Beitragsseiten

 

Vulnerability Management
Effizientes Netzwerk Scannen für maximale Transparenz und aktuelle Übersicht
 

 

(Version: 1.03, Oktober 2017)

 

Teil 1 - Einleitung

 

Schwachstellen Analysen und deren Management sind mittlerweile unabdingbare Disziplinen im Rahmen der Unternehmens IT. Ganz entscheidend ist dabei, zu verstehen, dass Angreifer nicht nur von außen kommen, Schäden nicht nur durch Kompromittierung der im Internet sichtbaren Systeme entstehen, sondern vielfältige Schwachstellen auch in internen Systemen zu finden sind. Nahezu kein im Unternehmen eingesetzter Gerätetyp ist frei von Schwachstellen, die sofort an Bedeutung gewinnen, sobald das jeweilige Gerät mit dem Firmennetzwerk verbunden ist.

 

Aufgrund täglich neu hinzu kommender Bedrohungsszenarien mit dem Potenzial, das Firmenkapital massiv zu schädigen, sollte die Schwachstellenanalyse möglichst häufig und möglichst intensiv durchgeführt werden. Dies mag in kleineren Netzwerken noch kein großes Problem darstellen, wird aber schnell zur Herausforderung, je größer und verteilter das Netzwerk wird. Zusätzlich wächst die Häufigkeit von Veränderungen in der eingesetzten Hardware ebenfalls mit der Größe des Netzwerks.

 

Viele IT Sicherheitsverantwortliche setzen daher auf mehr oder weniger systematisches und periodisches Scannen ihrer Netzwerke. Dabei kommen verschiedene Scan Tools zum Einsatz, kommerzielle oder auch Open Source, wie z. B. Tenable Nessus ® oder Security Center ® (beide von Tenable, Inc., Columbia, MD, USA) oder openVAS.

 

Jedes bekannte Scan Produkt hat mehr oder weniger viele False-Positives, Probleme mit dem OS Fingerprinting und andere Schwächen. Darauf soll hier aber nicht weiter eingegangen werden. Auch wenn dies eine zusätzliche Notwendigkeit für den Einsatz möglichst intelligenter Auswertungs- und Reporting-Tools indiziert.

 

Intensive Schwachstellen Scanner wie z. B. Nessus (oder andere) haben insbesondere mit diesen 4 Problemen zu kämpfen

  • lange Laufzeiten, abhängig vom Umfang der Scans und der angewendeten Scan Policy
  • teils sehr große Reports (mehrere Gigabyte), abhängig von der Größe des zu scannenden Netzwerks und der Scan Policy
  • keinerlei Kenntnis der Konfigurationsdaten des Unternehmens, mithin kein Wissen über die jeweils zu scannenden Geräte
  • teils massive Störungen des Betriebs durch zu aggressive Scan Policies

 

Alle diese Probleme zusammen führen dazu, dass 

  • Scans nicht so häufig und/oder nicht in dem eigentlich erforderlichen Umfang ausgeführt werden
  • die Verknüpfung zu Geräten bzw. Geräteklassen schwer bis unmöglich ist
  • Scans mit hohem manuellen Aufwand geplant und vorbereitet werden müssen
  • die Auswertung ggf. zu lange dauert

 

Dadurch ist ein aktueller Überblick über die Schwachstellen Situation der operativen IT nicht gewährleistet und bestenfalls immer nur punktuell. Dies ist einer Zeit vielfältiger, fast täglich neuer Bedrohungen eine ernste Situation für die gesamte IT und ihre Verantwortungsträger.

 

In diesem Umfeld eine stets tagesaktuelle Übersicht über alle Schwachstellen zu haben oder den Erfolg der Behebungsmaßnahmen täglich messen zu können, wäre daher ein großer Vorteil.

 

Der folgende Artikel beschreibt in den folgenden 4 Teilen 

  • Definitionen und Festlegungen
  • benötigte Konfigurationsdaten (CMDB)
  • einzusetzende Tools und Verfahren 

welche es ermöglichen, auch Netzwerke mit dauerhaft mehr als 500.000 aktiven Geräten täglich zu scannen und so jederzeit über den potenziellen Verwundbarkeitsstatus informiert zu sein.