{"id":709,"date":"2021-11-28T16:45:21","date_gmt":"2021-11-28T15:45:21","guid":{"rendered":"https:\/\/informatik.htwk-leipzig.de\/seminar\/?p=709"},"modified":"2022-01-04T11:35:21","modified_gmt":"2022-01-04T10:35:21","slug":"schwachstellenmanagement-systeme","status":"publish","type":"post","link":"https:\/\/informatik.htwk-leipzig.de\/seminar\/lehrveranstaltungen\/betriebliche-informationssysteme\/2021\/schwachstellenmanagement-systeme\/","title":{"rendered":"Schwachstellenmanagement-Systeme"},"content":{"rendered":"<p>Die zunehmende Komplexit\u00e4t der <a href=\"https:\/\/nvd.nist.gov\/vuln\/search\/statistics?form_type=Advanced&amp;results_type=statistics&amp;search_type=all&amp;isCpeNameSearch=false\">Schwachstellenlandschaft<\/a> macht es praktisch unm\u00f6glich sich im Unternehmensumfeld mit allen bekannten Sicherheitsl\u00fccken auseinandersetzen. Folglich ist es zwingend notwendig herauszufinden welche Schwachstellen das Unternehmen betreffen und wie diese sinnvoll zu priorisieren sind. Schwachstellenmanagement-Systeme automatisieren genau diesen Prozess und sind somit ein unerl\u00e4ssliches Werkzeug im Arsenal der IT-Sicherheit.<\/p>\n<h1>Gliederung<\/h1>\n<ol>\n<li>Notwendigkeit des Schwachstellenmanagements<\/li>\n<li>Schwachstellen-Scanner<\/li>\n<li>Schwachstellenmanagement-Systeme<\/li>\n<li>Prozessmodellierung<\/li>\n<li>Quellen<\/li>\n<\/ol>\n<h1>Notwendigkeit des Schwachstellenmanagements<\/h1>\n<h2>Begriffsdefinition Schwachstellen<\/h2>\n<blockquote>\n<p dir=\"auto\">Schwachstellen (in der IT) sind Fehler innerhalb von Soft- oder Hardware, welche es erm\u00f6glichen ein Produkt \u00fcber dessen vorgesehenen Funktionsumfang hinaus zur Kompromittierung der Sicherheit von IT-Systemen auszunutzen. (Foreman, 2019, Vulnerability Management &#8211; 2nd Edition)<\/p>\n<\/blockquote>\n<p dir=\"auto\">Typische Schwachstellen sind u.a.:<\/p>\n<ul>\n<li>Fehlkonfiguration von IT-Systemen<\/li>\n<li>Programmierfehler (Vernachl\u00e4ssigung der IT-Sicherheit in der Software-Entwicklung)<\/li>\n<li>Veraltete (ungepatchte) Systeme<\/li>\n<\/ul>\n<p dir=\"auto\">Prinzipiell existieren Schwachstellen ab dem Release unsicherer Soft-\/ Hardware. I.A. sind die Schwachstellen zu diesem Zeitpunkt noch nicht bekannt. So kann der Lebenslauf einer Schwachstelle in etwa folgenderma\u00dfen skizziert werden:<\/p>\n<p dir=\"auto\"><a href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/Vulnerability-LifeCycle.PNG\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" src=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/raw\/main\/Vulnerability-LifeCycle.PNG\" alt=\"\" \/><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-712\" src=\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/11\/Vulnerability-LifeCycle.png\" alt=\"\" width=\"1347\" height=\"927\" \/><\/a><\/p>\n<p dir=\"auto\">Die drei Zeitstr\u00e4nge verlaufen nicht synchron. Insbesondere kann dementsprechend nach dem \u00f6ffentlichen Bekanntwerden einer Schwachstelle ein funktionaler Exploit vor dem zugeh\u00f6rigen Patch erscheinen (z.B. in der <a href=\"https:\/\/www.exploit-db.com\/\">Exploit-DB<\/a> oder als Modul in <a href=\"https:\/\/www.metasploit.com\/\">Metasploit<\/a>). Diese Form von Exploits sind als &#8222;Zero-Day-Exploits&#8220; (oder auch nur Zero-Days) bekannt. Die Konsequenz dessen ist, dass ein geregeltes Patchmanagement nicht mehr ausreichen kann, um die Bedrohung vor m\u00f6glichen Angreifern einzud\u00e4mmen. Vielmehr muss innerhalb eines Unternehmens bekannt sein welche Schwachstellen existieren, sodass diese beim Nichtvorhandensein eines ad\u00e4quaten Patches tempor\u00e4r anderweitig gesichert werden k\u00f6nnen (SIEM, Firewall-Restriktionen, ggf. auch Isolation).