Best Practices für das Schwachstellenmanagement
«Testen – Testen -Testen!» war das Motto während der Covid-Pandemie. Damit konnte festgestellt werden, wo und wie stark sich das Virus geografisch ausbreitete. Täglich wurden – nebst vielen anderen Statistiken - Auswertungen über die durchgeführten Tests veröffentlicht. Dies führte zu einer gewissen Transparenz und damit konnten einerseits Hotspots identifziert, aber auch entsprechende Vorkehrungen zur Eindämmung der Pandemie getroffen oder zumindest vorgeschlagen werden.
Die Suche nach Schwachstellen (engl.: vulnerabilities) ist auch in einer IT-Landschaft ein wichtiges Thema. Anbieter von Informationssystemen sollten periodisch sicherstellen, dass ihre Systeme nicht durch bekannte Schwachstellen ausgenutzt werden können. Um dies zu verhindern, sollten unbedingt periodische Suchen nach Schwachstellen bzw. ein konstantes Schwachstellenmanagement etabliert werden.
Was ist Schwachstellenmanagement?
Das Schwachstellenmanagement ist ein etablierter Ansatz zur Identifizierung und Bewertung von Problemen, die sich negativ auf Systeme, Software und Infrastruktur auswirken können. Sogenannte Scanning-Tools können automatisiert bekannte Lücken aufspüren und mit Reporting aufzeigen.
Mögliche Befunde können sein:
- Identifizierung fehlender Patches
- Anfällige Softwarepakete (Libraries)
- Andere Probleme, die leicht automatisiert identifiziert werden können (OWASP Top 10 für 2021)
Wie oft sollte ein Schwachstellen-Scan durchgeführt werden?
Die Häufigkeit von Schwachstellen-Scans hängt von verschiedenen Faktoren ab wie organisatorische Änderungen, Compliance Standards und Zielen der Sicherheitsstrategie. Ein Best Practice-Ansatz der Branche besteht darin, einen Schwachstellen-Scan mindestens quartalsweise durchzuführen, um zuverlässig alle grösseren Sicherheitslücken zu erkennen.
Was ist der Unterschied zwischen einem Schwachstellen-Scan und einem Penetrations-Test?
Oft werden diese beiden Begriffe synonym verwendet, was aber nicht korrekt ist. Ein Penetrations-Test ermöglicht eine umfassendere Bewertung der Gesamtsicherheit der Zielumgebung. Dabei kommen nebst spezialisierten Tools auch manuelle Tests durch qualifizierte Fachleute zur Anwendung.
Mögliche Angriffs-Szenarien können sein:
- Passwortangriffe
- Phishing-Angriffe
- Man-in-the-Middle-Angriffe
- Andere Testaktivitäten
Welche Tools gibt es auf dem Markt für Schwachstellen-Scans?
Es gibt eine Vielzahl von Tools für die Schwachstellensuche. OWASP stellt auf ihrer Webseite eine umfassende Zusammenstellung bereit. In meiner Beratungstätigkeit habe ich auch Firmen angetroffen, die mehrere Tools parallel einsetzen, abgestimmt auf die jeweils eingesetzte Technologie. Das Erstellen eines Pflichtenhefts und eine Tool-Analyse macht vor einer Anschaffung durchaus Sinn. Es gibt auch Cloud-basierte Lösungen, bei denen man nur den Service bezahlt.
Hier eine - nicht abschliessende - Aufzählung von Vulnerability-Tools:
- OWASP ZAP (Zed Attack Proxy), Open-Source-Tool
- Burp Suite
- Invicti
- Acunetix
- Veracode
- Arachni
- Qualys WAS (cloudbasiert)
- Fortify On-Demand
- HCL AppScan
- Checkmarx
Bei Fragen zu Schwachstellen-Scans oder Penetrationstests stehen wir Ihnen jederzeit gern zur Verfügung.
Autor:
Thomas Rieger, stepwise AG