Vulnerability Scanning, oder besser: Vulnerability Management sollte eigentlich standardmässig von allen Unternehmen regelmässig durchgeführt werden. Trotzdem treffe ich immer wieder auf Unternehmen, die gar nicht oder nur ungenügend nach Schwachstellen in ihrer Infrastruktur suchen. In diesem Beitrag möchte ich nach Gründen suchen und aufzeigen, wie man den Prozess schlank hält und effizient umsetzt.
Gründe für den Verzicht
Oftmals wird das automatisierte Patch-Management als Grund für den Verzicht aufgeführt. Die Server- und Client-Landschaften werden automatisiert in definierten Schritten gepatcht und auf den neusten Stand gebracht. Leider geht dabei vergessen, dass meist installierte Dritt-Applikationen (mit Ausnahmen) davon nicht betroffen sind. Es schlummern also immer noch versteckte Schwachstellen auf den Systemen. Diese können von einem Angreifer für den initialen Zugriff oder zur Ausweitung der Zugriffsrechte missbraucht werden. Abhilfe schafft hier nur ein komplettes Software-Inventar. Der schnellste Weg, dies zu erhalten, ist meist ein Vulnerability Scan. Zusätzlich tummeln sich im Netzwerk diverse Geräte, welche von diesem Patch-Management gar nicht betroffen sind.
Ein anderer viel genannter Grund ist die fehlende Zeit, dies umzusetzen. Dabei spielt oft auch die Angst mit, dass das Resultat des Scans wiederum zu Mehraufwand im Patching führt. Den Kopf in den Sand zu stecken, bringt aber meist nichts.
Was ich ebenfalls oft sehe, ist der Ansatz, dass ein Vulnerability Scan zwar durchgeführt wird, doch dann nur von extern gescannt wird. Meist auch nicht regelmässig, sondern nur periodisch. Das führt natürlich zu einem unzureichenden Bild und neue Schwachstellen werden erst beim nächsten Scan gefunden. Auch oft gesehen sind jährliche Scans von extern, oder auch von intern, um den entsprechenden Compliance Check zu erfüllen.
Welche Scan-Typen gibt es und wie sollte ich scannen?
Wie der Name schon vermuten lässt, handelt es sich um einen Scan von ausserhalb des eigenen Netzwerks. Klassischerweise wird aus dem Internet der eigene Perimeter gescannt, um öffentlich sichtbare Schwachstellen zu identifizieren. Anbieter wie tenable.io bieten dafür Cloud Scanner an, welche für das Scanning verwendet werden können, man muss also keine eigenen Scanner deployen. Der Scan sollte grundsätzlich täglich durchgeführt werden, damit Schwachstellen zeitnah detektiert und gepatcht werden können. Zudem bietet es sich an, zwei verschiedene Profile anzulegen. Einmal mit aktiverten Security Features (IPS) der Perimeter Firewall und einmal ohne. Der Vorteil dabei ist, dass Schwachstellen, für welche allfällige IPS Patterns existieren, trotzdem detektiert werden. Man weiss aber automatisch, dass diese aktuell nicht ausgenutzt werden können.
Interne Scans
Bei internen Scans wird das Netzwerk mit einem Scanner im eigenen Netz geprüft. Klassischerweise werden dafür eine oder mehrere virtuelle Maschinen deployt. Diese können in verschiedenen Security-Zonen installiert werden, damit das Zonen-Konzept eingehalten werden kann. Bei unauthentifzierten Scans werden die Assets rein aus dem Netzwerk gescannt. Sprich: Es werden nur Services und Applikationen getestet, welche aus dem Netzwerk ansprechbar sind. Bei authentifzierten Scans erhält der Schwachstellen-Scanner Zugriffsrechte auf das Asset und kann sich auf diesem einloggen. Damit können sowohl die Konfiguration als auch installierte Software auf Schwachstellen geprüft werden. Auch Best-Practice- und Hardening-Konfigurationen, wie z.B. CIS Benchmarks, können damit automatisiert geprüft und validiert werden.
Als Alternative zu netzwerkbasierten Scans können auch Agents auf den Zielsystemen installiert werden. Diese stehen für alle gängigen Betriebssysteme zur Verfügung und führen den Schwachstellen-Scan lokal auf dem Gerät aus. Dies bietet den Vorteil, dass man keine Credentials für den authentifzierten Scan zur Verfügung stellen muss. Zudem ist der Ansatz gerade bei Clients, welche sich oftmals ausserhalb des Netzwerkes befinden (Road Warrior), sinnvoll.
Interne Scans sollten, je nach Zone, bestenfalls täglich oder mindestens einmal wöchentlich durchgeführt werden.
Alerting und Reporting
Damit die Resultate der Scans nicht täglich manuell geprüft werden müssen, bietet sich ein automatisiertes Alerting und Reporting an. Neu gefundene Schwachstellen mit einer Kritikalität von «High» oder «Critical» sollten zur Triage weitergeleitet werden (E-Mail / Ticket / etc.). Zudem wird ein wöchentlicher oder monatlicher Report konfiguriert, welcher an einem definierten Wochentag versendet wird. In diesem werden nicht nur offene Schwachstellen aufgezeigt, sondern auch diverse Metriken wie z.B. Patching Performance. Für verschiedene Stakeholder können auch individuelle Report Templates verwendet werden.
Zusammenfassung
Vulnerability Management ist heute ein integraler Bestandteil jedes Security-Konzepts. Neben Phishing sind Schwachstellen das meist genutzte Einfallstor in Netzwerke. Leider gibt es noch diverse Unternehmen, welche aus verschiedenen Gründen auf ein Schwachstellen-Management verzichten.
Neben der Identifzierung von Schwachstellen können die Scanner auch Compliance Checks durchführen, um definierte Hardening- und Best-Practices-Konfiguration automatisiert zu validieren. Ein sinnvoll durchgeführtes Vulnerability Management kann die Sicherheit der Infrastruktur massiv erhöhen. Vieles davon kann automatisiert durchgeführt werden, führt also nicht zu viel Mehraufwand. Wer trotzdem keine Zeit dafür findet, kann das Ganze auch als Managed Service beziehen.
Der Beitrag Vulnerability Scans: Auf der Jagd nach digitalen Einfallstoren erschien zuerst auf Tec-Bite.