<\/p>\n<p dir=\"auto\">Im Schwachstellenmanagement werden vorrangig der Allgemeinheit zug\u00e4ngige Quellen verwendet. Die <a href=\"https:\/\/nvd.nist.gov\/vuln\/search\">NVD<\/a> (National Vulnerability Database), welche den <a href=\"https:\/\/cve.mitre.org\/\">CVE-Katalog<\/a> (Common Vulnerability Enumeration) der MITRE implementiert, ist hierf\u00fcr der wichtigste Anlaufpunkt. Eine Absicherung gegen Zero-Day-Vulnerabilities ist praktisch nicht abschlie\u00dfend umsetzbar und f\u00fcr die meisten Unternehmen \u00fcberfl\u00fcssig. Der Schutz vor Hacktivistien und Script-Kiddies ist (f\u00fcr die meisten Unternehmen) viel relevanter als der vor organisiertem Verbrechen oder Nation-States.<\/p>\n<h2>Ma\u00dfgaben gem\u00e4\u00df IT-Grundschutz<\/h2>\n<p>In der aktuellen Version des <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/IT-Grundschutz-Kompendium\/it-grundschutz-kompendium_node.html\">IT-Grundschutzkompendiums<\/a> (2021) ist das Schwachstellenmanagement erstmalig konkret verankert:<\/p>\n<blockquote><p><strong>OPS.1.1.3.A16 Regelm\u00e4\u00dfige Suche nach Informationen zu Patches und Schwachstellen<\/strong><br \/>\nDer IT-Betrieb MUSS sich regelm\u00e4\u00dfig \u00fcber bekannt gewordene Schwachstellen der Firmware, Betriebssysteme, eingesetzter Anwendungen und Dienste informieren.<br \/>\nDie identifizierten Schwachstellen M\u00dcSSEN so schnell wie m\u00f6glich behoben werden.<\/p><\/blockquote>\n<p>Insbesondere sind somit Betreiber Kritischer Infrastrukturen (s. <a href=\"https:\/\/www.gesetze-im-internet.de\/bsi-kritisv\/BSI-KritisV.pdf\">KRITIS-Gesetz<\/a>) gesetzlich dazu verpflichtet ein Schwachstellenmanagement aufzubauen und zu betreiben.<\/p>\n<h1>Schwachstellen-Scanner<\/h1>\n<p dir=\"auto\">Der Begriff Schwachstellen-Scanner umfasst einige verschiedene Datenakquisitionssysteme:<\/p>\n<ul>\n<li>Aktive Scanner<\/li>\n<li>Agenten<\/li>\n<li>Korrelationssysteme (Loganalyse-Engines)<\/li>\n<li>Passive Scanner (Sniffer)<\/li>\n<\/ul>\n<p dir=\"auto\">Da Passive Scanner bereits in Intrusion Detection Systemen implementiert und Korrelationssysteme Bestandteil des SIEMs (Security Information and Event Management) sind, werden diese Formen des Schwachstellen-Scannens kaum mit dem Schwachstellenmanagement in Verbindung gebracht und nachfolgend nicht weiter betrachtet.<\/p>\n<p dir=\"auto\">Es ist au\u00dferdem zwischen<\/p>\n<p dir=\"auto\"><strong>White-Box-Scans<\/strong>: Schwachstellen-Scanner hat volle Sicht auf das Zielsystem (lesender Zugriff auf das gesamte Dateisystem), bzw. &#8222;Sicht von innen&#8220;.<br \/>\n<strong>Black-Box-Scans<\/strong>: Schwachstellen-Scanner kann das System nur basierend auf dessen Au\u00dfenschnittstellen (offene Ports, Dienste) untersuchen.