Ergebnisbasiertes Sicherheitsmonitoring

Transkript

1 Ergebnisbasiertes Sicherheitsmonitoring Ron Gula Chief Executive Officer, Chief Technology Officer

2 Einleitung Das Schwachstellenmanagement hat einen Punkt seiner Entwicklung erreicht, an dem ein ergebnisorientiertes Schwachstellen-Monitoring in großen Unternehmen dank Big Data -Analysen möglich ist. John Streufert, Director of the National Cyber Security Division im U.S. Department of Homeland Security (DHS), hat kürzlich fünf Empfehlungen abgegeben, um kontinuierliches Monitoring zu erreichen: 1. Scannen Sie täglich, mindestens alle 36 bis 72 Stunden. 2. Seien Sie abwehrbereit. 3. Patchen Sie täglich. 4. Bewerten Sie personenbezogen. 5. Nehmen Sie Manager in die Verantwortung. Diese Empfehlungen sind Schlüsselkomponenten des CyberScope-Programms der U.S.-Regierung. Es beinhaltet Empfehlungen für ein globales Publikum. CyberScope wurde von der US-Bundesregierung sowie vielen staatlichen und kommunalen Regierungen eingesetzt. Es findet jedoch zunehmend Zuspruch in privatwirtschaftlichen Unternehmen der Bereiche Handel, Finanzen, Fertigung, Energie sowie wissenschaftlichen Instituten. Obwohl das CyberScope-Programm monatliche Berichte erfordert, finden in vielen Unternehmen fast täglich oder sogar in Echtzeit intern durchführte Risikobewertungen statt. Kontinuierliches Monitoring erfordert genauso viel Aufwand und Analysen zur pro-aktiven Überwachung der Sicherheit wie klassische Abwehrstrategien wie beispielsweise Virenscanner und Intrusion Detection. Organisationen, die auf ein kontinuierliches Monitoring setzen, können in Echtzeit auf neue Schwachstellen und Bedrohungen reagieren. Allerdings befinden sich heute viele namhafte Unternehmen beim Schwachstellenmanagement noch immer im tiefsten Mittelalter. Die meisten Organisationen arbeiten bei der Schwachstellenerkennung noch zu langsam, um effizient zu reagieren und sie kommunizieren nicht, welche Maßnahmen ergriffen werden müssen. Sie befinden sich in einem ständigen Kampf, da sie nicht über die richtigen Informationen und/oder Ressourcen verfügen, um Sicherheitsprobleme zu lösen. Die hohe Geschwindigkeit von kontinuierlichem Monitoring schafft die Gelegenheit, das Schwachstellenmanagement als Big Data -Problem zu sehen. Die von zahlreichen Sensoren gesammelten Daten können genutzt werden, um große Organisationen nahezu in Echtzeit zu modellieren und zu bewerten. Sie müssen allerdings gefiltert werden, um verwertbaren Aussagen bezüglich geschäftskritischer Risiken zu treffen. Diese Daten helfen, bessere Entscheidungen zu treffen, Trends zu erkennen, bevor sie zu Problemen werden, bessere Richtlinien zu erstellen und das Verantwortungsbewusstsein der Asset-Eigentümer beim Management ihrer Systeme zu erhöhen. Die Daten erlauben genaue, ergebnisbasierte Bewertungen der Sicherheitslage verschiedener IT-Unternehmen, Assets oder Business Units. Die Ergebnisse, die Führungskräften und dem Management zur Verfügung stehen, können in Echtzeit verfolgt werden und sind nicht durch menschliche Eingriffe, Politik oder die mangelnde Fähigkeit, diese Informationen zu verfolgen, eingeschränkt, verändert oder verfälscht. Dieses Dokument beschreibt Strategien, mit denen kommerzielle und staatliche Organisationen die beschriebenen Ziele für ihr kontinuierliches Monitoring erreichen. Der hier beschriebene Ansatz nutzt verteiltes Scannen, Sniffing und Log-Analyse für eine flexible, skalierbare und nahezu in Echtzeit ablaufende Schwachstellenerkennung für jede Netzwerkgröße. Noch wichtiger ist, dass dieser Ansatz erweiterte Analysefunktionen beinhaltet, welche