Sie sind auf Seite 1von 13

www.Security-Insider.

de Eine Publikation von:

Netzwerk-Security & -Monitoring

eBOOK

Jedes Netzwerk ist von Cyber-Attacken bedroht


Wie Schwachstellen im Netzwerk entdeckt werden
Netzwerk-Monitoring und -Sicherheit als Daueraufgabe

Powered by:
Inhalt
3 Wenn Angreifer ihre Netze auswerfen
Netzwerk-Risiken

6 Wie Schwachstellen im Netzwerk


entdeckt werden können
Löcher im Netz

8 Netzwerk-Monitoring und Netzwerk­


sicherheit als Daueraufgabe
Damit die Angreifer ins Netz gehen

9 Netzwerk-Änderungen im Blick
behalten
Wenn Netze neu geknüpft werden

11 10 Schritte zum effektiven Vulnerability


Management
Schwachstellen-Management mit Tenable

Powered by: Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder Informa­ tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
August-Wessels-Str. 27, 86156 Augsburg
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
Telefon +49 (0) 821/2177-0 gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
E-Mail redaktion@security-insider.de Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Web www.Security-Insider.de Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
Tenable Network Security GmbH Geschäftsführer: Werner Nieberle mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
Prielmayerstr. 3, 80335 München Chefredakteur: Peter Schmitz, V.i.S.d.P.,
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
Telefon +49 (0)221 8282-9194 peter.schmitz@vogel-it.de cke, Websites, sonstige elektroni­sche Medien oder Kunden-
E-Mail sales-de@tenable.com Erscheinungstermin: März 2016 zeitschriften nutzen möchten, erhalten Sie Informationen so-
Web www.tenable.com Titelbild: Jürgen Fälchle - Fotolia.com wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Netzwerk-Security & -Monitoring


Netzwerk-Risiken

Wenn Angreifer ihre


Netze auswerfen
Bei Cyber-Bedrohungen denken viele Unternehmen zuerst an das
Internet. Doch jedes Netzwerk ist durch Cyber-Attacken bedroht. Eine
Risikoanalyse als Basis der Netzwerksicherheit darf nicht fehlen.

Cyber-Raumes. So umfasst der Cyber-


Raum sämtliche mit dem Internet und ver-
gleichbaren Netzen verbundene Informati-
onstechnik und schließt darauf basierende
Kommunikation, Anwendungen, Prozesse
und verarbeitete Informationen mit ein.
Wenn es also um zunehmende Cyber-­
Bedrohungen geht, ist nicht nur das Inter-
net betroffen, sondern alle Netzwerke sind
durch Cyber-Attacken bedroht. Gleichzei-
tig sind Netzwerke von einer Vielzahl an
Schwachstellen betroffen, bedingt durch
das Zusammenwirken vieler, verschiedener
Hardware- und Softwarekomponenten bei
dem Aufbau, dem Betrieb und der Wartung
von Netzwerken. Wie eine entsprechende
Abfrage bei dem Warn- und Informations-
dienst CERT-Bund zeigt, gibt es durchaus
Hunderte akuter Netzwerkschwachstel-
len, die behoben und abgesichert werden
müssen.
Trotzdem liegt der Schwerpunkt geplan-
ter Sicherheitsmaßnahmen nicht wirklich
auf der Netzwerksicherheit. Umfragen wie
Die EU-Sicherheits- Mehr Fokus auf die Netzwerke
agentur ENISA der eco-Bericht IT-Sicherheit 2016 nen-
veröffentlichte die Sowohl der Bericht zur Lage der IT-Sicher- nen unter anderem Datenschutz, Sensibi-
Cyber-Bedrohungs- heit in Deutschland 2015 des Bundesam- lisierung der Mitarbeiter, Verschlüsselung,
landschaft 2015 mit den tes für Sicherheit in der Informationstech- Cloud Security, Sicherheit mobiler Gerä-
15 wichtigsten Cyber- nik (BSI) als auch der Bericht ENISA Threat te, Schadsoftware im Web, Data Leakage
Bedrohungen. Diese
Landscape 2015 (ETL 2015) der EU-Agen- Protection und Botnetze als Fokusthemen
gelten nicht nur dem
Internet, sondern jedes tur für Netz- und Informationssicherheit der befragten Teilnehmer. Natürlich hängen
Netzwerk ist in Gefahr. betonen die steigenden Risiken im Cyber- viele dieser Themen mit Netzwerken zu-
(Bild: ENISA) Raum. Was gerne vergessen wird, ist der sammen, doch Netzwerksicherheit selbst
tatsächliche Umfang des sogenannten findet kaum Erwähnung.

