weerapat1003 - Fotolia

Kriterien für den Kauf von Schwachstellen-Management-Tools

Diese Kaufkriterien sollten Unternehmen bei der Auswahl und Bewertung einer umfassenden Schwachstellen-Management-Produkten beachten.

Schwachstellen-Management-Tools verwenden Scanner, um mit dem Netzwerk verbundene Computer und andere Geräte, Firewalls, Betriebssysteme und Anwendungen zu identifizieren und nach Verwundbarkeiten oder Sicherheitslücken zu prüfen. Der erste Scan bildet eine möglichst vollständige Bestandsaufnahme der Infrastruktur von kleineren Umgebungen oder von einzelnen Netzwerksegmenten in Infrastrukturen von größeren Unternehmen. Er zeigt Schwachstellen und Sicherheitslücken auf, die entweder durch Patches geschlossen werden müssen oder die das Unternehmen weiter verfolgen und im Auge behalten sollte. Die jeweilige Maßnahme ist vom Risikograd der jeweiligen Schwachstelle abhängig. Nachfolgende Scans entdecken neue Schwachstellen und zeigen im Vergleich mit der ursprünglichen Bestandsaufnahme, ob beispielsweise Schwachstellen, die ursprünglich als weniger riskant klassifiziert wurden, mittlerweile eine größere Gefahr darstellen, eine höhere Priorität erhalten und damit sofort behoben werden müssen.

Hersteller bieten Schwachstellen-Management-Tools als klassisches Software-Produkt, als physische oder virtuelle Appliance mit Management-Software, als Service aus der Cloud oder als Kombination dieser verschiedenen Formen an. Beispielsweise können einige Cloud-Services mehrere Appliances umfassen, die sich in großen Netzwerk-Umgebungen in verschiedenen Teilen des Netzwerks befinden, um interne Scans durchzuführen. Für welche Form der Schwachstellen-Management-Lösung sich Unternehmen letztendlich entscheiden, hängt von verschiedenen Faktoren ab.

Hier finden Sie eine Übersicht der Funktionen und Mehrwerte, die Unternehmen bei der Auswahl und Bewertung von Schwachstellen-Management-Produkten berücksichtigen sollten.

Zentrale Funktionen und Merkmale

Die meisten Schwachstellen-Management-Tools verfügen über folgende zentrale Funktionen:

  • Erkennen und Identifizieren von Geräten und anderen Assets
  • Erkennen von Schwachstellen
  • Beschreibungen der Sicherheitslücken
  • Links zu Informationen über Patches
  • Skripte und andere Techniken zum Schließen der Lücken
  • Erstellen von Berichten auf Basis von Vorlagen oder benutzerdefinierten Einstellungen
  • eine in der Regel webbasierte Konsole für das Management des Tools
  • eine Vielzahl unterstützter Betriebssysteme.

Führende Produkte erfüllen viele dieser Aufgaben gründlicher und umfassender als die eher durchschnittlichen Angebote. Dazu gehören beispielsweise die automatisierte Behebung von Sicherheitslücken, einfach zu bedienende Dashboards und ausführliche Berichte, die das Management für Security-Administratoren vereinfachen und effizienter gestalten.

Bei der Bewertung der Anbieter und Produkte für Schwachstellen-Management sollten Unternehmen drauf achten, dass die Lösungen folgende Funktionen bieten:

  • Automatisierte Scans und Alarm-Meldungen
  • Zentrale Verwaltung von Scannern und Agenten
  • Eindeutige Klassifizierung des Schweregrads der Schwachstellen und Anzeige im Dashboard-Display und in den Reports
  • Kontinuierliches Verfolgen von Schwachstellen über einen längeren Zeitraum, insbesondere von Sicherheitslücken, deren Risiko als niedrig oder mittel eingestuft wurde
  • Scan des Netzwerk-Perimeters und des internen Netzwerks – einige webbasierte Scanner prüfen nur den externen Perimeter
  • Erstellen benutzerdefinierter Berichte, darunter auch Berichte, mit denen sich die Einhaltung von Audit- oder Compliance-Anforderungen nachweisen lässt
  • Authentifizierung mit Administratorrechten für genauere und tiefer gehende Scans, die Informationen etwa über Sicherheitskonfigurationen für Systeme und Anwendungen sammeln, die ein Standard-Scan nicht erfassen würde
  • Automatisches Verändern und Verbessern der Sicherheitsmaßnahmen bei Bedarf.

Die meisten Anbieter stellen zeitlich befristete, kostenlose Testversionen ihrer Schwachstellen-Management-Produkte zur Verfügung. Damit können Unternehmen die entsprechende Lösung testen und mit den Tools anderer Hersteller vergleichen. Die Ergebnisse dieses Vergleichs sollten in die Auswahl des Produkts einfließen.

