Jährlich werden einige Tausend neuer Schwachstellen (Vulnerabilities) von IT-Systemen veröffentlicht. IT-Verantwortliche sollten über diese Vulnerabilities informiert sein und bei Bedarf die Schwachstellen der Systeme beheben. Durch die Anzahl der verschiedenen Aufgaben und des Drucks, welcher auf den Administratoren lastet, müsste sich bei einer mittleren Unternehmung eine Person alleine nur um die neu erschienen Vulnerabilities kümmern und prüfen, ob die eigenen Systeme davon betroffen sind oder nicht.
Ein ähnliches Szenario haben wir bei Malware, wo jährlich Zehntausende neuer Viren, Würmer, Trojaner etc. im Internet auftauchen. Der Anti-Viren-Verantwortliche analysiert die neu erschienene Malware nicht selber. Dafür gibt es Anti-Viren-Lösungen, welche das Leben der Administratoren erleichtern, indem sie sich beim Hersteller regelmässig durch Signaturen aktualisieren und permanent die Systeme automatisch prüfen. Wieso sollten wir also nicht auch eine automatisierte Lösung, ähnlich wie eine Anti-Virus-Lösung, für das Vulnerability-Management haben?
Vulnerability-Management-Lösungen werden oft mit Security-Scannern verwechselt. Vulnerability-Management ist aber weit mehr als ein Security-Scan-Tool. Es gibt Vulnerability-Management-Software, welche durch die IT selber installiert und betreut werden kann, deren Leistungsumfang aber nicht mit den Möglichkeiten einer Dienstleistung vergleichbar ist.
Vulnerability- und Risk-Management-Dienstleistungen ermöglichen Unternehmungen ohne Software- und Infrastrukturkosten und ohne hohen internen Personalaufwand, das Risiko bezüglich der IT-Infrastruktur zu bewerten und zu minimieren. Die Überprüfung der IT-Infrastruktur erfolgt nicht wie bei manuell durchgeführten Audits oder Penetrationstests in Abständen von mehreren Monaten, sondern in Intervallen von einem bis mehreren Tagen.
Der Vulnerability-Management-Prozess kann in fünf Phasen unterteilt werden.
1. Inventarisierung der vorhandenen Infrastruktur
Durch Inventarisierung werden die zu überwachenden Systeme erkannt. Die Inventarisierung sollte automatisch durch das Vulnerability-Management anhand des vorgegebenen IP-Bereiches erfolgen. Die Informationen legen die Grundlage für das Vulnerability-Management fest, denn nur wer seine Systeme kennt, kann sie auch auf Schwachstellen prüfen lassen.
2. Prüfen und Erkennen der Schwachstellen
Die definierten Systeme werden mittels Vulnerability-Scanner geprüft. Die Prüfung erfolgt auf bekannte Schwachstellen, welche in den Scannern als Signatur definiert sind. Die Scanner geben als Resultat der Prüfung die erkannten Schwachstellen aus. Wichtig ist, dass die Signaturen der Vulnerability-Scanner die neuesten Informationen über Schwachstellen beinhalten. Es verhält sich damit gleich wie bei Anti-Viren-Lösungen: Die Aktualität der Signaturen hat einen wesentlichen Einfluss auf die Qualität der Erkennung.
3. Benachrichtigung über neu erkannte Schwachstellen
Bei neu erkannten Schwachstellen sollen die verantwortlichen Personen darüber informiert werden. Unter Umständen ist auch eine Benachrichtigung erwünscht, wenn eine Prüfung abgeschlossen ist, um zu sehen, dass die Prüfung erfolgreich durchgeführt wurde. Aus Sicherheitsgründen sollten detaillierte Informationen über die Schwachstellen nicht unverschlüsselt via E-Mail übermittelt werden. Ein Hinweis, dass neue Schwachstellen mit der Risikostufe «X» erkannt wurden, genügt normalerweise. Anhand dieser Informationen weiss man, dass detaillierte Informationen über gefundene Schwachstellen auf dem Vulnerability-Management-System zur Verfügung stehen.
4. Priorisieren der Schwachstellen
Die neu entdeckten Schwachstellen müssen nun priorisiert werden, denn nicht jede Schwachstelle ist eine gleich grosse Gefahr. Das Risiko der erkannten Schwachstellen wird durch das Management-System automatisch berechnet und anhand dieses Faktors sortiert. Von Vorteil ist es, wenn die Schwachstellen in ein Ticketing-System übergeben werden und dort die Reihenfolge der Priorität noch manuell nachbearbeitet werden kann. Ein Ticketing-System hat noch weitere Vorteile: Es können die einzelnen Aufgaben Personen zugewiesen werden, der Status
ist jederzeit feststellbar und die Behebungszeit jeder einzelnen Schwachstelle kann einfach eruiert werden.