3 Security-Insider.de | Netzwerk-Security & -Monitoring


Netzwerk-Risiken

Netzwerke als „kritische zuletzt die geforderte Datensicherheit für


Infrastruktur“ verstehen die Vertraulichkeit, Integrität und Verfüg-
Bedenkt man, dass kaum noch ein IT- barkeit der Netzwerkverbindungen. Prob-
System in einem Unternehmen ohne Ver- leme im Netzwerk ziehen schnell deutliche
netzung auskommt, wird die zentrale Konsequenzen nach sich und führen zu
und kritische Bedeutung der Netzwerke Ausfällen und Produktivitätsverlusten im
schnell deutlich: Der Zugriff auf zentrale betroffenen Unternehmen.
Datenbanken und Anwendungen, die in-
ternen Datenübertragungen und die digi- Vielfalt der Netzwerkrisiken
tale Zusammenarbeit sind ohne Netzwerke im Blick behalten
nicht möglich. Sowohl die Client-Server- Unternehmen brauchen eine fortlaufende
Anwendungen als auch die zunehmend Überwachung ihrer Netzwerke, ein Netz-
beliebten Thin Clients kommen ohne Ver- werk-Monitoring, und geeignete Netzwerk-
netzung nicht aus. Netzwerksicherheit sicherheitsmaßnahmen, um Angriffe und
und das Monitoring der Netzwerke sind Gefahren wie diese erkennen und mög-
deshalb elementar für die betriebliche lichst abwehren zu können:
IT-Sicherheit. • Abfangen oder Umleiten von Daten in den
Netzwerke brauchen die im Unternehmen Netzwerken
notwendige Verfügbarkeit, die erforderliche • Abhören des Netzwerkverkehrs
Kapazität und Geschwindigkeit und nicht • Blockade des Netzwerkverkehrs

Übersicht zu Netzwerkrisiken
Personalbereich Technik
• Gefährdung durch Fremdpersonal • Abhörbarkeit der Leitungen
(Netzwerk-Wartung) • Ausfall der Stromversorgung
• Kein Vertreter für Netzwerk- • Ausfall von Netzwerkkomponenten
Administra­tor (Urlaub, Krankheit) • Fehlende Verschlüsselung im Netz-
• Schulungsdefizite bei Netzwerk- werk
Administratoren • Fehleranfälligkeit bei Netzwerk­
Einkauf komponenten
• Abhängigkeit von bestimmten Liefe- • Kein ausreichender Schutz gegen
ranten für Netzwerkkomponenten Malware
• Steigende Preise für neue Netzwerk- • Keine Berücksichtigung neuer
komponenten Netzwerk-Technologien
• Zu geringes Budget für Netzwerk­ • Unsichere Kabelschächte und
sicherheit Netzverteiler
Organisation • Unsichere Netzwerksoftware
• Fehlende Kontrolle der Einhaltung von • Unzureichender Zugriffsschutz im
Sicherheitsrichtlinien im Netzwerk Netzwerk
• Fehlende Netzwerkdokumentation • Veraltetes Berechtigungssystem im
• Fehlende Verantwortlichkeiten für Netzwerk
Netzwerksicherheit
• Fehlender Notfallplan für die Netz-
werke
• Keine oder unregelmäßige Auswer-
tung von Netzwerkprotokolldateien

4 Security-Insider.de | Netzwerk-Security & -Monitoring


Netzwerk-Risiken

• Datendiebstahl über Netzwerkverbindun- analysen für ihre Netzwerke durchführen


gen und -schnittstellen und die Maßnahmen des Netzwerk-Moni-
• Fernsteuern und Missbrauch von Netz- torings und weiterer Maßnahmen der Netz-
werkkomponenten werksicherheit darauf abstimmen.
• Identitätsdiebstahl und -vortäuschung  Oliver Schonschek
(unerlaubte Übernahme eines Netzwerk-
kontos)
• Manipulation von Daten im Netzwerk
• Veränderungen von Netzwerkadressen
• Wiederholen von Datenübertragungen im
Netzwerk zur Verfälschung eines Ergeb-
nisses