Updates der Signaturen von Schwachstellen

Weltweit werden jeden Tag neue Schwachstellen in IT-Systemen und Netzwerken entdeckt. Ähnlich wie Antivirus-Software muss ein Schwachstellen-Scanner über aktuelle Informationen zu Schwachstellen und Sicherheitslücken verfügen, um effektiv zu arbeiten. Einige Anbieter verlassen sich auf ihre eigenen internen Sicherheitsteams und Threat-Intelligence-Datenbanken, um die Informationen zu Schwachstellen für ihre Kunden permanent auf dem neuesten Stand zu halten. Andere Hersteller setzen auf externe Quellen und Datenbanken, um aktuelle Informationen über Schwachstellen zu sammeln. Dazu gehören beispielsweise die MITRE-Datenbank Common Vulnerabilities and Exposures (CVE) und die Open Source Vulnerability Database und das Common Vulnerability Scoring System (CVSS). Die Anbieter versorgen ihre Kunden entweder sofort oder nach einem bestimmten Zeitplan mit neuen Signaturen.

Bei der Auswahl des geeigneten Anbieters sollten Unternehmen darauf achten, wie oft er die Schwachstellen-Signaturen aktualisiert, aus welchen Quellen die Signaturen stammen und ob neuere Technologien wie Cloud-Infrastrukturen oder Mobile Computing enthalten sind.

Einfache Bedienung

Ein Schwachstellen-Management-Tool muss schnell zu installieren und einfach zu bedienen sein sowie zuverlässig, unauffällig und sicher arbeiten – und es lässt sich ohne große Probleme in die bestehende IT-Umgebung integrieren.

Nutzer werden ein Produkt, das umständlich zu bedienen ist oder die Informationen auf dem Dashboard verwirrend präsentiert, entweder nur selten einsetzen oder kaum das volle Potenzial der Lösung ausschöpfen. Ein Schwachstellen-Management-Tool, das hohen Wartungsaufwand erfordert, wird auch zum Problem für die IT-Mitarbeiter, die oft bereits überlastet sind. Ebenfalls geringe Chancen erhält jedes Produkt, das Leistungseinbußen im Netzwerk verursacht, selbst wenn diese nur moderat sind.

Beim Bewerten von Schwachstellen-Management-Tools sollten Unternehmen folgende Fragen stellen:

  • Wie lange dauert es, um das System zu installieren und zum Laufen zu bringen?
  • Gibt es vorkonfigurierte Scan-Richtlinien? Was ist notwendig, um die Richtlinien individuell anzupassen?
  • Erfordert das System Patches und Backups? Wie oft? (Dies betrifft vor allem klassische On-Premise-Systeme; bei Cloud-Lösungen entfällt das Gros dieser Arbeit).
  • Verwendet das Tool Agenten, oder arbeitet es ohne? Einige Schwachstellen-Management-Produkte bieten sowohl agentenbasierte Scans als auch den Modus ohne Agenten. Agenten erfordern zwar einen höheren Verwaltungsaufwand, ermöglichen aber dafür umfassenderes Scannen und Reporting.
  • Läuft das Werkzeug unauffällig im Hintergrund?
  • Verursacht das Tool während des Scans Leistungseinbußen im Netzwerk?

Achtung: Die verschiedenen Schwachstellen-Management-Produkte können mit ihren Standard-Einstellungen in der gleichen Umgebung unterschiedliche Ergebnisse liefern. Um diese Punkte fundiert bewerten zu können, sollten Unternehmen diese Werkzeuge intensiv testen und dann die Auswahl schrittweise um diejenigen Produkte reduzieren, die nicht die erforderliche und gewünschte Leistung bringen.

Bereit für die Cloud und Mobile Computing

Viele Unternehmen befassen sich mit Cloud-Lösungen, um ihre bestehende IT-Infrastruktur zu ergänzen, die Verwaltung zu vereinfachen und die Kosten besser planen zu können. In diesem Fall benötigen die Unternehmen ein Schwachstellen-Management-Tool, das Cloud-Services wie Software as a Service (SaaS) oder Infrastructure as a Service (IaaS) überprüft. Da nicht jeder Hersteller diese Funktionalität bereitstellt, sollten Firmen prüfen, welcher Anbieter auf ihrer Liste auch Cloud-Umgebungen abdeckt.

Angesichts der weiten Verbreitung von Bring Your Own Device (BYOD), Wearables und dem Internet der Dinge betrifft Mobile Computing heutzutage fast jedes Unternehmen. Da sich mobile Geräte häufig mit Unternehmensnetzwerken verbinden und sie genauso häufig zum Ziel von Angriffen werden wie Server und Workstations, ist es wichtig, auch sie nach Schwachstellen zu untersuchen und diese Lücken entsprechend zu klassifizieren. Einige Anbieter integrieren MDM-Systeme (Mobile Device Management) oder stellen Agenten für die Endpunkte bereit, um mobile Geräte als Assets zu identifizieren und Sicherheitslücken über die Schwachstellen-Management-Lösung zu verwalten.

