06.04.2006, 14:19 Uhr
Automatisiertes Schwachstellen-Management
Wie kann man die Behebung der vielen durch Portscans aufgedeckten Schwachstellen priorisieren, um mit den verfügbaren Ressourcen den erforderlichen Sicherheitslevel zu erfüllen? Computerworld-Experte Reto Grünenfelder kennt die Antwort.
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Frage: Wir analysieren unser Netzwerk periodisch mit einem Internetscanner auf Software-Schwachstellen. Pro Scanvorgang finden wir einige Tausend Schwachstellen. Wir mussten feststellen, dass wir nicht alle innerhalb einer nützlichen Frist eliminieren können. Wie können wir nun die Behebung der Schwachstellen priorisieren, um mit den verfügbaren Ressourcen den erforderlichen Sicherheitslevel zu erfüllen?
Das eigentliche Problem ist der Faktor Zeit. Man muss heute davon ausgehen, dass ab der Publikation einer Schwachstelle nur zirka drei bis vier Wochen vergehen, bis im Internet Tools zur Verfügung stehen, mit denen diese Schwachstellen ohne grosse Fachkenntnisse ausgenutzt werden können. Das bedeutet, dass das Intervall für die periodischen Scans nicht viel länger als zehn Tage sein darf. Diese Zeit steht zur Verfügung, um die Schwachstellen zu priorisieren, Massnahmen einzuleiten, Systeme zu testen und die Patches auszurollen. Es gibt kaum ein Unternehmen, das über die Ressourcen verfügt, in einer heterogenen Umgebung die betroffenen Systeme zu patchen. Schwachstellen werden nach ihrer Anfälligkeit für mögliche Angriffe charakterisiert. Je weniger Wissen die Ausbeutung einer Schwachstelle erfordert und je höher die Vorteile sind, die sich der Angreifer dadurch verschaffen kann, umso grösser wird die Wahrscheinlichkeit (Criticality) eines Sicherheitsvorfalls aufgrund dieser Schwachstelle eingestuft. Das verleitet nun viele Unternehmen dazu, eine einfache Strategie zu definieren. So gibt es zum Beispiel die Vorgaben, dass auf keinem System eine Schwachstelle aus der «SANS 20»-Liste vorhanden sein darf. Eine solche Strategie hilft, die Schwachstellen schnell zu priorisieren und in vernünftiger Zeit zu eliminieren. Was aber mit Sicherheit nicht erreicht werden kann, ist eine Reduktion der Risiken innerhalb Ihres Netzwerkes. Eine andere Strategie ist, die Kritikalität einer Schwachstelle mit der Bewertung des Assets (Applikation), auf dem die Schwachstelle identifiziert wurde, zu multiplizieren und daraus einen Risikofaktor zu berechnen. Es ist nicht nur falsch, sondern auch sehr gefährlich, komplexe Zusammenhänge in einem einfachen Modell abzubilden. Dieser Ansatz liefert zwar schöne Risiko-Charts für das Management - verbessert aber die Sicherheit im Netzwerk nicht. Die Aufgabe ist es, herauszufinden, über welche Pfade die kritischen Systeme (Finanz- und Kundendatenbank, E-Shop usw.) von definierten Angriffspunkten (zum Beispiel Internet, Partnernetz, interne Bereiche) aus durch Ausnutzung von Schwachstellen erreichbar sind. Dafür benötigt man eine Klassifizierung der Assets und vor allem aktuelle Informationen zum Netzwerk. Aus der Beschreibung der Schwachstelle lässt sich ableiten, welche Protokolle benötigt werden, um die Schwachstelle auszunutzen. Dabei darf man nicht mit den Schwachstellen auf dem Zielsystem beginnen, sondern man muss sich zwingend vom Angriffspunkt zum definierten Zielsystem durcharbeiten. Dies ist viel Arbeit und benötigt Zeit - Zeit, die man leider nicht hat. Man geht davon aus, dass diese Analyse in einem grösseren Unternehmen mit einem strukturierten Netzwerk drei bis vier Wochen dauert. Das heisst, das gute Ergebnis ist leider nicht mehr viel wert, weil in dieser Zeit die Netzwerkkonstellation (Routing, Firewall-Regeln) möglicherweise schon öfters verändert wurde. Ein erfolgreiches Schwachstellen-Management bedingt, dass man die Analyse und Priorisierung der Schwachstellen automatisieren kann. Dazu benötigt man ein Tool, das die vom Scanner aufgespürten Schwachstellen im Kontext des Netzwerkes bewerten kann. Ein solches Exposure-Risk-Management-Tool baut ein virtuelles Modell des Netzwerkes auf und kann nebst den Schwachstellen auch alle relevanten Informationen über Routing und Firewall-Regeln regelmässig aufdatieren. Wie bei einem technischen Audit kann man damit über eine Angriffssimulation untersuchen, ob ein potenzieller Angriff in der aktuellen Netzwerkkonstellation erfolgreich abgeschlossen werden kann. Mit solchen virtuellen Penetration-Tests ist man in der Lage, die ein bis zwei Prozent Schwachstellen zu identifizieren, die für den Angreifer sichtbar (exposed) und damit für die operativen IT-Risiken relevant sind. Mittels automatisierter Verfahren kann man in wenigen Stunden die Ergebnisse eines Scanners oder Vulnerability-Management-Systems analysieren und die am besten geeigneten Massnahmen einleiten. Durch die enorme Reduktion der zu patchenden Schwachstellen wird die Organisation in der Lage sein, die kritischen Systeme in der geforderten Zeit zu fixen, ohne auf zusätzliche Ressourcen zurückgreifen zu müssen.