die Schwachstellendaten, aufgeschlüsselt nach Geschäftsbereich, Asset Owner oder Technologieplattform bewerten, auf Trends und Grenzwertüberschreitungen untersuchen und transparent machen. Organisationen jeder Größe können ihre Zielwerte im Bereich IT-Sicherheit definieren und verfolgen, wie gut jede einzelne Business Unit arbeitet, um diese Ziele zu erreichen. Schritt 1 Scannen Sie täglich. Für große und kleinere Unternehmensnetzwerke ist es möglich, Schwachstellen-Prüfungen täglich auszuführen, vorausgesetzt Sie setzen spezielle Scanner, Agenten oder Sniffer ein. Früher führten die meisten Organisationen Schwachstellen-Scans nur einmal im Monat durch und sandten einen Bericht per an die IT-Abteilung. Heute jedoch hat sich die Technologie dank verteilter Scan- und Monitoring- Funktionen so weiterentwickelt, dass praktisch sofortige Prüfungen großer Netzwerke stattfinden können und sollen. Nicht in Echtzeit zu scannen, birgt beträchtliche Gefahren. Schwachstellen-Checks werden täglich aktualisiert, um Zero-Day-Angriffe, neue Schwachstellen und Notfall-Patches außerhalb der üblichen Veröffentlichungen der Hersteller zu erkennen. Schon monatliche Sicherheitsprüfungen garantiert praktisch, dass Ihre Scans kritische Sicherheitsprobleme identifizieren, die behoben werden müssen. Nicht gepatchte und verwundbare Systeme laufen zudem Gefahr, dass Eindringlinge neben den klassischen Angriffen mittels Malware- und Botnet-Infektionen auf das System zugreifen. 2

3 Die Kombination von aktiven und passiven Scannern ist notwendig für großflächiges Scannen in Echtzeit. Aktive Scanner, wie Nessus, besitzen Eigenschaften wie die High-Speed-Schwachstellenerkennung, Asset Profiling, agentenlose Konfigurationen und Compliance- Audits, Erkennung sensibler Daten und tiefgehende Prüfungen. All das hilft einem Unternehmen, seinen allgemeinen Security-Status zu charakterisieren und zu quantifizieren. Der Vorteil der aktiven Scanner ist, dass es sich dabei um eine relativ schnelle und genaue Methode handelt, um Gefahrenpotenzial in Ihrem Netzwerk zu ermitteln. Das passive Scannen ist eine softwarebasierte Lösung zur Prüfung des Netzwerks und zur Analyse von Schwachstellen; sie liefert ein Echtzeit-Netzwerk-Monitoring und -Profiling zur kontinuierlichen Bewertung der Sicherheitslage einer Organisation, ohne den Betrieb zu beeinträchtigen. Passive Scanner überwachen den Netzwerkverkehr auf Paket- Ebene, um die Topologie zu ermitteln, Server- und Client-seitige Schwachstellen sichtbar zu machen und die Übertragung vertraulicher Daten sowie die Verwendung gemeinsamer Protokolle und Dienste zu identifizieren. Im Gegensatz zu einem aktiven Scanner, der eine Momentaufnahme des Netzwerks untersucht, verhalten sich passive Scanner im Netzwerk wie Bewegungsmelder, die kontinuierlich alles beobachten, einschließlich unbefugter, unbeabsichtigter und verdächtiger Interaktionen zwischen den Hosts. Die Kombination von aktiver und passiver Analyse bietet mehr Sicherheit für Daten in jedem IPv4- oder IPv6-Netzwerk. Sie erkennt und prüft auch alle mobilen Geräte, die mit dem Netzwerk verbunden sind. Es ist wichtig, sicherzustellen, dass aktive und passive Scanner auch IPv6-Netzwerke analysieren können, die sich durch Billionen potenzieller IP-Adressen auszeichnen. Dies ist auch nützlich, um Querverweise von Sicherheitschecks mit Patch-Management-Systemen des Unternehmens herzustellen. Nur so wird sichergestellt, dass die Patches tatsächlich eingesetzt werden. Die Echtzeiterkennung neuer Systeme, neuer Anwendungen und neuer Schwachstellen macht es möglich, die anderen vier