Schwachstellen Management

• Nicht authentifizierter Zugriff auf allen externen und internen Systemen.
  Das Ziel ist hierbei, alle bekannten Schwachstellen aus Netzwerksicht (und somit auch die eines Angreifers) aufzudecken.
  Hierbei ist zu beachten, dass tatsächlich alle IP-Adressen berücksichtigt werden. Die Ergebnisse lassen sich prima mit dem Asset-Management abgleichen.
  

• Authentifizierter Zugriff auf allen externen und internen Zielen (wo möglich).
  Hier wird mittels erhöhten Rechten, der Zustand direkt im Inneren eines Systems überprüft. Ergänzend zur erweiterten Diagnose von bekannten Schwachstellen, wird in diesem Verfahren auch die Systemkonfiguration ermittelt und mit den Empfehlungen von international anerkannten „Best-Practices“ verglichen.
  Teils werden hunderte Einstellungen kontrolliert!
  

Nach jeder Durchführung werden die entdeckten Schwachstellen in Kategorien mit niedrigem, mittlerem und hohem Schweregrad klassifiziert und in aufschlussreichen Reports zusammengefasst. Auch die Systemkonfigurationen werden mit umfangreichen Reports aufgeschlüsselt und mit sehr detaillierten Abhilfe-Maßnahmen ergänzt. Die Sprache aller Reports ist US-Englisch.

Alle Ergebnisse werden anschließend mit Ihrem IT-Team und/oder der Geschäftsleitung besprochen, sowie direkt seriöse Handlungsempfehlungen erörtert, um bei der Beseitigung der gefundenen Missstände zu helfen.

Zu den Abhilfe-Maßnahmen können gehören:

• Konfigurationsänderungen.
• Die Anwendung geeigneter Patches.
• Migrationen zu neuen oder alternativen Systemen.
• Re-Design von System-Landschaften.
• Die Einschränkung des Netzwerkzugriffs (z. B. durch Mikro-Segmentierung und Firewall-Regeln).
• Eigene Entwicklungen von „akzeptablen Workarounds“.
• Eigene Playbooks und Skripte, genau nach Ihren Bedürfnissen.

Mein Unternehmen unterstützt Sie auch bei der Erstellung eines Risiko-Akzeptanzprozesses und der damit einhergehenden Dokumentation. Bei Schwachstellen, die nicht behoben werden können bzw. bei denen lediglich eine Risiko-Verminderung möglich ist, unterstütze ich Sie selbstverständlich bei einer entsprechenden Risiko-Bewertung.

Die Häufigkeit und die Granularität des Schwachstellen-Managements, hängt in erste Linie von Ihrer Umgebung ab (und natürlich auch vom gewählten Service-Paket). Eine Infrastruktur mit 50 Servern ist weniger zeitaufwendig als eine Umgebung mit 5000 Servern, die weltweit verteilt sind. 
 

Die Intervalle zu Schwachstellen-Scans sind von Rahmenwerk zu Rahmenwerk leicht unterschiedlich. Gemeinsam haben jedoch alle, dass es einen ausgeklügelten Prozess bedarf und Ihr Asset-Management funktionieren muss (unbekannte Assets und prüfen 🤷‍♂️).
 
Das US-Amerikanische Center for Internet Security® (CIS) und deren aktuelles Framework CIS Critical Security Controls® beschreibt im Kapitel 07 "Continious Vulerability Mangement“(gekürzt):
 
"7.5 Perform Automated Vulnerability Scans of Internal Enterprise Assets

Perform automated vulnerability scans of internal enterprise assets on a quarterly, or more frequent, basis. Conduct both authenticated and unauthenticated scans, ..."

"7.6 Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets

Perform automated vulnerability scans of externally-exposed enterprise assets .... Perform scans on a monthly, or more frequent, basis."
 

In der Praxis kann der Grat zwischen einem „externen“ und „internen“ Asset schwammig sein. Eine Fehlkonfiguration eines internen Servers kann aus diesem internen System ein externes machen (und sehr häufig sind genau diese Fehlkonfigurationen verantwortlich für verheerende Hacker-Angriffe.).
 

Bedenkt man auch die Häufigkeit von Patches, die „ad-hoc“ veröffentlicht wurden, weil eine neue kritische Bedrohung aufgetreten ist, ist das Scan-Intervall deutlich kürzer als „monatlich“ anzusetzen.

Meine Empfehlung ist ein fix definierter Prozess für wöchentliche Scans, unterteilt in verschiedenen Gruppen (z.B. Netzwerk-Geräte, dann Linux basierte Server usw.) und ein separater Prozess, der Scans nach einem System-Update, einer umfangreichen Neu-Konfiguration, Neu-Installation oder Neu-Implementation erfordert (idealerweise nachverfolgbar via einem Ticket-System).

Sobald ein Schwachstellen-Management initial implementiert worden ist, können Prozesse verfeinert und in eine umfangreiche Richtlinie überführt werden. Auch die Einführung eines „Playbooks“ im Rahmen eines Notfall-Plans ist denkbar. Bei der Erstellung von Prozessen und Richtlinien unterstütze ich Sie gerne und begleite Sie bei Bedarf auch bei der Verwirklichung eines Informations-Sicherheits-Management-Systems (ISMS).

