Rubrik: Produkte/Security Management

Wie passives Schwachstellen-Scanning selbst mobile, "unantastbare" oder von Dritten kontrollierte Systeme vor Sicherheitsgefahren schützen kann

Selbst in "Bring Your Own Device" (BYOD)- und virtuellen Umgebungen soll der "Passive Vulnerability Scanner" Sicherheitslücken und Compliance-Verletzungen aufdecken

(23.12.13) - Praktisch jedes Unternehmen hat und nutzt sie - so genannte "Untouchables", also quasi "unantastbare" Systeme, die einerseits als absolut erfolgskritisch für bestimmte Geschäftsbereiche und -aufgaben gelten, andererseits aber den gleichen Sicherheitsrisiken ausgesetzt sind, wie jedes andere IT-System. Untouchables können jedoch aus verschiedensten Gründen nicht mit traditionellen Ansätzen und Techniken wie dem Scannen auf Schwachstellen, der Suche nach Konfigurationsproblemen, der Durchführung von Patches, dem Aktualisieren des Konfigurationsaufbaus oder gar dem Einsatz von Security-Agenten wie z.B. Host-basiertem IPS abgesichert werden. Vor allem die geschäftskritische Beschaffenheit der Applikationen und Services, die diese Systeme bereit stellen, und nicht zuletzt die Sensitivität der dort hinterlegten Daten lassen "normale" Sicherheitsmaßnahmen wie aktives Scanning und Penetrationstests nicht zu, da die Gefahr einer Systeminstabilität zu hoch ist.

Zu den nicht antastbaren Systemen gehören:

·         >> Kritische und hoch-sensitive Systeme. Für solche Systeme kann auch unter normalen Betriebsbedingungen keinerlei Unterbrechung toleriert werden, und sei sie noch so "klein". Die Unterbrechung von Prozesskontrollsystemen, medizinischen Vorrichtungen oder Systemen, die z.B. für Langzeitforschungsprojekte eingesetzt werden, kann zu ernsten Katastrophen oder gar zu Todesfällen führen. Entsprechend sind Schutzmaßnahmen, die auf irgendeine Weise in die Funktionalität solcher Systeme eingreifen oder potentiell zu Betriebsunterbrechungen führen könnten, nicht anwendbar - es sei denn, unter strengstens kontrollierten Bedingungen.

·         >> Legacy/nicht unterstützte Systeme. Auch wenn man nicht gerne darüber spricht - praktisch jede Organisation hat Systeme aus "alten Zeiten" im Einsatz, die zwar lange aus der Mode gekommen, aber für bestimmte Prozesse noch immer sehr bedeutend sind. Nicht selten "hausgemacht", für ein nicht unterstütztes Betriebssystem programmiert oder abhängig von einer prähistorischen Datenbank - solche Altsysteme bergen eine Vielzahl facettenreicher Sicherheitsrisiken, sind aber mit ihren spezifischen Funktionen und Services für die Unternehmen unverzichtbar. Security-Patches sind für die meisten Legacy-Lösungen jedoch nicht mehr verfügbar und selbst, wenn sie es wären - es gibt kaum noch eine IT-Fachkraft die weiß, wie diese Systeme tatsächlich funktionieren und was im Problemfall zu tun ist.

·         >> Systeme außerhalb der Unternehmenskontrolle. Zwar betreiben die meisten Organisationen ihr eigenes Netzwerk, doch zunehmend gehören die Systeme und Devices darin nicht dem Unternehmen selbst. Häufig sind sie in Besitz und unter Wartung von Drittanbietern, etwa Vertragspartnern oder Service Providern. Damit liegen die betreffenden Systeme und Geräte außerhalb der Kontrolle des Unternehmens - die Organisation hängt davon ab, welche Bedeutung der Drittanbieter der Systemsicherheit und Wartung beimisst.

·         >> Netzwerk-Devices. Zwar wurden sie ursprünglich im Hinblick auf Hochverfügbarkeit und Systemredundanz entwickelt, doch längst sind Router, Switches, Firewalls und sogar einige Load Balancer von essentieller Bedeutung für den Betrieb sämtlicher, im Unternehmen eingesetzter Applikationen und Systeme. Der kontinuierliche, reibungslose Betrieb dieser Geräte darf also nicht gefährdet werden.