von John Streufert dargestellten Punkte zu erreichen, weil die Daten, die diese Metriken antreiben, aktuell sind. Schritt 2 Seien Sie abwehrbereit. Eine Organisation auf Angriffe vorzubereiten unterscheidet sich deutlich von der Verwaltung klassischer Patch-Fenster. Ein Patch-Fenster ist ein Zeitraum, den eine Organisation einer Business Unit oder einem Asset einräumt, um einen Patch anzuwenden. Heute haben viele Unternehmen Dashboards und Berichtsmechanismen, die auf die Anwendung von Patches im großen Stil ausgerichtet sind. Sie konzentrieren sich jedoch nicht unbedingt auch auf die Messung der tatsächlichen Anfälligkeit eines Unternehmens auf Angriffe. Dies vermittelt Organisationen ein falsches Gefühl der Sicherheit. Das Anwenden von Patches ist immer noch sehr wichtig, aber das Verständnis, wie Assets ausgenutzt werden können, ist noch wichtiger. Konventionelles Denken und die Erfahrung lehren, dass die Erwartung unrealistisch ist, alle Patches könnten sofort angewendet werden. Deshalb ist ein Patch-Fenster vorgesehen, damit IT-Manager eine angemessene Menge an Zeit haben, um alle Sicherheitsprobleme zu beheben. Doch aus Sicht des Angreifers garantiert dies, dass jeder Exploit, der gerade bekannt wird, wahrscheinlich einige Zeit in Unternehmensnetzwerken funktionieren wird. Berichte zu Patch-Fenstern lassen außer acht, ob ein System innerhalb eines Netzwerks arbeitet. Befindet es sich hinter einer Firewall? Handelt es sich um den Computer eines IT-Administrators? Ist es der gerade in einem Hotel verwendete Laptop einer Vertriebsperson? Die Prüfung, ob ein Computer gepatcht ist oder nicht, ist viel einfacher als nach zu verfolgen, ob ein Computer direkt aus dem Internet angegriffen werden kann oder als Sprungbrett zu geschäftskritischen Systemeinheiten des Unternehmens dienen kann. Ein besserer Ansatz zum Verständnis und zur Visualisierung der Abwehrbereitschaft verbindet das Auditing für Patches mit der Bewertung, wie gut das jeweilige System einem Angriff widerstehen kann, sowie mit der Identifizierung von Systemen, die gegebenenfalls verwendet werden, um daraus andere Systeme anzugreifen. Es sind vier Stufen der Datenerhebung und -analyse zu berücksichtigen: 1. Spüren Sie Schwachstellen, Vertrauensbeziehungen im Netzwerk und Internetzugänge so häufig wie möglich mit Sniffing und Scans mit Zugangsdaten auf. 2. Korrelieren Sie jede gepatchte, gescannte oder anderweitig gefundene Schwachstelle mit bekannten Exploits aus beliebten Tools und Produkten für Penetration Tests. 3. Identifizieren Sie Angriffswege und Vertrauensbeziehungen, um zu sehen, welche Schwachstellen direkt aus dem Internet heraus genutzt werden beispielsweise durch das Surfen im Internet oder aus einem intern privilegierten Zugang heraus. 4. Assoziieren Sie diese Exploit-Pfade mit Ihren einzelnen Assets, so dass sie priorisiert und behoben werden können, beispielsweise durch Patches, Firewall-Regeln, Proxies etc. Die Sammlung von Schwachstellen und deren Korrelation mit Exploits ist sehr nützlich. Sie ermöglicht Ihnen, zu erkennen, welche Assets am ehesten durch Server- und Client-seitige Attacken bedroht sind. Die Einbeziehung der Vertrauensbeziehungen im Netzwerk und der Zugangsinformationen ermöglicht die automatische Identifizierung vertrauenswürdiger Systeme, wie z.b. die von IT-Administratoren genutzten, gemeinsame Server mit breitem Zugriff und Systeme mit sowohl lokalem Netzwerk- als auch Internetzugriff. 3