Aktuelle Umfragen
belegen, dass der
Schwerpunkt geplanter
Risikoanalyse für Netzwerke
Sicherheitsmaßnahmen ist Pflicht
nicht wirklich auf der Neben den oben genannten Netzwerk-
Netzwerksicherheit
Attacken stellen zahlreiche weitere Netz-
liegt. (Bild: eco Verband
werkrisiken ein mögliches Problem für die
der Internetwirtschaft)
Verfügbarkeit, Integrität und Vertraulichkeit
der Netzwerkverbindungen dar. Unterneh-
men sollten deshalb regelmäßig Risiko­

5 Security-Insider.de | Netzwerk-Security & -Monitoring


Löcher im Netz

Wie Schwachstellen
im Netzwerk entdeckt
werden können
Netzwerke sind komplex und ändern sich zunehmend dynamisch.
Damit keine unerkannten Schlupflöcher für Angreifer entstehen
können, sollten Unternehmen fortlaufend nach möglichen
Schwachstellen im Netzwerk suchen.

Netzwerkstatus: wechselhaft risiken verbunden, unter anderem durch


Wenn ein Unternehmen wissen möchte, wie neu hinzugefügte Endgeräte, die bestimm-
das interne Netzwerk aussieht, hilft ein Griff te Anwendungen, Betriebssysteme und
in den Aktenschrank wenig, um dort die Hardwareelemente mitbringen, die mit
gedruckte Netzwerkdokumentation zu ent- Schwachstellen belastet sein können. Für
nehmen. Fast könnte man sagen, sobald die Netzwerkuntersuchung müssen des-
die Struktur des Netzwerkes aufgezeichnet halb Schwachstellen-Scanner zum Einsatz
und ausgedruckt ist, ist die Dokumenta­ kommen, die nicht nur Malware im Netz-
tion bereits veraltet. Das bedeutet natürlich werk aufspüren können, sondern das kom-
nicht, dass eine Dokumentation des Netz- plette Netzwerk untersuchen, mit seinen
werkstatus keinen Sinn mehr macht. vielfältigen Hardware- und Softwarebau-
Stattdessen muss das Netzwerk regel- steinen.
mäßig auf Veränderungen hin untersucht Untersucht werden sollten sämtliche Netz-
werden, zum Beispiel, um neu hinzuge- werkkomponenten, die Geräte im Netz-
kommene Geräte zu erfassen und um werk, die mobilen Geräte, sobald sie sich
festzuhalten, dass andere Geräte aus dem im Netzwerk anmelden wollen, die Appli-
Netzwerk entfernt wurden. Denkt man an kationen, die Datenbanken, die Betriebs-
die hohe Dynamik bei mobilen Endgeräten, systeme der Clients und der Server. Nicht
ist schnell klar, dass die Netzwerkuntersu- vergessen werden sollten auch die Web-
chung keine monatliche oder gar jährliche Applikationen, die das Unternehmen nutzt,
Aufgabe sein kann, sondern fortlaufend sowie mögliche Cloud-Dienste, denn die
geschehen muss. Ein weiterer Grund für (hybride) Cloud muss als Erweiterung des
den sehr wechselhaften Netzwerkstatus Netzwerkes verstanden werden.
stellen die sich dynamisch ändernden Ge- Wichtig ist es dabei, dass aufgedeckte
fährdungen oder Netzwerkrisiken dar, die Schwachstellen nicht nur in einem Status-
im ersten Kapitel betrachtet wurden. bericht dokumentiert werden, sondern sie
sollten auch an die passende Stelle für die
Scannen nach Malware reicht nicht Behebung gemeldet werden. Schwachstel-
Mit dem sich ändernden Netzwerkstatus len-Scanner sollten also in die bestehende
sind auch neue oder geänderte Netzwerk­ Security-Landschaft des Unternehmens

6 Security-Insider.de | Netzwerk-Security & -Monitoring


Löcher im Netz

Auch Schwachstellen-Scanner
brauchen Updates
Damit Schwachstellen-Scanner auch die
Sicherheitslücken in den Geräten, Betriebs-
systemen und Anwendungen finden kön-
nen, müssen sie ähnlich wie Malware-Scan-
ner regelmäßig aktualisiert werden. Statt
nur Viren-Signaturen zu erhalten, bekom-
men entsprechende Netzwerk-Scanner
sogenannte Schwachstellen-Signaturen,
also Informationen, woran sich Schwach-
stellen erkennen lassen.
Aktualisierungsbedarf besteht auch durch
die sich laufend ändernde Bedrohungsla-
ge, die es zu berücksichtigen gilt, damit die
Netzwerksicherheit frühzeitig darauf ange-
passt werden und entsprechend reagieren
kann. Nicht zuletzt Compliance-Vorgaben
wie PCIDSS (Payment Card Industry Data
Security Standard) sollten jeweils aktuell
einbezogen werden, auch hier müssen die
möglichen Änderungen bei den Netzwerk-
Scans einfließen.