Ich führe regelmäßige Besprechungen mit Ihren IT- und Geschäftsteams durch, um Ihr Risikoprofil und wichtige Bedrohungsvektoren sowie die Maßnahmen zur Risikominderung zu besprechen. Dazu können auch Schwachstellen gehören, die für Ihre spezifischen Geschäftsanforderungen nicht relevant sind (bzw. erscheinen).

Jedes Paket beinhaltet auch die Bewertung der Systemkonfiguration (soweit möglich) nach international bewährten Vorlagen. Die Bewertung der Systemkonfiguration sollte eine besonders hohe Priorität erhalten, den, ein System mit aktueller Software, kann dennoch hoch unsicher im produktiven Betrieb laufen, wenn dieses System fahrlässig konfiguriert wurde.

Ein ordentlich gehärtetes System, kann die Systemsicherheit erheblich steigern, so weit, dass viele Angriffe ins Leere laufen bzw. überhaupt nicht mehr möglich sind. Ein nach internationalen "Best Practices" konfiguriertes System erhöht auch die allgemeine Betriebssicherheit. Mit Betriebssicherheit ist gemeint, dass das System so optimiert wird, dass gängige Problemstellungen und Fehlerquellen verringert bzw. vermieden werden und auch das "Optimum" an Leistung genutzt wird. Als Beispiel sei ein schlecht konfiguriertes Spanning-Tree Protokoll in klassischen Layer-2 Netzwerken genannt, nicht nur die IT-Sicherheit leidet darunter, sondern auch der Betrieb im Falle eines Broadcast-Storms oder die Geschwindigkeit durch die unglückliche Platzierung der Root-Bridge. Als Nebeneffekt gewinnt eine IT-Abteilung durch dieses Vorgehen eine „Baseline-Security“, bei der jedes System einem „Standard“ folgt.

Nicht umsonst ist die „System Härtung“, auch "System Hardening" genannt, ein fester Bestandteil von Frameworks wie dem CIS Critical Security Controls®, der ISO/IEC 27001:2022 und vielen anderen. Mehr und mehr Auftraggeber und Versicherungen erzwingen sogar entsprechende Maßnahmen.

Meine Methoden können in der Regel skaliert werden und ferner biete ich weitere Dienstleistungen an, ein einmal nach „Compliance“ konfiguriertes System dauerhaft zu überwachen und jegliche Abweichung zu melden.  Gray-Hat IT-Security Consulting Stephan H. Wenderlich, empfiehlt die Verwendung von CIS Benchmarks™ zur System-Härtung.

Was sind CIS-Benchmarks™?

CIS-Benchmarks™ sind Konfigurationsempfehlungen und wurden vom Center for Internet Security® (CIS®), eine gemeinnützige Organisation, entwickelt. Es ermöglicht Unternehmen, ihre Maßnahmen für Sicherheit und Compliance zu verbessern. Das Ziel dieser Initiative ist es, von einer Gemeinschaft von Cyber-Sicherheitsexperten entwickelte Basisstandards für die IT-Konfigurationen bzw. CIS-Benchmarks™ für IT- und Sicherheitslösungen zu erarbeiten, die in Unternehmen häufig eingesetzt werden.

Welche Vorteile haben die CIS-Benchmarks™

Unternehmen aller Art, die die CIS-Benchmarks™ umsetzen, können folgende Vorteile erzielen:

• ✅ Absicherung von Systemen gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen.
• ✅ Eine schnellere Behebung von Schwachstellen durch die Bereitstellung von Empfehlungen im Rahmen von Referenzwerten.
• ✅ Langzeitvertrauen des Top-Managements und Bereitstellung von Budgets für die IT-Security Fachabteilungen.
• ✅ Optimierte Sicherheitsstandards für Cloud-Umgebungen und Abwehr von Bedrohungen.
• ✅ Gesteigertes Kundenvertrauen durch nachweisliche Einhaltung von branchenspezifischen Benchmarks.

Bei Bedarf, kann ich Sie umfangreich unterstützen und Sie von meiner jahrelangen Praxis-Erfahrung partizipieren lassen.

Grundsätzlich kommen Experten-Tools, die international mit zu den besten ihrer Art gehören, zum Einsatz. Diese Fachanwendungen haben oft Dienstleister als Zielgruppe und sind häufig so hochpreisig, dass dessen Beschaffung für einzelne Unternehmen oft zu kostspielig ist. Als seriöser Unternehmer sind alle Fachanwendungen legal erworben und passend lizenziert.

Meine verwendete Software bietet immer die aktuellsten Datenstände und die aktuellsten Vergleichsdaten. Eine konstante Weiterbildung zu den komplexen Anwendungen, ist selbstverständlich.

Schwachstellen-Management: Eine schematische Übersicht des Zyklus

Jedes Service-Paket bedarf eine Bestandsaufnahme, Aufstellung der Teams, die Berücksichtigung der Erwartungen, Klärung von rechtlichen Aspekten (z. B. darf ein System überprüft werden, dass von einer dritten Partei verwaltet wird, AV-Vertrag, NDA usw.) und der technischen Einrichtung der Zugänge.