Schwachstellen-Management ist mehr als Patch-Management

Im Gegensatz zum klassischem Patch-Management werden beim Schwachstellen-Management die Maßnahmen analysiert und auf Verwundbarkeiten überprüft.

Unter dem klassischen Patch-Management versteht man die Notwendigkeit, neue Updates und Hotfixes des jeweiligen Software-Anbieters einzuspielen. Natürlich gibt es schon lange Zeit Anbieter, die diese mühsame Aufgabe übernehmen und permanent sicherstellen, dass Unternehmen up-to-date bleiben. 

Andere Softwareapplikationen updaten sich selbstständig oder die Signaturen werden zum Kunden „gepusht“. Reines Patch-Management ist heute jedoch eine Standardroutine, die kostengünstig und automatisiert vonstattengehen sollte.

Jürgen Kolb,
Managing Partner, iQSol GmbH

Im Gegensatz dazu geht Schwachstellen-Management (Vulnerability Management) einige Schritte weiter und analysiert die eigene Umgebung permanent auf die tatsächliche Tauglichkeit der Aktivitäten sowie auf bekannte Verwundbarkeiten, wodurch die Uhr der Zero-Day-Threats zu ticken beginnt. 

Unter anderem überprüft klassisches Vulnerability-Management (VN) nicht nur, ob Patches geladen und eingespielt wurden, sondern auch tatsächlich aktiv sind. Darüber hinaus ist ein wesentlich höherer Automatisierungsgrad gegeben, auch Veränderungen von Devices im Netzwerk werden gescannt. 

Eine Interaktion mit anderen Security-Tools wie mit einer SIEM-Lösung ist ebenso notwendig. Dadurch erhöht sich das Sicherheitslevel dramatisch. Da diese VN-Lösungen zudem ständig Tests in der eigenen IT-Umgebung laufen lassen, senken sie auch den Aufwand für Audits und erfreuen die Compliance-Verantwortlichen.

SIEM integriert Vulnerability Management

Wenn man sich auf dem IT-Markt umsieht, gibt es viele Anbieter für Nischenprodukte sowie die Massenmärkte namhafter Security-Anbieter, die auch übergreifende Querschnittsthemen „mitnehmen“. Auf dem nächsthöheren Schutzlevel befinden sich Schwachstellen-Management, SIEM-Lösungen und Log-Management. 

Sieht man von den Anbietern ab, die diese Themen streifen – wie manche Firewall-Hersteller oder klassische Security-Universalanbieter – verbleiben die jeweiligen Top-Anbieter der einzelnen Fachgebiete, an die man sich zum Aufbau eines wirksamen Schutzes wenden kann.

Aufgrund der Komplexität und der bisherigen Erfahrungen des letzten Jahrzehnts ist es anzuraten, von der Komponente Security Information and Event Management auszugehen. Diese „Engine“ sammelt und korreliert alle relevanten Ereignisse und integriert somit auch den Aspekt der Schwachstellenanalyse. 

Auch eine allfällige Alarmierungskette, Logs aus Firewall-Systemen und anderen Softwaretools können in der zentralen SIEM-Datenbank ausgewertet werden. Meist sind Schwachstellen-Scanner out-of-the-box integriert oder Fremdprodukte lassen sich einfach einbinden. Umfassende Reports nach internationalen Standardvorgaben sind genauso möglich wie ein regelbasiertes Filtern von Logs und bessere Abwehrmöglichkeiten bekannter und komplexer Gefahren, wo signaturbasierte Verfahren nicht mehr helfen.

Mögliche Mehrwerte eines SIEM- und Log-Management-Projektes

In der Praxis sieht man immer wieder, dass unterschiedliche Anforderungen zu einem SIEM-Projekt führen. Aus der Sicht der Compliance-Verantwortlichen, die oftmals auch Aspekte der IT-Forensik zu berücksichtigen haben, steht der Gesichtspunkt der Log-Datensammlung an erster Stelle. Im Vordergrund stehen somit Fragen des Datenschutzes, des Speicherbedarfs und der Suchoptionen. 

Schwachstellen-Management analysiert die eigene Umgebung auf die Tauglichkeit der Aktivitäten sowie auf bekannte Verwundbar-keiten.

Auf der anderen Seite wollen Projektmanager auch bisher unbekannte Trojaner- und Bot-Systeme aufspüren, verstärkte Regeln und Prozesse durchsetzen oder letztlich sogar ein Security Operation Center (SOC) aufbauen. Diese Features sind klassische SIEM-Funktionen, die eine sehr erfahrene Security-Mannschaft erfordern – ebenso wie eine Rund-um-die-Uhr-Betreuung, was für verschiedene Varianten aus dem Angebot der Managed-Security-Services sprechen würde. 

Möchte man bei Vorfällen auch noch Security-Spezialisten vor Ort zur Unterstützung wissen und kurzfristig auf notwendige Tools (Advanced Threat Protection) und Hersteller zugreifen, wird die Luft schon sehr dünn. Gleichzeitig kann aber auch der Schutzlevel so erhöht werden, dass Eindringlinge schnell erkannt und überführt werden oder der Aufwand eines Angriffs schlicht zu hoch wird.

Wenn nun auch Schwachstellen-Management und möglicherweise Honeypot-Systeme integriert werden, kommt eine externe Betreuung durch einen spezialisierten IT-Dienstleister in Frage. Die besten Ergebnisse werden mit den Software-Herstellern selbst und deren Partnern erzielt, wobei aber vertrauliche Daten weder das Land verlassen noch ungeschützt in die Cloud „entgleiten“ sollten.

Über den Autor:
Jürgen Kolb ist Geschäftsführer und Gesellschafter eines österreichischen IT-Dienstleisters und Managing Partner bei der iQSol GmbH, einem Softwarehersteller für Alerting- und SIEM-Management-Lösungen. Seit über zehn Jahren ist der Schwerpunkt seiner Arbeit die Entwicklung von IT-Compliance-Lösungen, mit denen Unternehmen manipulationssicher sind und zudem die Compliance-Anforderungen erfüllen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close