Netzwerk-Scans aus der Cloud


Gerade die hohe Dynamik der Netzwerke
und der Netzwerkrisiken sowie der Be-
darf an regelmäßiger Aktualisierung der
Scan-Grundlagen machen Lösungen in-
teressant, die Netzwerk-Scans als Cloud-
Service anbieten. Der Schwachstellen-
Scanner muss dann nicht lokal installiert
und betrieben werden, zudem können die
Netzwerk-Scans schnell auf weitere Ge-
räte ausgerollt werden. Die Aktualisierung
der „Schwachstellen-Signaturen“ erfolgt
dann in der Cloud, ohne weiteren Aufwand
beim Anwenderunternehmen.
Auch Kreditkartendaten Bevor man sich für einen Scan-Dienst aus
können über Schwach- integriert werden können, zum Beispiel mit der Cloud entscheidet, sollte allerdings
stellen ausgespäht dem SIEM (Security Information and Event klar sein, dass der jeweilige Anbieter ver-
werden. Deshalb gibt es Management), mit Netzwerk-Firewalls, mit trauenswürdig ist und die sicherheitsrele-
Compliance-Vorgaben
der Malware-Abwehr und nicht zuletzt mit vanten Scan-Informationen vor unbefugten
nach PCIDSS, die bei der
Netzwerküberwachung
dem Patch-Management, so dass Sicher- Zugriffen und missbräuchlicher Auswer-
berücksichtigt werden heitsupdates umgehend eingespielt wer- tung geschützt sind. Oliver Schonschek
müssen. (Bild: PCI) den können, sobald diese verfügbar sind.

7 Security-Insider.de | Netzwerk-Security & -Monitoring


Damit die Angreifer
ins Netz gehen

Netzwerk-Monitoring
und Netzwerksicherheit
als Daueraufgabe
Auf Basis eines fortlaufenden Netzwerk-Monitorings gilt es,
die Netzwerksicherheit ebenso fortwährend anzupassen und
zu optimieren. Teilweise integrieren Lösungen Netzwerk-
Monitoring und Netzwerksicherheit.

Es müssen Taten folgen ten auch sind, ohne Bewertung und bei
So wichtig die Informationen über Abwei- Bedarf Abwehr der Ursachen steigt die
chungen vom normalen Netzwerkverhal- Netzwerksicherheit nicht. Netzwerk-Moni­
toring muss zusammenspielen mit der
Schwachstellensuche und Schwachstel-
Typische Maßnahmen zur Optimierung der Netzwerksicherheit
lenbehebung (Patch-Management), der
• Absicherung der Fernwartung Inventarisierung der Endgeräte, der Su-
• Absicherung der Kabelschächte che nach Schadsoftware, der Aufstellung
• Absicherung der Netzverteiler und Durchsetzung von IT-Sicherheits- und
• Einsatz der elektronischen Signatur Nutzerrichtlinien, um nur einige der Folge-
• Einsatz von Malware-Scannern im Netz aktivitäten und parallelen IT-Sicherheits-
• Erstellung und Pflege eines Notfallplans
maßnahmen zu nennen, die erforderlich
• Erweiterung und Aktualisierung des IT-Sicherheitskonzeptes
sein können. Wo Lücken in der Netzwerk-
• Festlegung von genauen Verantwortlichkeiten für das Netzwerk
sicherheit bestehen, zeigt insbesondere
• Funktionstrennung für Kontrolle und Administration
• Genaue Definition der Netzwerkadministration das Netzwerk-Monitoring und die entspre-
• Nutzung abhörsicherer Übertragungsleitungen chende Auswertung.
• Nutzung sicherer Netzwerk-Topologien Unternehmen sollten deshalb darauf ach-
• Optimiertes Backupmanagement ten, dass das Netzwerk-Monitoring ent-
•P rotokollierung von Benutzer- und Netzverwalteraktivitäten sprechend mit der restlichen IT-Sicherheit
(Beweissicherung) integriert ist oder gleich zu einer Lösung
• Schulungsmaßnahmen für Administratoren greifen, die mehrere Funktionen der Netz-
• Überprüfung Berechtigungssystem und Rollenvergabe werksicherheit in sich vereint. Ganz gleich,
• Unterweisung im Datenschutz
welchen Weg ein Unternehmen wählt: Das
• Verbesserung der Netzwerkdokumentation
Monitoring kann und muss zur Optimie-
• Verschlüsselung der Datenübertragung
rung der Netzwerksicherheit beitragen,
• Verschlüsselung gespeicherter Daten
•V erstärkung der Identifizierung und Authentisierung (Zwei-Faktor- damit Angreifer und Datenpannen erkannt
Mechanismen zur Zugangskontrolle) und abgewehrt werden können. Beispiel-
• Vier-Augen-Prinzip im Monitoring maßnahmen zeigt die Übersicht im Kasten.
 Oliver Schonschek

