Neben dem SOC (und dem dazugehörigen SIEM) ist ein Vulnerability Management die zweite wichtige Säule bei den operative Abwehrmaßnahmen bzw. im Blue Team IT-Security Bereich.

Was ist Vulnerability Management?

Vulnerability Management beschreibt alle Tools und Prozesse rund um Schwachstellen, welche sich in einer IT-Infrastruktur auftun, und die Behandlung dieser Schwachstellen (engl. Vulnerability). Schwachstellen im Sinne des Vulnerability Managements können in Anwendungen, Betriebssystemen, Firmware, Protokollen, Hardwarekomponenten und jeder anderen Hard- oder Softwarekomponenten enthalten sein. Eine Schwachstelle erlaubt es einem Angreifer durch Ausnutzen dieser Angriffe zu starten und dadurch bspw. initialen Zugriff zu erlangen oder erhöhte Rechte.

Welche Aspekte sind wichtig beim Vulnerability Management?

Eine Kernkomponente des Vulnerability Managements ist das Scannen nach Schwachstellen. Das kann theoretisch manuell geschehen indem ein Admin alle Softwareversionen in seiner Umgebung monitored und entsprechende Schwachstellen aus Schwachstellendatenbanken, wie exploit-db.com, analysiert. Aber dieser Prozess wird schon in sehr kleinen IT-Umgebungen zu einer Aufgabe für mehrere Vollzeitstellen.

Also braucht es ein automatisiertes Tool. Diese automatisierten Schwachstellenscanner werden an einem zentralen Punkt im Netzwerk aufgebaut und müssen die Fähigkeit erhalten in alle relevanten Systeme Einblick zu bekommen, d.h. die entsprechenden Rechte, User, Agents usw. müssen vorhanden sein. Dann kann ein Schwachstellenscanner Versionen von verwundbaren Soft- und Hardwarekomponenten einsammeln und gegen öffentliche Schwachstellendatenbanken mappen. Teilweise werden auch direkt Tests über Shellskripte ausgeführt, um bestimmte Schwachstellen zu identifizieren.

Neben dem Erkennen der Schwachstellen durch einen Scanner müssen aber im Zuge des Vulnerability Managements auch Prozesse zur Beseitigung der Schwachstellen (Remidiation) definiert werden. Hier geht es bei Fragestellungen, wie ‚Wer ist der Ansprechpartner zur der verwundbaren Komponente?‘, los und hört beim Patchmanagement (Was noch ein anderer wichtiger Prozess ist!) auf. Bei diesen Prozessen können moderne Schwachstellenscanner ebenfalls unterstützen, aber ein großes Stück organisatorische Arbeit muss trotzdem geleistet werden.

Das Vulnerability Management im Paar mit dem Schwachstellenscanner ist vergleichbar mit dem Security Operation Center und einem SIEM. Das eine ist die Prozesskomponente, das andere das Tool zur Auswertung und Sammlung der Daten.


0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.