magmac83 - Fotolia

Einführung: Tools für Schwachstellen-Management

Tools für Schwachstellen-Management entdecken, priorisieren und mildern die Schwachstellen einer IT-Umgebung in einem kontinuierlichen Prozess.

Unternehmen jeder Größe, von der kleinen Firma mit Web- und E-Mail-Zugang bis hin zu globalen Unternehmen mit vielen internationalen Standorten, sind immer raffinierteren Angriffen über das Internet ausgesetzt. Wenn ein Angreifer auf interne Netzwerke zugreift, sind gravierende, wenn nicht katastrophale, Schäden möglich. Diese reichen von der Veröffentlichung und Vernichtung von sensiblen Daten über Unterbrechungen des Geschäftsbetriebs bis hin zu einem massiven Imageschaden für das Unternehmen. Sicherheitsverletzungen passieren trotz hochwertiger Sicherheitsmaßnahmen wie zuverlässigem Perimeterschutz (zum Beispiel Firewalls, Intrusion-Detection- /Intrusion-Prevention-Systemen, VPN und so weiter), gehärteten Systemen und Endpoint-Security. Die Frage ist nicht ob, sondern wann und wie diese Sicherheitsverletzungen auftreten.

Die Angriffsfläche einer IT-Umgebung ändert sich ständig. Wenn Unternehmen neue Computer und Geräte installieren, Betriebssysteme sowie Anwendungen aktualisieren und Firewall-Regeln ändern, führen sie neue Schwachstellen ein. Ein Weg, um herauszufinden, wie Angreifer die Sicherheitsvorkehrungen des Netzwerks durchbrechen können und interne Server, Storage-Systeme und Endgeräte sowie die dort gespeicherten und übertragenen Daten beschädigen, ist es, diese Schwachstellen zu entdecken und zu schließen. Hier kommen Tools für das Schwachstellen-Management (Vulnerability Management) ins Spiel.

Was ist Schwachstellen-Management?

Mit Hilfe von Schwachstellen-Management entdecken, priorisieren und mildern Unternehmen in einem kontinuierlichen Prozess die Schwachstellen in ihrer IT-Umgebung. Tools für das Schwachstellen-Management unterscheiden sich in Qualität und Funktionsumfang, bieten aber im Regelfall folgende grundsätzliche Features:

  • Entdecken: Hier werden im ersten Schritt alle Komponenten/Assets einer Netzwerkumgebung erfasst, analysiert, kategorisiert und mit ihren Attributen in einer Datenbank gespeichert. Dabei werden auch die Verwundbarkeiten und Schwachstellen der einzelnen Assets entdeckt und erfasst.
  • Priorisieren: Die erfassten und bekannten Schwachstellen und damit verbundenen Risiken werden anschließend nach ihrem Schweregrad bewertet und priorisiert. Entsprechend ihrer Bedeutung erhalten sie in einer Skala Werte zwischen 1 und 5, wobei mit 5 bewertete Schwachstellen am kritischsten sind. Andere Systeme stufen die Schwachstellen als niedrig, mittel und hoch ein.
  • Reparatur/Schadensbegrenzung: Das System bietet Links zu Informationen über jede entdeckte Schwachstelle sowie Empfehlungen für das Schließen der Sicherheitslücke und – falls möglich – Patches der Hersteller. Einige Anbieter verfügen über eine eigene Datenbank mit Informationen zu den verschiedenen Schwachstellen, andere bieten Links zu externen Ressourcen wie beispielsweise der Common-Vulnerabilities-and-Exposures-Datenbank der MITRE Corporation, das Common Vulnerability Scoring System und/oder die SANS/FBI Top 20.

Unternehmen befassen sich zunächst mit den schwersten und gefährlichsten Schwachstellen und arbeiten sich schrittweise zu den weniger schweren Lücken vor, sofern es die Zeit und die Ressourcen erlauben. Da manche Schwachstellen keine ernsthafte Bedrohung für das Unternehmen darstellen, werden sie schlichtweg akzeptiert und nicht behoben. Mit anderen Worten: Das Risiko beziehungsweise die Kosten im Schadensfall sind in diesem Fall geringer als die Kosten für die Reparatur.

Wie funktionieren Schwachstellen-Management-Tools?

Tools für das Schwachstellen-Management sind in drei Grundformen erhältlich: Als klassische On-Premise-Software, als physische Appliance mit installierter Software für das Schwachstellen-Management oder als Service über die Cloud. Ein Kunde konfiguriert das Produkt über eine webbasierte Schnittstelle, damit es eine Reihe von IP-Adressen scannt – sowohl IPv4 als auch IPv6 –, das gesamte Netzwerk oder verschiedene URLs. Darüber hinaus lassen sich bei Bedarf auch andere Komponenten wie Dateisysteme, Konfigurationsdateien und/oder die Windows-Registry überprüfen. Je mehr Kriterien geprüft werden und je größer die Anzahl der IPs ist, desto länger dauert ein Scan. Die meisten Tools für das Schwachstellen-Management bieten vorkonfigurierte Scans; ein Administrator kann diese Templates verändern und individuelle, auf die eigenen Anforderungen abgestimmte Scans speichern, die bei Bedarf oder nach einem Zeitplan ausgeführt werden.

Hinweis: Bei besonders tiefgehenden Scans, die schwer zu erreichende Bereiche eines Netzwerks überprüfen, kann es notwendig sein, dass ein Administrator vorübergehend die Einstellungen seiner Firewall ändern muss, um die detailliertesten Ergebnisse zu erhalten. Dies gilt, obwohl einige Anbieter behaupten, dass sich mit ihrem Produkt vollständige Scans ohne solche Firewall-Änderungen durchführen lassen.