8 Security-Insider.de | Netzwerk-Security & -Monitoring


Wenn Netze neu
geknüpft werden

Netzwerk-Änderungen
im Blick behalten
Netzwerke unterliegen derart vielfältigen Veränderungen, dass
Unternehmen sich fragen, wie man dabei die Übersicht behalten
kann. Entscheidend ist das richtige Konzept für Netzwerk-
Monitoring und die Einhaltung des Datenschutzes.

das Network Performance Monitoring, die


Network Traffic Analysis und das Network
Configuration Management also, kann
das Netzwerk-Monitoring auf die Pro-
tokoll- oder Log-Dateien der vielfältigen
Netzwerkbestandteile zurückgreifen. In
aller Regel fallen an diesen Komponenten
Protokolldateien innerhalb des zu überwa-
chenden Netzwerkes an:
65 Prozent der Mitar-
Im Dickicht der • Betriebssysteme auf Serverseite
beiter greifen auf das
interne Firmennetzwerk
Netzwerk-Parameter • Betriebssysteme auf Clientseite
von außerhalb des Wenn man sich als Unternehmen fragt, wo • verschiedene Anwendungsprogramme
Unternehmens zu, so man mit der Netzwerküberwachung anfan- • Webserver für das Intranet, Extranet und
der DsiN-Sicherheits-
gen und wo aufhören soll, hilft es, sich die Internet
monitor Mittelstand
entscheidenden Stellgrößen zu vergegen- • Mailserver
2015. Eine fortlaufende
Kontrolle der Netz- wärtigen. Zum einen gilt es, eine Fehler-, • weitere interne Kommunikationsdienste
werkaktivitäten ist Verfügbarkeits- und Leistungsüberwa- wie Telefonanlagen im Netzwerk
deshalb wichtig für die chung für die Netzwerke vorzunehmen. • Webbrowser
Netzwerksicherheit, das Dies kann man als Network Performance • Sicherheitskomponenten wie Firewalls,
Monitoring muss aller-
Monitoring zusammenfassen. Ein weiterer Intrusion Detection Systems und Anti-
dings den Datenschutz
beachten. (Bild: DsiN) Punkt ist natürlich die Netzwerkbandbreite, Malware-Lösungen
die es zu überwachen gilt. Entsprechen- Diese Protokolldateien können eingesam-
de Überwachungsfunktionen kann man melt und aus Sicht des Netzwerkstatus
Network Traffic Analysis nennen. Be- ausgewertet werden. Für die Netzwerk­
züglich der Netzwerkgeräte müssen die sicherheit sind insbesondere solche Ereig-
Konfigurationen und deren Änderungen im nisse von Interesse:
Fokus sein. Dies kann man mit Network • die Modifikation von Systemeinstellun-
Configuration Management bezeichnen. gen im Netzwerk
• Änderungen in der Benutzerverwaltung
Protokolldateien helfen und im Privilegiensystem
beim Monitoring • Änderungen an installierter Software
Um den aktuellen Zustand und die Akti- • Konfigurationsänderungen an Netzwerk-
vitäten im Netzwerk zu überwachen, für geräten

