Teil 6 - Zusammenfassung
Permanente Netzwerk Scans sind heutzutage ein Muss für jeden verantwortungsbewussten IT Sicherheitsverantwortlichen.
Dabei ist es wichtig, einerseits einen täglich aktuellen Überblick zu erhalten, was insbesondere in größeren Netzwerken nur mit schnellen, reduzierten Scans möglich ist. Andererseits sind aber auch intensive Tiefen Scans erforderlich, um einen umfassenden Überblick über möglichst alle Schwachstellen zu erhalten.
Diese beiden Ziele stehen in einem Konflikt miteinander, da intensive Scans teils sehr lange Laufzeiten bedeuten und ebenfalls einen großen Teil der Netzwerk Bandbreite konsumieren. Darüber hinaus stellen intensive Scans immer auch ein Risiko für den ordnungsgemäßen Betrieb der gescannten Geräte dar.
Das in den vorigen Abschnitten beschriebene Verfahren erlaubt es nun, beide Ziele mit vertretbarem Aufwand und Risiko (durch Verzicht) zu erreichen, gleichzeitig noch den Informationsgehalt der Analysen zu erhöhen und die Qualität vorhandener CMDB Daten zu verbessern.
Dies wird durch den gestaffelten Einsatz von
- schnellen Basis Scans in allen Subnetzen und für alle Geräte unter Einbeziehung der CMDB für ausgewählte, Hochrisiko-Ports,
- ausgewählten Tiefen Scans (typ-, subnetz- oder szenrio-bezogen) mit angepassten Policies
erreicht.
Damit sind die Grundlagen für einen stets aktuellen Überblick bei sinnvoller Resourcennutzung ohne Verlusten an Flexibilität gelegt.
Im nächsten Teil wenden wir uns dann den verschiedenen Auswertungsmöglichkeiten der aus diesem Verfahren anfallenden Reports zu. Dafür werden eine eigene, DWH-ähnliche Datenbank, kommerzielle Analyse- und Reporting Werkzeuge, sowie eine Mischform aus beidem vorgestellt und beschrieben.
Sämtliche in dieser Reihe vorgestellten Lösungen sind bei einem sehr großen und global agierenden Unternehmen entwickelt worden und in Anwendung befindlich, die zur Umsetzung notwendigen Scripte (Unix Shell) und Programme (perl), DDL und SQL-Abfragen (für MySQL und Oracle) sind verfügbar und können bei mir angefragt werden.