Dabei ist die "Unantastbarkeit" nur einer von vielen Gründen, warum bestimmte Systeme und Devices nicht gepatcht werden können. Möglicherweise ist auch gar kein Patch verfügbar, etwa weil der entsprechende Hersteller nicht adäquat reagiert. Oder eine System-Korrektur würde zu Kompatibilitätsproblemen führen, die nicht tolerierbar sind, etwa, wenn sie in den regulären Betrieb einer anderen, wichtigen Software eingreift. Häufig kann auch schlicht nicht das angemessene Wartungsfenster für Patches oder andere Maßnahmen zur Verfügung gestellt werden, da der Systembetrieb zu keiner Zeit unterbrochen werden darf.

Für "Unpachables" gilt im Ergebnis das gleiche, wie für die gesamte Gruppe der "Untouchables" - nämlich dass ihren möglichen Schwachstellen nicht mit einer herkömmlichen Security-Praxis wie dem Patchen begegnet werden kann. Stehen jedoch keine Tools zur Verfügung, die diese Sicherheitslücken schließen, kann der Einsatz von "Untouchables" und "Unpatchables" gravierende Risiken nach sich ziehen. Besonders hoch ist das Risiko einer erfolgreichen Attacke und System-Kompromittierung - die folgenschweren Konsequenzen können längere Ausfallzeiten, Produktivitätsverluste, die Gefährdung sensitiver Daten, der Verlust des Kundenvertrauens oder andere Formen von Reputationsverlust und im schlimmsten Fall auch Umsatzverluste sein.

Darüber hinaus sind auch die gesetzlichen Bestimmungen sowie die spezifischen Anforderungen bestimmter Märkte zu bedenken. So fordert zum Beispiel der für die Payment Card Industry definierte Data Security Standard (PCI DSS) explizit das regelmäßige Schwachstellen-Scanning der betreffenden Systeme. Andere Regularien und allgemein akzeptierte Security-Praktiken verlangen das zeitnahe Patchen aller angreifbaren Systeme und den Einsatz Host-basierter Security-Agenten, etwa für Anti-Malware, Zugriffskontrolle oder Intrusion Prevention. Sind diese Maßnahmen nicht durchführbar und die Systeme nicht compliant, kann dies zu negativen Audit-Ergebnissen, nicht bestandenen Compliance-Checks, noch strengeren, legalen Auflagen und in letzter Konsequenz zu hohen Geldstrafen führen.

Passiver Scanner als aktiver Helfer

Es muss also zwingend eine geeignete Lösung auch für veraltete, mobile und nicht vom Unternehmen selbst verwaltete Devices und Endgeräte zum Einsatz kommen und diese liegt laut Tenable Network Security in gezielter Passivität. Mit ihrem "Passive Vulnerability Scanner" PVS hat der Hersteller eine Lösung für passives Schwachstellen-Scanning auf den Markt gebracht. Auf einer Network Sniffing-Technologie basierend, kann sie von jedem Unternehmen, Security-Spezialisten und Compliance-Auditoren für die nicht-intrusive Echtzeit-Überwachung von Netzwerken und auch Lösungen genutzt werden, die bei der Durchführung herkömmlicher Scans anfällig für Unterbrechungen sind – etwa mobile, virtuelle und Cloud-basierte Applikationen, die zudem während eines planmäßigen Scans oft gar nicht verfügbar sind.

Selbst in "Bring Your Own Device" (BYOD)- und virtuellen Umgebungen deckt PVS laut Hersteller eventuelle Sicherheitslücken und Compliance-Verletzungen auf, und zwar in Echtzeit und rund um die Uhr. Es überwacht den Netzwerkverkehr auf Applikationen, Services, Protokolle und Hosts hin, die nicht tatsächlich vorhanden sind oder sich dem aktiven Scanning entziehen. Durch das kontinuierliche Monitoring des Netzwerks gibt PVS den Überblick sowohl über Server- als auch über Client-seitige Schwachstellen und identifiziert den Fluss von sensitiven Daten sowie die Nutzung gängiger Protokolle und Services.

"Trends wie BYOD und Virtualisierung machen auch vor den Unternehmenstüren nicht halt", so Ron Gula, CEO beim Schwachstellenspezialisten Tenable, "und so werden immer mehr nicht regelgerecht administrierte Geräte in die Organisationen und Geschäftsnetze eingebracht und dort vorübergehend eingesetzt. Untersucht ein Unternehmen sein Netzwerk aber z. B. nur einmal monatlich auf solche Geräte hin, hat es kein klares, ganzheitliches Bild von seinen tatsächlich vorhandenen Schwachstellen - die wiederum Hackern und anderen Angriffsformen den Weg  zu sensitiven Geschäftsdaten ebnen könnten."