9 Security-Insider.de | Netzwerk-Security & -Monitoring


Wenn Netze neu
geknüpft werden

• Modifikationen an den Endgeräten im daten innerhalb des Netzwerk-Monitoring


Netzwerk dürfen nicht für heimliche Leistungs- und
• Maßnahmen zur Datensicherung und an- Verhaltensanalysen oder zur Bildung un-
dere Maßnahmen der Gerätesicherheit erlaubter Nutzerprofile verwendet werden,
so will es das Datenschutzrecht. Nur bei
Netzwerk-Monitoring ist auch einem konkreten Verdacht dürfen nutzer­
ein Datenschutz-Thema bezogene Auswertungen im Netzwerk-
Viele Aktivitäten im Netzwerk hängen di- Monitoring stattfinden, wenn es also kon-
rekt mit Nutzeraktivitäten zusammen, die krete Hinweise auf einen Missbrauch der
An- und Abmeldung eines Nutzers im Netzwerkfunktionen gibt, zum Beispiel die
Netzwerk ist nur ein Beispiel. Trotz des be- unerlaubte Übertragung vertraulicher Da-
rechtigten Interesses an hoher Netzwerk- ten ins Internet.
sicherheit darf der Datenschutz nicht zu
kurz kommen. Dazu gehört insbesondere Netzwerk-Monitoring muss
die Forderung, dass nicht der Netzwerk- sinnvoll ausgelegt werden
Administrator alleine die Berichte zum Ohne maschinelle Unterstützung zum
Netzwerk-Monitoring auswertet, wenn per- Beispiel mittels angeschlossenem SIEM-
sonenbezogene Daten betroffen sind. Da- System (Security Information and Event
tenschützer erwarten hier eine Protokoll­ Management) kann es schnell passieren,
auswertung nach dem Vier-Augen-Prinzip. dass die Berichte aus dem Netzwerk-Mo-
Es darf zudem nicht möglich sein, die Be- nitoring nicht zeitnah oder sogar gar nicht
richte des Netzwerk-Monitoring für ande- ausgewertet werden. Dann aber kann das
re Zwecke als der Datenschutzkontrolle, Netzwerk-Monitoring nicht zur Steigerung
der Kontrolle der Datensicherung oder zur der Netzwerksicherheit und Netzwerk-
Sicherstellung eines ordnungsgemäßen Performance beitragen, denn die als not-
Betriebes des Netzwerkes zu verwenden wendig erkannten Schritte zur Optimierung
(Besondere Zweckbindung nach Bundes- werden nicht vollzogen.
datenschutzgesetz, BDSG). Die Nutzer- Entscheidend sind deshalb eine automa-
tische Unterstützung bei der Analyse der
Datenschutz beim Netzwerk-Monitoring Netzwerk-Protokolldateien sowie eine ge-
naue Definition, was letztlich an Berichten
• Zweckgebundenheit der Protokolle
erforderlich ist. Gute Lösungen im Bereich
• Erforderlichkeit der Protokolle (Gebot der Datensparsamkeit)
Netzwerk-Monitoring liefern hier bereits
• Anonymisierung / Pseudonymisierung von Nutzerdaten
• Kontrollierte Auswertung der Protokolle (Vier-Augen-Prinzip) passende Berichtsvorlagen und berück-
• Regelmäßigkeit der Auswertung sichtigen direkt die konkreten Vorgaben
• Sicherer Speicherort für Protokolle und Auswertungen aus relevanten Compliance-Vorschriften.
• Manipulationssicherheit für Protokolle und Auswertungen  Oliver Schonschek
•S icherstellung der Richtigkeit der angegebenen Zeitpunkte /
Integrität des Monitoring
•B egrenzter Protokollumfang (Auswertung muss tatsächlich
möglich sein)
• Zeitnahe Löschung der Protokolle nach Zweckerfüllung
•E inbeziehung der Mitarbeitervertretung und des Datenschutz­
beauftragten
•U nterrichtung der Mitarbeiter über möglichen Personenbezug
beim Monitoring

10 Security-Insider.de | Netzwerk-Security & -Monitoring


Schwachstellen-
Management mit
Tenable

10 Schritte zum effektiven


Vulnerability Management
Daten sind für jedes Unternehmen wichtige Vermögenswerte,
werden allerdings nicht in einem Safe aufbewahrt. Stattdessen
verteilen sie sich über viele Systeme, Netzwerke und Geräte und
sind so einer permanenten Gefahr vor Kriminellen ausgesetzt.

Datendiebe verwenden Methoden, die dar- Zeitpunkt des Scans erkannten Schwach-
auf ausgelegt sind, Schwächen im System stellen sichtbar. Neu aufgenommene Sys-
auszunutzen. Angesichts der ständigen teme und neue Schwachstellen können
Veränderung in modernen Unternehmen übersehen werden, und das Unternehmen
und der Vielzahl verwendeter Anwendun- ist über die Gefahren nicht vollständig im
gen, haben sie dabei beste Chancen. Bilde.
Üblicherweise werden Systeme und An-
wendungen bei Gefährdungsscans in be- Erkennen entscheidender
stimmten Abständen auf Schwachstellen Schwächen
untersucht. Allerdings sind so nur die zum Es gibt eine Reihe von Bereichen, in denen
Systeme gefährdet sein können:
Zehn Schritte zum effektiven Vulnerability Management • Software: Fehler in Software führen zu
Schritt Warum? Sicherheitsmängeln, deren Ausnutzung
1. Bestände/Assets erkennen Zu sichernde Bestände die Vertraulichkeit, Integrität oder Verfüg-
und managen barkeit der Anwendungen oder der ge-
2. Schwachstellen erkennen Schwachstellen der Bestände und deren speicherten Daten beeinträchtigen kann.
Schweregrad bestimmen
Für die Systemsicherheit ist es deshalb
3. Konsistentes Vulnerability Laufende Scans, Probleme erkennen,
wesentlich, Software laufend zu aktuali-
Management Fehler beheben
4. Risiken bewerten Wert der Bestände und die erforderliche sieren.
Sicherheitsstufe bestimmen • Implementierung & Konfiguration: Au-
5. Änderungsmanagement Sicherheitsprobleme im Zusammenhang ßerdem sollten Systeme korrekt imple-
mit Systemveränderungen erkennen und mentiert und konfiguriert werden. Wer-
beheben
den unsichere Dienste ausgeführt oder
6. Patch-Management Software-Updates anhand des Werts der
Bestände für die Organisation bestimmen
schwache Passwörter verwendet, kön-
7. Mobilgeräte-Management Schwachstellen mobiler und sich nur nen diese als Schwachstellen die Sicher-
vorübergehend im Netzwerk befindender heit gefährden.
Geräte handhaben • Änderungen: Computersysteme wan-
8. Schadensminderungs­ Management von Schwachstellen, für die deln sich ständig, indem beispielsweise
management keine Patches oder Fehlerbehebungen
Upgrades durchgeführt, der Funktions-
vorhanden sind
9. Vorfallsreaktion/Incident Aktiv auf tatsächliche und potenzielle umfang erweitert oder Fehler behoben
Response Vorfälle reagieren werden. Ohne entsprechendes Manage-
10. Automatisierung Schwachstellen schneller erkennen, ment drohen durch diese Änderungen
beurteilen und beheben Schwachstellen in der Umgebung.

11 Security-Insider.de | Netzwerk-Security & -Monitoring


Schwachstellen-
Management mit
Tenable

Häufig kann als Ursache einer Sicher-


heitsverletzung eine Schwachstelle ausge-
macht werden, die auf oben genannte Pro-
bleme zurückzuführen ist, sich aber nicht
überwachen, erkennen und/oder beheben
lässt. Eine effektive Vulnerability Manage-
ment-Lösung sollte daher die Gefahren für
Systeme verringern. Sie basiert auf einem
starken Scanner und gewährleistet gekop-
pelt mit anderen Betriebssicherheitspro-
zessen ein hohes Sicherheitsniveau.