4 Mit diesen Informationen können Sie Hosts in den folgenden drei Stufen identifizieren: 1. Hosts, die direkt aus dem Internet aus angreifbar sind, 2. Internet-Browsing-Clients, deren Client-seitige Software ausgenutzt werden kann, 3. Vertrauenswürdige Systeme, auf die von den Hosts in der Kategorie #1 oder #2 zugegriffen werden kann. Die Nutzung der Verbindungsdaten aus passivem Sniffing und Audits mit Zugangsdaten ermöglicht die Identifizierung, ob Systeme als Clients oder als Server fungieren. Die Kenntnis dieser Zusammenhänge ermöglicht es Ihnen, zu verstehen, welche Server von gefährdeten Clients aus verwaltet werden. Viele Unternehmen haben von manuellen Scans vor Ort auf zentralisierte Scans migriert und mussten ihr komplettes Compliance-Reporting überdenken, da es nicht skalierte. Schritt 3 Patchen Sie täglich. Die Zeiten der quartalsweisen Schwachstellen-Scans, verbunden mit dem Senden eines riesigen Berichts an alle IT-Gruppen sind lange vorbei. Ebenfalls seinem Ende nähert sich das Boutique Vulnerability Management, bei welchem das Security-Team spezifische Patches wählt und die IT-Administratoren bittet, diese anzuwenden. Wegen der erhöhten Gefahr für die IT-Assets sind Administratoren angehalten, öfter zu patchen, manchmal sogar täglich. Vor vielen Jahren war das Vertrauen in die Anwendung von Patches führender Herstellern wie Microsoft, Adobe oder Cisco noch gering. Heute jedoch leben wir seit fast einem Jahrzehnt mit regelmäßiger Patch-Anwendung und Updates, die direkt vom Hersteller kommen, und mit der Ausführung von Patches durch Patch-Management-Systeme in automatisierter Weise, aber auch mit einfacheren Möglichkeiten, ein Rollback durchzuführen. Dieses Vertrauen hat dazu geführt, dass weniger Wert auf das ausgiebige Testen von Patches über einen längeren Zeitraum gelegt wird, um sicherzustellen, dass sie keine Einschränkungen mit sich bringen; der Fokus liegt heute vielmehr auf der schnellen Ausführung von Patches. Ein effektiver Ansatz zur Überwachung täglicher Patches involviert mehrere Technologien. Passives Monitoring kann verwendet werden, um Netzwerke zu überwachen, für deren Scan das Security-Team nicht über die nötigen Rechte verfügt, um fehlende Patches zu verfolgen. Passiv erhaltene Schwachstellendaten können auf das Alter einer bestimmten Schwachstelle geprüft werden, wann sie zum ersten Mal erkannt wurde, wann sie zuletzt gesehen wurde und ob sie wieder auftrat. Das aktive Scannen kann genaue herstellerunabhängige Patch-Informationen bieten, ohne Einsatz eines Agenten auf den gescannten Systemen. Es ist hilfreich, eine Verlaufshistorie von allen Schwachstellen, die behoben wurden, anzulegen. So lässt sich feststellen, ob eine bereits geschlossene Schwachstelle wieder auftritt. Dies ist wichtig, weil, anders als einer neu auftretenden Schwachstelle, die einfach gepatcht werden kann, eine bereits bekannte Sicherheitslücke das Ergebnis eines fehlerhaften IT-Prozesses ist. In diesem Fall muss der Prozess verbessert werden. Es ist auch wichtig, Schwachstellen durch die Normalisierung von Protokollen nach zu verfolgen. Protokolle können die Installation von Patches, die Entfernung von Software und viele andere Arten von Änderungen aufzeichnen. Protokolldaten können auch verwendet werden, um Schwachstellen zu identifizieren, da die Informationen über Anwendungsversionen in der Regel in den Protokollen vermerkt werden, sobald die Anwendung gestartet wird. Ein einzelner Scan gibt kein vollständiges Bild vom Sicherheitsstatus eines Unternehmens Sie benötigen eine kumulative Übersicht, die mehrere Datenpunkte umfasst. In der Branche für Schwachstellen-Scans basiert das Konzept der Arbeit mit einzelnen Scans auf fünfzehn Jahren Erfahrung mit Betriebssicherheit, Beratungsaufträgen und jährlichen Audits. Mit kontinuierlichem Monitoring stellt ein Scan nur ein Bruchteil der auszuwertenden Daten dar. Monolithische Scans, die jede Art von Test anwenden, können durch effizientere Scans ersetzt werden, vor allem, wenn sie durch kontinuierliche passive Erkennung mit verteilten Sensoren ergänzt werden. Ein wesentlicher Aspekt dieser kumulativen Übersicht ist, dass jeder in der Organisation, der Schwachstellendaten einsehen darf, stets mit den neuesten Daten arbeiten kann. Es gibt keine aufwändigen Eskalations- oder Reaktionsprozesse mehr, um Sicherheitserkenntnisse zu verteilen. Sobald Systemadministratoren Zugriff auf den Sicherheitsstatus eines Assets haben, können sie mit den neuesten Schwachstellendaten arbeiten. Das hat viele Vorteile gegenüber der manuellen Verbreitung von Scan-Ergebnissen. Abhängig von der Größe und Komplexität Ihrer Organisation können alle oder einige dieser Technologien genutzt werden, um täglich zu verfolgen, welche Arten von Sicherheitsrisiken existieren. Noch wichtiger ist, wenn es Ziel ist, täglich zu patchen, dass dieses Maß an Automatisierung und Tracking die täglichen Fortschritte prüfen und den Fokus auf die notwendigen Verbesserungen richten kann. Wie wir im vorherigen Abschnitt Fokus auf Abwehrbereitschaft gesehen haben, können tägliche Schwachstellen-Scans helfen, die Patch- Administraion zu tracken. Der Fortschritt, so z.b. dass ein Patch zu einem bestimmten Zeitpunkt angewendet wird, kann auch bei großen Netzwerken berücksichtigt werden. Zum Beispiel kann die passive Erkennung von Client-basierten Sicherheitslücken in Trend-Charts wie den folgenden dargestellt werden: 4

5 Diese Trend-Linie hat sich komplett aus passiven Analysen ergeben. Es waren keine Interaktionen mit Ziel-Systemen, dem IT-Personal oder laufenden Scans vonnöten, um die stetige Reduzierung angreifbarer Systeme (dargestellt in rot) nachzuverfolgen. Es ist auch möglich, das Ausmaß an täglichen Veränderungen im Netzwerk graphisch darzustellen. Betrachten Sie das folgende Dashboard. Es zeigt das Vorkommen nicht unterstützter Client-Software, Client- und Server-basierter Schwachstellen, Systeme mit vielen und kritischen Schwachstellen und Systeme mit einem CVSS Score von 10 über einen Zeitraum von drei Monaten. Unsupported Client Software Trend Diese Grafik zeigt Informationen über auf Client-Devices ermittelte Software, die ausgelaufen ist und keinen Herstellersupport mehr erhält. Der Trend zeigt, dass Clients aktualisiert wurden und über die aktuellen Software-Versionen verfügen, nachdem anfänglich entdeckt wurde, dass sie ältere Versionen nutzen. Exploitable Vulns Diese Grafik zeigt die Anzahl ausnutzbarer Schwachstellen, die auf Basis von Server- und Client-basierten Asset- Gruppen ermittelt wurden. Systems with High Vulns Diese Grafik stellt die Gesamtzahl aller entdeckten schweren und geschäftskritischen Schwachstellen dar (grüne Linie). Die blauen und gelben Linien zeigen alle schweren und geschäftskritischen Schwachstellen, die bei den Clients ermittelt wurden, wobei die Schwachstelle selbst allerdings im Jahr 2010 bzw offengelegt wurde. Systems with CVSS Scores of 10 Diese Grafik bildet die Gesamtanzahl aller identifizierten Schwachstellen ab, die einen CVSS-Wert von 10 besitzen (grüne Linie). Die blauen und gelben Linien zeigen alle Schwachstellen mit einem CVSS-Wert von 10, die bei den Clients ermittelt wurden, wobei die Schwachstelle selbst allerdings im Jahr 2010 bzw offengelegt wurde. Die Fähigkeit, diese Patch-Daten nahezu in Echtzeit einzusehen, sowie eine Langzeitansicht erlauben es Unternehmen jeder Größe, ihre tägliche Weiterentwicklung hin zu einem verbesserten Sicherheitsstatus zu tracken. 5