5. Behebung der Schwachstellen
Einer der wesentlichen und gleichzeitig schwierigsten Teile des Vulnerability-Managements ist die Behebung der erkannten Schwachstellen. In der Regel erfolgt dies durch das Einbringen eines Patches oder Updates. Die Durchführung kann manuell oder mit Hilfe einer Patch-Management-Lösung erfolgen. Je nachdem kann die Schwachstelle auch durch eine Konfigurationsanpassung behoben werden. Bevor der Patch oder das Update auf dem produktiven System installiert wird, sollte die neue Software in einer Testumgebung auf die Funktionsweise und den eventuellen Einfluss auf installierte Applikationen geprüft werden.
Nachdem die Behebung der erkannten Schwachstellen durchgeführt wurde, fängt der Prozess wieder von vorne an. Die Inventarisierung ist je nach Bedürfnis nicht jedesmal nötig. Mit der Prüfung werden dann automatisch die behobenen Schwachstellen erneut untersucht, und falls die Behebung nicht erfolgreich war, werden diese wieder als neue Schwachstellen erkannt und der Zyklus mit Benachrichtigung, Priorisierung und Behebung beginnt erneut.
Vulnerability-Management-Lösungen prüfen die IT-Infrastruktur mit verschiedenen Scan-Techniken in definierten Intervallen, welche von Stunden bis zu mehreren Tagen reichen können, je nach Überwachungsbedürfnis der Unternehmung. Nach Erhalt der Resultate wird durch das System ein Risiko berechnet, und bei Überschreiten eines Schwellwertes werden die verantwortlichen Personen automatisch benachrichtigt. Die erkannten Schwachstellen gehen, mit Informationen über die Behebung, in ein Ticketing-System, bei welchem jeder einzelnen Schwachstelle ein Verantwortlicher zugewiesen werden kann. Durch das Ticketing-System erkennt man, welche Schwachstellen noch pendent sind, welche behoben wurden und wie lange die Behebung dauerte.
Die Behebung der Schwachstellen durch Einspielen von Patches wird in der Regel durch Personen durchgeführt, kann aber auch bei manchen Vulnerability-Management-Lösungen automatisch erfolgen. Die Frage stellt sich dabei aber, ob ein vollautomatisches Einspielen der Patches und Updates nicht ein weiteres Risiko kreiert. Nach einem Update könnten nämlich beispielsweise die Systeme oder Applikationen nicht mehr einwandfrei funktionieren, und in einem automatisierten Prozess ist es mitunter schwierig, die genaue Ursache zu finden. Es ist also letztlich eine Philosophiefrage, wie weit man mit der Automatisierung geht.
Eine Vulnerability-Management-Lösung ist ohne Zweifel sehr hilfreich für die IT-Verantwortlichen und IT-Spezialisten, um Schwachstellen frühzeitig zu beheben. Aber nicht nur die Techniker werden durch ein solches System unterstützt: Auch die Geschäftsleitung und das Management haben einen wesentlichen Nutzen davon. Durch die grafischen Auswertungen und Reports für das Management wird verständlich aufgezeigt, wie es um das IT-Risiko der Unternehmung steht. Die Geschäftsleitung und das Management können sich ohne grossen Aufwand und trotz oft mangelndem technischem Verständnis über das IT-Risiko ihres Unternehmens informieren.
Vorschriften und Gesetze verlangen vermehrt ein Risiko-Management der IT-Infrastruktur. Zum Beispiel das Rating durch Basel II kann durch ein Vulnerability- und Risk-Management verbessert werden.
Immer öfters werden Vulnerability- und Risk-Management-Lösungen von IT-Outsourcing-Partnern verwendet, um nicht nur die eigene Reaktionszeit auf Schwachstellen zu minimieren, sondern um dem Kunden aufzuzeigen, wie es um die Sicherheit respektive das Risiko der ausgelagerten IT-Infrastruktur steht: ein effizienter Weg, die Qualität der geleisteten Arbeit und das Interesse für die Sicherheit der Kundeninfrastruktur aufzuzeigen.
Eine Vulnerability- und Risk-Management-Lösung ist also ein wichtiges Werkzeug zur proaktiven Erkennung von Schwachstellen sowie deren Einschätzung und Behebung. Sie hilft damit, das IT-Risiko einer Unternehmung zu minimieren und zu bewerten. Es sollte wie eine Anti-Virus-Lösung oder eine Firewall zum Standard jeder Unternehmung gehören.
Pascal Mittner ist CEO
des Churer Vulnerability-Management-Spezialisten Astalavista IT Engineering. (www.vulnwatcher.com)