Zehn Schritte zum effektiven


Vulnerability Management
1. Bestände/Assets erkennen und
managen
Ein erster Schritt, um ein Netzwerk zu si-
chern, ist, alle Bestände des Netzwerks zu
identifizieren. Die Bestände sollten alle Ele-
mente der IT-Umgebung umfassen (Router,
Server, Drucker etc.).
Durch das Prüfen von Beziehungen und
Abhängigkeiten zwischen den Geräten ist
es möglich, festzustellen, wie ein Angrei-
fer auf ein Gerät zugreifen könnte. Für eine
konsistente Ansicht der Gefahren ist es
wichtig, alle angeschlossenen und wieder
getrennten Geräte zu erkennen und aufzu-
zeichnen. Die Geräte müssen automatisch
erkannt werden, sie per Hand zu erfassen
reicht nicht aus. Beispiele:
• Verwenden eines Network Access Con-
trol-Systems, um angeschlossene Netz-
werkgeräte zu verwalten
• Regelmäßiges Überprüfen der DNS-Ser-
verprotokolle auf Geräte, die versuchen,
über das Netzwerk zu kommunizieren
Ein effektives Schwach-
stellen-Management • Der Mensch: Wenn Mitarbeiter nicht 2. Schwachstellen erkennen
ist eine umfassende ausreichend im sicheren Umgang mit Die Schwachstellen der einzelnen Geräte
Aufgabe, die von den der eingesetzten Technologie geschult und ihr Gefährdungspotenzial zu kennen ist
Sicherheitsexperten
sind, können sie Systeme gefährden. Oft entscheidend für die Wahl der geeigneten
im Unternehmen ohne
Hilfe nicht bewältigt werden Sicherheitslösungen deaktiviert, Sicherheitsmaßnahmen. Der Schweregrad
werden kann. um die Leistung des PCs zu verbessern, von Schwachstellen wird dadurch be-
(Bild: Tenable) oder Anwendungen aus nicht autorisier- stimmt, wie leicht sie sich ausnutzen lassen
ten Quellen installiert. und wie hoch der erwartete Schaden ist.

12 Security-Insider.de | Netzwerk-Security & -Monitoring


Schwachstellen-
Management mit
Tenable

3. Konsistentes Vulnerability 8. Schadensminderungsmanagement


Management Eine effektive Vulnerability Management-
Ein momentaner Gefährdungsscan bie- Lösung versucht Gefahren zu minimieren,
tet nur begrenzten Einblick in die Sicher- bis der Anbieter den Fehler behebt. Dazu
heitsrisiken. Neue Schwachstellen bleiben gehört es, die Firewall-Regeln anzupassen
unerkannt und stellen eine Gefahr für die oder die IDS-Angriffssignaturen zu aktua-
Systeme dar. Durch häufiges Scannen lisieren.
kann ein Unternehmen neue Schwachstel-
len rasch erkennen. 9. Vorfallsreaktion (Incident Response)
Eine rasche Reaktion auf einen sicher-
4. Risiken bewerten heitsrelevanten Vorfall kann dessen Aus-
Nicht alle Geräte und Bestände erfor- wirkungen erheblich mindern. Dabei kann
dern dasselbe Maß an Sicherheit. Welche es erforderlich sein, den Vulnerability
Schritte für den Schutz eines Gerätes er- Management-Prozess einzubinden, damit
forderlich sind, hängt davon ab, welchen Systeme auf potenzielle Schwachstellen
Wert es für die Organisation hat und wie gescannt und als mögliche Angriffspunkte
exponiert es ist. registriert oder ausgeschlossen werden.

5. Änderungsmanagement 10. Automatisierung


Softwareprogramme werden aufgerüstet, Automatisierte Prozesse erhöhen die Ge-
Hardwarekomponenten hinzugefügt oder schwindigkeit, mit der Schwachstellen
entfernt und Anwendungen laufend aktu- erkannt, beurteilt und behoben werden.
alisiert. Zudem geht es oft darum, große Daten-
mengen und komplexe Umgebungen zu
6. Patch-Management sichern. Schließlich verringert die Auto-
Eine effektive Vulnerability Management- matisierung auch die Gefahr menschlicher
Lösung sollte eng mit den Patch- und Fehler.
Release Management-Prozessen gekoppelt
werden, um sicherzustellen, dass wichtige
Software-Updates durchgeführt werden.

7. Mobilgeräte-Management
Da sich mobile Geräte herkömmlichen
Vulnerability und Compliance Manage-
ment-Methoden entziehen, reichen die
vorhandenen Richtlinien für eine lücken-
lose Verwaltung gemischter Ownership-
und Control-Modelle (unternehmenseigene
Geräte/BYOD) nicht aus.

Vulnerability Management mit Tenable


Informationen zu Produkten und Lösungen für ein „Continuous
Network Monitoring“ finden Sie auf der Webseite von Tenable
Network Security: www.tenable.com

13 Security-Insider.de | Netzwerk-Security & -Monitoring

Das könnte Ihnen auch gefallen