Kontinuierliches Schwachstellen-Scanning ist ein daher ein wichtiger Grundstein der IT-Security und ist heute zum anerkannten Compliance-Standard geworden. Besonders im Laufe der letzten Jahre hat das Scannen nach Sicherheitslücken an Bedeutung gewonnen, was nicht zuletzt durch die vier erstgenannten Kontrollen im aktuellen "SANS Top 20 Critical Controls"-Report bestätigt wird. "Jede Organisation, die auf eine effektive Implementierung von Schwachstellen- und Compliance-Monitoring setzt und hierfür eine umfassende Scanning-Lösung nutzt", so Gula, "reduziert damit ihre Sicherheitsrisiken, verbessert die Compliance und vermeidet kostspielige Datenschutzverletzungen."

Die Funktionen des "Passive Vulnerability Scanner" (PVS) im Überblick

·         >> Ermittlung ‚flüchtiger‘ Geräte: Mit einer patentierten Technologie zur Netzwerkerkennung und Schwachstellenanalyse untersucht der Passive Vulnerability Scanner kontinuierlich mobile, virtuelle und Cloud-basierende Systeme und Dienste in bestehenden und dynamischen Netzwerkumgebungen. Das ist von unschätzbarem Wert für ‚flüchtige‘ Geräte, die als nicht zu verwalten und nicht zu scannen gelten. Unantastbare Systeme, die nicht auf direktem Wege beurteilt werden können, z.B. nicht patchbare Geräte, medizinische oder gesperrte Geräte, lassen sich so auf Schwachstellen und Angreifbarkeit hin bewerten.

·         >> Passives Sniffing auf unerwünschte Verbindungen: Die Fähigkeit, die Informationen auf Host-Datei-Ebene in Echtzeit passiv zu bestimmen, hat einen immensen Wert für Forensik und Situationsbewusstsein. Bei großen Netzwerken erleichtert es die Identifizierung potenziell sensitiver Daten durch die Möglichkeit, die Inhalte aller freigegebenen Ordner passiv zu bestimmen. Die Übertragung aller aufgezeichneten Dateien, die über das Netzwerk geteilt wurden, an die die so genannte "Log Correlation Engine" ermöglicht die forensische Analyse der Aktivität von Mitarbeitern und Malware.

·         >> Datenbankerkennung und -analyse: Echtzeitprotokolle für SQL-Queries können zwecks Suche, Abspeicherung und Analyse von Attacken, wie z.B. SQL-Injection in Web-Services, an die Log Correlation Engine gesendet werden. Die volle Instrumentalisierung der gesamten SQL-Aktivitäten kann durch die Kombination der Daten des Passive Vulnerability Scanner mit den Daten des Nessus (http://www.tenable.com/products/nessus-family) SQL-Datenbankkonfigurations- und Schwachstellen-Auditing sowie der Log-Daten, die von einem SQL-Datenbankserver mit einem Log Correlation Engine-Agenten erhalten wurden, erreicht werden.

·         >> Web- und File-Monitoring: Die umfassende Überwachung von Web- und FTP-Aktivitäten erfolgt durch direkte Analyse des Datenstroms. Durch die passive Überwachung aller HTTP- oder FTP-Transaktionen kann der Passive Vulnerability Scanner Kontext-Informationen über jeden Host in Ihrem Netzwerk bestimmen und darüber berichten, was nützlich ist, um Insideraktivitäten, Mitarbeiteraktivitäten und jeglichen Malware-Typus sowie neue Bedrohungen zu analysieren. Zusätzlich können Logs für weiterführende Analysen, Korrelationen und Langzeitspeicherung an die Log Correlation Engine gesendet werden.

·         >> Topologie-Untersuchung und Identifizierung von Diensten: Daten werden für spezifische Client- oder Server-Schwachstellen analysiert, indem beide Seiten der Netzwerkkommunikation rekonstruiert werden. Protokolle wie HTTP, SMTP und FTP verfügen über spezifische Strings, die die Version des Dienstes identifizieren. Der passive Scanner erkennt diese und verbindet sie mit spezifischen Schwachstellen-Plugins bzw. -Tests.

·         >> Einheitliche Plattform: Die Kombination des Passive Vulnerability Scanner mit Nessus ermöglicht Security-Verantwortlichen, mittels der fortschrittlichen Analysen, Visualisierungen und Berichte von SecurityCenter die  Sicherheitslage, den Compliance-Status und das Risiko im Unternehmen zu jeder Zeit nachzuvollziehen und zu verstehen.

(Tenable Network Security: ra)

 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken