Schwachstellenscans mit Tenable in der Praxis: Wie verwundbar ist Ihr IT-System?
Eine Kette ist so stark wie ihr schwächstes Glied. Welches das ist, lässt sich meist einfach herausfinden. Aber wie entdeckt man die schwachen Stellen eines IT-Systems?
Server, die bei der Automatisierung der Patches übersehen wurden, Sicherheitslücken in Anwendungen, vernachlässigte Linux-Komponenten: All diese und viele andere Gefahrenquellen aufzuspüren und zu beseitigen — dazu fehlen in kleinen und mittleren Unternehmen meist das Know-how und die Ressourcen. In großen Gesellschaften hat die IT-Abteilung häufig vollauf mit der Unterstützung des operativen Geschäfts zu tun. Dabei geraten dann nicht mehr benötigte Komponenten aus dem Blick — und werden zum Sicherheitsrisiko.
Penetrationstests: Was sie bringen — und was nicht
Besinnen sich Unternehmen auf die allzeit subtile Gefahr, die Systeme könnten kompromittiert werden, dann schwebt ihnen schnell das Stichwort „Penetrationstest“ vor. Doch hier sollten sie kurz innehalten. Führen sie die „Pentests“ durch, bevor sie überhaupt die eigenen Schwachstellen beseitigt haben, reibt sich der Dienstleister jedes Jahr aufs Neue die Hände. Das ist ein wenig, als buchten sie einen Triathlon-Coach, bevor sie das Ziepen im Knie geklärt haben. Mit einem vorherigen Schwachstellenscan identifizieren sie im Voraus ihre Lücken und können bereits selbst Maßnahmen treffen.
Die Ergebnisse der Schwachstellenscans werden mit dem Tenable SecurityCenter in Dashboards übersichtlich aufbereitet.
Schwachstellenscan: die richtige Strategie
Der erste Schwachstellenscan sollte von erfahrenen Experten durchgeführt werden. Das weitere Vorgehen richtet sich nach den Sicherheitsanforderungen. Um den gesetzlichen Datenschutz-Auflagen zu entsprechen, lassen viele Unternehmen den Scan in mindestens einjährigem Rhythmus wiederholen — sei es vom Dienstleister oder von der eigenen IT. Erheblich mehr Sicherheit bietet jedoch ein kontinuierliches Schwachstellenmanagement mit aktiven Scans in mindestens wöchentlichem Rhythmus, passiven Scans und Log-Datei Korrelation.
Warum passive Schwachstellenscans?
Passive Scans können auch dort sinnvoll eingesetzt werden, wo aktive Scans fehlschlagen, zum Beispiel, wenn der Mechanismus, der die Login-Daten verteilt, nicht funktioniert. In hochkritischen Umgebungen wird darüber hinaus oft davor gescheut, Systeme aktiv zu scannen. Passive Scans setzen dagegen an Netzwerkknotenpunkten an. Sie entdecken im vorbeifließenden Datenstrom Anzeichen für verwundbare Software-Versionen — in Echtzeit!
Warum Log Korrelation?
Log-Dateien verraten beispielsweise, dass jemand systematisch versucht, Passwörter zu knacken, oder dass Malware mit dem Internet kommuniziert. Sie werden aber meist nicht ausgewertet, denn sie liegen in unterschiedlichen Formaten vor und sind über die gesamte IT-Landschaft verstreut. Deshalb erfassen die sogenannten „Log Correlation Engines“ alle Log-Formate, werten sie aus und stellen die Ergebnisse übersichtlich dar.
Anhand einer Demo-Version können Kunden von mod IT Services die Möglichkeiten von Log-Correlation-Lösungen testen.
Schwachstellenscan mit Tenable
Im Rahmen vieler Schwachstellenscan-Projekte habe ich gute Erfahrung mit den Lösungen von Tenable gemacht, von denen auch die hier abgebildeten Screenshots stammen. Als Scanner hat sich Nessus von Tenable bewährt. Wer die Komplettlösung SecurityCenter Continuous View erwirbt, kann die Daten beliebig vieler Scans und Scanner korrelieren und übersichtlich in einem Dashboard darstellen.
mod IT Services unterstützt ihre Kunden dabei — ob bei den Schwachstellenscans an sich, seien sie einmalig oder in beliebigen Abständen, mit Auswertungen und Handlungsempfehlungen, bei Installation, Lizenzierung und Betrieb der Tenable-Produkte sowie natürlich mittels Beratung. In diesem Sinne: Für Fragen rund um das Thema sprechen Sie mich gern an, oder verfolgen Sie diesen Blog. In Kürze erscheint hier meine große Schwachstellenscan-Checkliste.