Funktionen für größere Unternehmen

Große Unternehmen haben im Vergleich zu kleinen und mittleren Unternehmen aufgrund der schieren Größe ihrer Infrastrukturen, die oft über mehrere Standorte verteilt sind, einzigartige Anforderungen. Bei der Bewertung von Schwachstellen-Management-Tools sollten sie folgende Fragen stellen:

  • Ist das Produkt hoch skalierbar? Falls ja, auf welche spezifische Weise?
  • Prüft und bewertet das Tool Arbeitsabläufe (Workflows)?
  • Lässt sich das Werkzeug einfach mit anderen Sicherheitssystemen wie zum Beispiel Lösungen für Security Information and Event Management (SIEM) und Intrusion Detection integrieren? Einige Anbieter bieten Application Programming Interfaces (APIs), um Daten aus dem Schwachstellen-Management-System zu übertragen.
  • Bietet das Tool automatisierte Meldungen an den Helpdesk zum Status der Störung?
  • Stellt es Analysen zu den Auswirkungen und Risiken der jeweiligen Schwachstellen zur Verfügung?

Große Unternehmen sollten beim Test von Schwachstellen-Management-Lösungen eine Vielzahl von Berichten anfertigen, um sicherzustellen, dass die relevanten Informationen auch die zuständigen Verantwortlichen wie Führungskräfte oder IT-Mitarbeiter erreichen.

Preise und Lizenzierung

Schwachstellen-Management-Tools, die ausschließlich auf Software basieren, sowie physische und virtuelle Appliances, erfordern eine Vorabinvestitionen sowie anschließend eine jährliche Lizenzgebühr. Die Gebühr umfasst die Aktualisierung, die Upgrades von Schwachstellen und Software-Upgrades. In einigen Fällen ist es auch möglich, eine Appliance zu lizenzieren.

Reine Software-Produkte mit Flatrates sind ab etwa 1.400 Euro für den erstmaligen Kauf und einer jährlichen Aktualisierungsgebühr von 1.100 US-Dollar erhältlich. Einige Anbieter legen den Preis anhand der Anzahl der Hosts fest. Der Tenable Nessus Manager zum Beispiel beginnt bei knapp unter 3.000 US-Dollar für 128 Hosts oder 4.750 US-Dollar für 256 Hosts. Vorkonfigurierte Appliances unterscheiden sich bei den Investitionskosten. Sie beginnen bei unter 9.000 Euro und können auf über 18.000 US-Dollar klettern.

Cloud-Services werden in der Regel als jährliches Abonnement verkauft und umfassen unbegrenzte Scans. Der Preis für den Cloud-Service basiert auf der Anzahl der Nutzer, aktiven oder insgesamt gescannten IP-Adressen und/oder Agenten, die in bestimmten Netzwerksegmenten oder auf Endgeräten zum Einsatz kommen.

Support

Ein wesentliches Kriterium für die Wahl des Anbieters bilden die verfügbaren Support-Leistungen. Unternehmen sollten nach Anbietern suchen, die 24/7-Support bieten – vorzugsweise per Telefon. Zu klären ist auch, ob die Kunden eine sofortige Antwort erwarten können oder ob eine zusätzliche Gebühr anfällt, wenn der Support und Service komplizierter und auf eine höhere Stufe eskaliert wird.

Ein weiterer wichtiger Aspekt: Sind Schulungen notwendig? Die umfassenden und fortschrittlichsten Schwachstellen-Management-Systeme erfordern Trainings, damit Unternehmen ihr volles Potenzial schnell ausschöpfen. Schulungskosten können einen wesentlichen Teil der Anlaufkosten ausmachen. Die großen Unternehmen sollten herausfinden, ob bei den Anbietern auf ihrer Liste Schulungen als Teil des Produkts oder der Dienstleistung gelten und bereits im Kaufpreis enthalten sind.

Obwohl sich die Anforderungen von KMU beim Schwachstellen-Management möglicherweise von denen der Großunternehmen unterscheiden, können alle Organisationen von einem soliden Produkt aus diesem Segment profitieren.

Der nächste Artikel dieser Serie untersucht die Tools der verschiedenen Anbieter auf dem Schwachstellen-Management-Markt anhand der hier vorgestellten Kriterien. Sie erfahren, welche Anbieter die Funktionen bieten, die ihr Unternehmen braucht, und wie viel sie jeweils dafür bezahlen müssen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Einführung: Tools für Schwachstellen-Management

Einsatzszenarien für das Schwachstellen-Management

Schwachstellen-Management: Hacker aus dem Unternehmensnetzwerk aussperren

Schwachstellen-Management ist mehr als Patch-Management

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close