vier wesentlichen Tools von VM – Asset-Identifizierung, Korrelation, Validierung und Korrektur – bekommt man einen Übersichtsblick von den Schwachstellen und kann den Einfluss auf Ihr Netzwerk erkennen.
Es gibt nicht „die“ Schwachstellen-Management-Lösung. Sie müssen die Bereitschaft in Ihren Unternehmen überprüfen und herausfinden, wie man VM in Ihren Organisationen einsetzen kann. Nachdem die Evaluierungsphase abgeschlossen ist und Sie bereit sind, ins kalte Wasser zu springen, sollten Sie die folgenden Dinge beachten – und vermeiden – wenn es um das Schwachstellen-Management geht.
Sie können Dinge nicht managen, die sie nicht kennen. Die Wahrscheinlichkeit ist groß, dass es in Ihrem Netzwerk Geräte gibt, die nicht gemanaged, überwacht oder geprüft werden. Das können Maschinen in der Qualitätssicherung oder Entwicklungsabteilung, nomadisierende Privatrechner, Server die bewusst hinter NAT-Geräte versteckt werden, kundenverwaltete Appliances oder andere schurkenhafte und unerwartete, Geräte sein. Hier können Asset-Identifizierungs-Tools helfen. Sie scannen das Netzwerk und melden alle Details über die Geräte, die Sie finden – sowohl erwartete als auch unerwartete. Diese Scanning-Tools können entweder hostbasiert sein und als Agent laufen, oder Sie sind netzwerkbasiert und verwenden eine Reihe von Sensoren. Sie können ein Scann durchführen ohne sich anzumelden (ohne Authorisierung) – in dem Sie allgemeine Erkennungsmethoden verwenden (zum Beispiel Betriebssystem-Fingerabdruck, Banneraufzählung) oder durch den Angriff mit unschädlichen Methoden („lite“) auf die Schwachstellen der Maschinen.
Da die Schwachstellen in jeder Software auftreten können, die auf einem Gerät installiert ist, ist eine möglichst granulare Information der Systeme unbedingt zu empfehlen. Angaben über das Betriebssystem, den Patch-Level, die installierten Programme, Einstellungen der Konfigurationsparameter und zugewiesene Rollen sind wichtige Informationen, die Sie sammeln sollten. Bedenken Sie die Netzwerk-Infrastruktur, wenn Sie die Sensoren und das Scanning-Equipment einrichten. Notieren Sie die Position von Switches, Routern und Firewalls um sicherzustellen, dass Sie keine toten Zonen in Ihrem Netzwerk haben. Und vergessen Sie keine netzwerkunüblichen Geräte wie Faxe und Drucker.
Nun kommt ein etwas heikles Thema: das Verhältnis und die Verbindung zwischen den Geräten, die Sie im Netz finden. Ohne dieses Verständnis können Sie keine Einkaufsliste aller Geräte erstellen. Zu wissen wie die Komponenten Ihres Netzwerkes interagieren kann ein erheblicher Vorteil sein: diese Art der Information kann sehr hilfreich sein, etwa während einer Zwischenfall-Reaktions-Übung, um zu erklären, wie sich ein Wurm im System ausbreitet, auf welche Maschinen er sich verteilt und wie er ins Netz gelangt ist.
An dieser Stelle ist die Korrelation extrem wichtig. Beim Ansammeln von Information von unterschiedlichen Quellen einschließlich Anwendungs-und System-Logdateien, Traps und Alerts, können Kollations-Tools Administratoren dabei unterstützen, die Verbindungen und das Zusammenspiel zwischen den einzelnen Systemen zu erkennen. Um einen einwandfreien Vergleich sicher zu stellen, müssen die Informationen noch normalisiert oder übersetzt werden und anschließend in ein einheitlich standardisiertes Format gebracht werden. Hier können nun Korrelationsregeln angewendet werden, um Verbindungen und Kausalitäten zu identifizieren. Damit erhält man eine intelligentere Übersicht der Netzwerk-Schwachstellen.
Hier noch eine Empfehlung: Halten Sie diese Informationen immer aktuell, organisiert und zentral erreichbar. Ein SIM/SEM-Tool (Security Information Management / Security Event Management) für zentralisiertes Informations- oder Alarm-Management wäre die beste Wahl, um diese Funktionalität in Ihrem Netz anzubieten. Die Anwendungen optimierten die Zusammenstellung, das Ablegen und die Indizierung der Daten der unterschiedlichen Netzwerk-Applikationen wie Netzwerk-Monitoring-Tools, Logdaten-Aggregations-Programme, Zeitsynchronisations-Utilities, IDS/IPS-Reports und Policy/Konfigurations-Datenbanken.