Ein umfassender Schwachstellen-Scanner sollte in der Lage sein, kontinuierlich folgende Assets zu inventarisieren: Kabelgebundene und drahtlose Geräte, Betriebssysteme, Anwendungen einschließlich Web-Apps, Ports, Services, Protokolle, virtuelle Maschinen und Cloud-Umgebungen.

Tools für Schwachstellen-Management führen sowohl authentifizierte als auch nicht authentifizierte Schwachstellen-Scans durch. Ein nicht authentifizierter Scan benötigt keine Administrator-Rechte und konzentriert sich auf die grundlegenden Punkte wie offene Ports und Services, die Identität von Betriebssystemen und so weiter. Authentifizierte Scans erfordern in der Regel Admin-Anmeldeinformationen und gehen tiefer, können sich aber negativ auf ein System oder Netzwerk auswirken. Daher sollten Unternehmen authentifizierte Scans umsichtig nutzen, in der Regel außerhalb der Spitzenlastzeiten. Dafür entdecken sie damit mehr Schwachstellen oder Sicherheitslücken als über nicht authentifizierte Scans.

Nach der Installation des Schwachstellen-Management-Tools sollte der erste Scan möglichst alle Komponenten im Netzwerk umfassen, damit er eine mehr oder weniger vollständige Bestandsaufnahme darstellt. Nachfolgende Scans zeigen dann Trends auf, mit deren Hilfe der Administrator im Laufe der Zeit die Sicherheitslage der IT-Umgebung besser einschätzen kann. Die meisten Schwachstellen-Management-Produkte bieten detaillierte Berichte und Diagramme für die Analyse der Trends zur digitalen Anzeige auf der Konsole oder in gedruckter Form zur Verteilung an Manager und Führungskräfte.

Einige dieser Produkte enthalten auch Exploit-Software für Penetrationstests. Werden Sicherheitslücken entdeckt, kann ein Administrator mit Hilfe der Exploit-Software ohne den Betrieb des Netzwerks zu stören oder zu unterbrechen, sehen, wie ein Angreifer diese Schwachstelle ausnutzen könnte.

Unternehmen müssen das Schwachstellen-Management-Tool regelmäßig nutzen, damit es effizient arbeitet. Wie bei Antivirus-Produkten sind die bei den Scans gesammelten Daten nur so gut wie beim letzten Update. Das heißt: Die meisten Unternehmen sollten ihr Netzwerk täglich überprüfen. Eine Ausnahme bilden kleinere IT-Umgebungen oder Firmen, deren geschäftskritischen Daten und Komponenten nicht mit dem Internet verbunden sind. Hier dürften wöchentliche Scans ausreichen.

Wer braucht Tools für das Schwachstellen-Management?

Unternehmen jeder Größe mit Zugriff auf das Internet profitieren von Schwachstellen-Management. Kunden aus nahezu allen Branchen setzen auf Schwachstellen-Management, darunter Bildung, Banken und Finanzdienstleistungen, Behörden, Gesundheitswesen, Versicherungen, Fertigung, Einzelhandel (Offline und Online), Technik und so weiter.

In welcher Form sind Schwachstellen-Management-Tools erhältlich?

Tools für Schwachstellen-Management sind als reine Software-Produkte, als physische Appliance mit Schwachstellen-Management-Software oder als Service über die Cloud verfügbar. Beim Kauf eines Software-Produkts fallen entweder einmalige Vorauszahlungen und/ oder Lizenzkosten sowie permanente Kosten für die Wartung an. Das Gleiche gilt für die Kombination einer physischen Appliance mit Software; hier fallen zusätzlich die Kosten für den Kauf der Hardware an. Manche Hersteller bieten auch für die Hardware ein ähnliches Lizenzierungsmodell wie für die Software an, damit Unternehmen den gesamten Kauf als laufende Betriebsausgaben statt als einmalige Investitionen abrechnen können.

Ein in der Cloud gehosteter Service oder Software as a Service (SaaS) ist in der Regel als jährliches Abonnement mit unbegrenzten Scans erhältlich. Die Preise variieren von Hersteller zu Hersteller und basieren auf der Anzahl der Benutzer, IPs ‑ entweder nur beim Scan aktiver Nutzer/IPs oder einer Gesamtzahl ‑ und/oder der Anzahl der eingesetzten Agents. Kunden können Geld sparen, indem sie Services nutzen, die nur den Scan von aktiven IPs berechnen. Damit können sie potenziell alle IPs in einem Netzwerk scannen, bezahlen aber nur für diejenigen Protokolle oder Adressen, die sich gerade im Einsatz befinden.

Fazit

Selbst die kleinsten Unternehmen mit weniger als 25 Mitarbeitern oder Nutzern benötigen Tools für das Schwachstellen-Management; in kleinen, mittleren und natürlich großen Unternehmen bilden sie eine wichtige Komponente eines umfassenden Sicherheitsansatzes. Vor allem für Unternehmen, die Compliance-Anforderungen wie PCI DSS erfüllen müssen, ist Schwachstellen-Management obligatorisch.

Der nächste Artikel dieser Serie beschreibt geschäftliche Szenarien für Schwachstellen-Management. Er geht dabei auf verschiedene Anwendungsfälle ein, in denen Schwachstellen-Management unbedingt erforderlich ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close