6 Schritt 4 Bewerten Sie personenbezogen. Risikomanagern, IT-Administratoren, Asset-Inhabern und vielen andere Arten politisch als auch administrativer Verantwortlicher können Assets zugeordnet werden. Noch wichtiger ist, dass wenn einer Person ein Asset zugeordnet wird, Probleme auf verschiedene Arten bewertet werden können, um der Organisation viele verschiedene Wege für die Messung bereitzustellen, wie gut die Person oder die von ihr geleitete Gruppe mit Risiken umgeht. Jede Asset-Definition kann eine Liste von IP-Adressen oder DNS-Namen sein. Kombinationen von Netzwerkbereichen können ebenfalls verwendet werden. Listen können durch manuellen Import von anderen Systemen, Auszüge aus LDAP-(Active-Directory-)Ressourcen und die Definition basierend auf passiven oder aktiven Scan-Ergebnissen zusammengestellt werden. Leistungsfähige Regeln können Scan-Daten fortschrittlich verarbeiten, um Listen zu generieren, die auf Scan-Details basieren, wie z.b. die Erstellung von Listen aller IPv4-Systeme, die einen offenen Port oder eine bestimmte Domänenbezeichnung haben, die über unautorisierte Betriebssysteme verfügen und mehr. Assets können auch in Gruppen zusammengefasst werden, was nützlich ist, um sich überschneidende Assets zu identifizieren. Zum Beispiel können Sie ein Asset von gefährdeter Windows-Hosts haben und diese Gruppe mit einer Liste organisatorischer Assets, wie z.b. einer Liste auf verschiedenen Windows-Domänen basierender Assets, überlagern. Sie können ebenfalls Repositories für Schwachstelleninformationen anlegen, was Ihnen erlaubt, verschiedene Typen dieser Daten miteinander zu vermischen. Ein Beispiel: Falls ein Asset auf einer DMZ sowohl einen externen Scan als auch eine internen Patch-Audit durchlaufen hat, werden sicherlich unterschiedliche Scan-Ergebnisse auftreten. Der externe Scan hat vielleicht nicht das Recht, sich einzuloggen und einen Scan auszuführen, und die gescannten Systeme können außerdem mittels einer Firewall geschützt sein. Der interne Scan wiederum könnte fehlende Patches identifizieren, die für den Zweck dieses Systems nicht relevant sind, so wie beispielsweise ein fehlender MySQL-Patch auf einem System, das nur Apache-Webserver betreibt. Schritt 5 Nehmen Sie Manager in die Verantwortung. Die letzte Komponente von John Streuferts Empfehlungen zur Erreichung eines kontinuierlichen Monitoring ist es, Manager zur Rechenschaft zu ziehen. Großunternehmen haben oftmals Schwierigkeiten beim Tracken, wer welche Systeme in seiner Verantwortung hat und was sicher sein bedeutet. Unternehmensnetzwerke sind komplex und benötigen häufig Ausnahmen, die die Netzwerkkomplexität weiter erhöhen. Security-Auditing im großen Maßstab kann durch den Einsatz von ergebnisbasiertem Auditing in Echtzeit vereinfacht werden. Ergebnisbasierte Audits machen es Unternehmen möglich, ihren gewünschten Sicherheitsstatus zu definieren und dann Abweichungen davon aufzuspüren. Die Ergebnisse können nahezu in Echtzeit überwacht werden, um Asset-Inhaber und Systemadministratoren zu informieren, sobald sie nicht mehr Compliance-gerecht agieren. Die Tage eines Administrators, der einen Schwachstellenreport erhält, herausfindet, welche Patches er anwenden muss und das System dann erneut scannt, um zu gewährleisten, dass es sicher ist, nähern sich dem Ende. Es sind schlichtweg zu viele Schwachstellen zu patchen und die Gefahr, durch fehlende Patches bloßgestellt zu sein, ist sehr hoch. Kontinuierliches Monitoring kann Systemadministratoren dabei