Nicht jeder Eintrag in der Bug-Liste ist ein Grund zur Panik. Acht Schwachstellen werden täglich im Durchschnitt ermittelt. Es wäre Zeitverschwendung und unnötiger Ressourcenaufwand auf jede neue Schwachstelle zu reagieren, da ein Großteil dieser Probleme nicht auf Ihr Unternehmen zutreffen wird. AIX-Sicherheitslücken sind uninteressant für Unternehmen, die keine AIX-Systeme betreiben. Verwundbarkeiten des Internet Information Servers haben keinen Einfluss auf einen Apache/Tomcat-Shop. Selbst wenn die Schwachstelle in einer Anwendung oder Betriebssystem in Ihrem Netz vorkommt, betrifft sie nur ungepatchte Systeme oder Rechner, die einen bestimmten Service aktiviert haben und nicht die gesamte Infrastruktur.
Wie finden Sie heraus, welche Schwachstellen-Reports für Ihre Infrastruktur relevant sind und welche nicht? Validierung – Bereinigung. Validierungs-Tools definieren, welche Geräte im Netzwerk wirklich gefährdet sind und tragen diese Daten in einer Liste zusammen. Über diese Sammlung kann man dann schnell entscheiden, auf welche Gefahren reagiert werden muss. Validierung vergleicht Informationen über Sicherheitslücken mit Angaben über Ihre Infrastruktur. Wenn Schwachstellen mit vorhandenen Komponenten in Ihrem Netzwerk übereinstimmen, wird diese Sicherheitslücke markiert, um die Verantwortlichen darauf aufmerksam zu machen. Wenn dies nicht der Fall ist, wird die Information über die Schwachstelle einfach gelöscht.
Der nächste Schritt ist die Behebung der Schwachstelle, um die Maschinen gegen die Angriffe zu schützen. Die Schritte werden von Sicherheitslücke zu Sicherheitslücke variieren, wobei die Korrektur in der Regel das Einspielen von Patches, die Veränderung von Anwendungs- oder Geräte-Einstellungen beinhaltet. Oft werden auch Filtertechniken wie Firewalls, VLANs sowie andere Segmentierungsmethoden eingesetzt, um den Verkehr zu den Maschinen einzuschränken. Wenn Sie Korrektur-Tools verwenden, sollten Sie sehr genau darüber nachdenken, welchen Automatisierungsgrad Sie wählen. Führen Sie Regressions-Tests auf kritischen Anwendungen durch, bevor Sie unsichere Patches installieren? Wie können Sie diesen Automatismus in Ihre bisherige, eventuell externe, Patch-Verwaltung integrieren? Wie steht es mit Überwachung und dem Auditing? Es ist besonders wichtig, dass automatisierte Aktionen überwacht werden, wenn es um Anwendungs-Debugging geht.
Sind Sie bereit, Schwachstellen-Management-Tools (VM) einzusetzen? Bevor Sie loslegen, sollten Sie Ihre Ausrüstung und den Aktionsplan geprüft haben. Genauso wie ein Fallschirmspringer, möchte ein Unternehmen bei der Integration von VM nicht auf halbem Wege erkennen, dass etwas nicht funktioniert.
Lassen Sie uns ehrlich sein, die Einhaltung aller gesetzlichen Rahmenbedingungen ist ein Alptraum. Niemand ist schraf auf den ernormen Aufwand, der für die Überwachung notwendig ist, noch die Kosten für die Dokumentation. Als solches klingt nichts attraktiver als ein Hersteller, der eine „klick und fertig“-Lösung für Compliance anbietet. Aktiengesellschaften könnten SOX-Suiten, Banken eine GLBA-Lösung und Bundesagenturen eine oder mehrere Funktionen aus der FIPS-Serie auswählen. Klingt großartig. Aber wie realistisch ist das in der Praxis?
Leider gibt es keine „drag-and-drop“ Compliance-Lösungen. Die Bestimmungen definieren keine festen Erfolgskriterien, auf die ein Hersteller setzen kann. Zum Beispiel, erfordert SOX, „eine Beurteilung der Wirksamkeit von internen Steuerungsstruktur und der Verfahren für den Ersteller von finanziellen Berichten“. Nicht nur, dass diese Anforderungen alle Systeme vorgibt, die für den finanziellen Berichtprozess Verwendung finden müssen - alles von vorhandenen Mainframesystemen bis hin zu den Excel-Arbeitsblättern in der Buchhaltung, sondern er bezieht auch die externen IT-Systeme ein. Ein Hersteller kann nicht realistisch eine Lösung anbieten, die die Wirksamkeit von nicht-automatisierten Prozessen garantiert.
Das bedeutet nicht, dass ein Hersteller keine Compliance-Unterstützung liefern kann. Jene die Überblickssysteme bieten, die Reports über Arbeitsabläufer, Systemaktivität monitoren oder Policy-Übertretungen melden, bieten einen ungeheurem Zusatzwert. Sobald ein Unternehmen erkennt, was die Compliance fordert und wo einen Eingriff möglich ist, die Optimierung und die Umstrukturierung der automatisierten Prozesse ein riesiger Vorteil sein kann. Nicht nur, dass eine Verbesserung dabei hilft, die Regularien einzuhalten, sie schützt das Unternehmen auch von weiteren Regularien. Somit erleichtern solche Anwendungen die Überwachung und geben den Administratoren eine höhere Sicherheit.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000278)