helfen, zu wissen, wann sie angreifbar sind, wann sie mit dem Patchen in Verzug geraten und wann sie im Sinne der Corporate Governance-Richtlinie gefährdet sind. Die Benachrichtigung kann über sichere -Bereichte und vorausschauende Dashboards in Echtzeit übermittelt werden. Anwender können Benachrichtigungen, Tickets, s, Scans und Reports erstellen, die dann laufen, wenn bestimmte Bedingungen erfüllt sind. Es gibt viele Kombinationen von Bedingungen und Zielen, die sich nutzen lassen, um ein Netzwerk kontinuierlich zu überwachen. Beispiele dafür sind: Die offenen Perimeter-Ports zählen und bei Änderungen Alarm schlagen. Die Systeme in einer DMZ zählen und alarmieren, sobald ein neues System entdeckt wird. Alarme per versenden, sobald festgestellt wird, dass kritische Systeme angreifbar sind. Alarme innerhalb von Patch-Fenstern einrichten, um z.b. an Tag 15 zu melden, dass sich ein 20-tägiges Patch-Fenster nähert. Neue Schwachstellen identifizieren, die sehr alte Veröffentlichungsdaten aufweisen und damit anzeigen, dass ein unverwaltetes System in Produktion gegangen ist. Alarme generieren, wenn weder kontinuierlich passive Schwachstelleninformationen noch aktuelle Patch Audits mit Anmeldedaten rechtzeitig generiert wurden. Für komplexere Kommunikation können Berichte individuell angepasst werden, um relevante Informationen an Asset-Inhaber zu übermitteln. Zum Beispiel können Kunden das Betriebssystem und die Anwendungserkennung von aktiven und passiven Scannern einsetzen, um unautorisierte Software zu ermitteln und einen Bericht zu erstellen, der per an die Asset-Inhaber geschickt wird, sobald ein Problem erkannt wird. 6

7 Warnungen, die für das Top-Manangement genutzt werden, können auch mit taktischem Monitoring durch Asset-Inhaber ergänzt werden. Es ist üblich für Anwender, sehr dringliche Warnmeldungen für spezifische gewünschte Ergebnisse einzurichten, z.b., dass alle Patches innerhalb von 30 Tagen ausgeführt werden. Zur gleichen Zeit können Administratoren, Risikomanager und IT-Auditoren, die taktische Systeme sehr viel näher überwachen, Richtlinienalarme für eine enge Überwachung der Systemsicherheit nutzen. Manche Unternehmen nutzen frühe Alarme für nicht Compliance-konforme Ereignisse und generieren Warnungen weit vor den offiziellen Warnschwellen. Wenn beispielsweise Scans einmal pro Woche laufen sollen, kann eine interne IT-Gruppe alle zwei Tage scannen und dann Alarm schlagen, falls innerhalb von drei Tagen kein Scan erfolgt ist. Fazit Die Sammlung und Analyse von Schwachstellendaten zu automatisieren, rationalisiert den gesamten Schwachstellenmanagement- Prozess. Es verringert die Zeit zwischen Updates und senkt die Wahrscheinlichkeit, dass leitende Mitarbeiter und IT-Manager auf Grund von veralteten oder unvollständigen Daten schlechte Entscheidungen treffen. Über Tenable Network Security Tenable Network Security ist ein führender Anbieter für Unified Security Monitoring und der Erfinder des Nessus-Schwachstellen-Scanners. Tenable Network Security entwickelt agentenlose Enterprise-Class-Lösungen für ein ganzheitliches Monitoring von Schwachstellen, Konfigurationsschwächen, Datenlecks, Log-Management und Kompromittierungserkennung, um Netzwerk-Sicherheit und FDCC, FISMA, SANS CAG und PCI Compliance zu gewährleisten. Die preisgekrönten Produkte von Tenable werden von vielen Global 2000-Organisationen und Regierungsbehörden genutzt, die dadurch Risiken für das Netzwerk proaktiv minimieren können. Weitere Informationen finden Sie unter Tenable Network Security Corporate Head office EMEA Head office +44 (0) APAC Head Office 7