<\/p>\n<p dir=\"auto\">zu unterscheiden. Black-Box-Scans haben trotz ihrer eingeschr\u00e4nkten Sicht einen entscheidenden Vorteil gegen\u00fcber Whitebox-Scans, denn dieses Verfahren emuliert die gleiche Vorgehensweise eines potenziellen Angreifers in der Reconnaisance-Phase. Folglich sind kritische Schwachstellen, welche in einem Blackbox-Scan gefunden wurden eine gr\u00f6\u00dfere Gef\u00e4hrdung als solche, die nur mit einem White-Box-Scan auffindbar waren.<\/p>\n<h3><a id=\"user-content-funktionsweise\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#funktionsweise\" aria-hidden=\"true\"><\/a>Funktionsweise<\/h3>\n<h4><a id=\"user-content-aktive-scanner\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#aktive-scanner\" aria-hidden=\"true\"><\/a>Aktive Scanner<\/h4>\n<p>Aktive Scanner zeichnen sich dadurch aus, dass sie als eigenst\u00e4ndiger Netzwerkteilnehmer agieren. Im Falle eines <strong>Whitebox-Scans<\/strong> verbindet sich der Schwachstellen-Scanner per Remotezugriff (SSH, WMI, SMB, Remote Registry) auf seine Scan-Ziele. \u00dcblicherweise erfolgt die Pr\u00fcfung auf Schwachstellen von dort aus anhand eines <em>OVAL Definition Schemas (Open Vulnerability and Assessment Language)- <\/em>ein umfangreiches XML-Dokument welches nach den Voraussetzungen f\u00fcr das Vorliegen einer bestimmten Schwachstelle pr\u00fcft. Zum Beispiel wenn Sudo Version &lt; 1.8.28, dann System anf\u00e4llig f\u00fcr <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-14287\">CVE-2019-14287<\/a>; wenn Registrykey ABC = &#8222;xyz&#8220; und Software 123 ist installiert, dann &#8230; .<\/p>\n<p><!--more--><em>CVE, CVSS und OVAL sind Bestandteil des <a href=\"https:\/\/csrc.nist.gov\/projects\/security-content-automation-protocol\">SCAP<\/a> (Security Content Automation Protocol), einer Sammlung von Bezeichnern und XML-Formaten zur standardisierten Beschreibung von Schwachstellen.<\/em><\/p>\n<p>Im Falle eines <strong>Blackbox-Scans<\/strong> greift ein aktiver Schwachstellen-Scanner auf <em>Fingerprinting<\/em>-Methoden zur\u00fcck. Das hei\u00dft der Scanner sendet speziell angefertigte Pakete und Segmente \u00fcber das Netzwerk, die eine bestimmte Reaktion des Scan-Ziels hervorrufen, welche sich wiederum von System zu System (oder Dienst zu Dienst\/ Version zu Version) unterscheidet. Anhand dieser Informationen kann korreliert werden, um welches Betriebssystem (Dienst, Version) es sich hier handelt. Zum Beispiel senden manche Betriebssysteme die TCP-Option Timestamp, andere nicht; manche Betriebssysteme reagieren auf eingehende ACK-Pakete vor Kommunikationsaufbau mit einem RST, andere verwerfen das Paket und reagieren nicht.<br \/>\nEin weiteres beliebtes Mittel ist das <em>Banner-Grabbing<\/em>. Viele Dienste antworten bei einem Verbindungsaufbau mit einem &#8222;Banner&#8220; in welchem sie ungefragt Dienstname und Versionsnummer preisgeben.<\/p>\n<p>Im Vergleich zu einem Whitebox-Scan k\u00f6nnen, da es keine Notwendigkeit zur Bereitstellung von Credentials gibt, in einem Blackbox-Scan gro\u00dfe Netzbereiche auf einmal abgescannt werden ohne davor zu wissen wie viele und welche Systeme sich darin befinden. Aus dieser Perspektive sind aktive Schwachstellen-Scanner sehr \u00e4hnlich zu Netzwerkscannern wie <a href=\"https:\/\/nmap.org\/\">nmap<\/a>.<\/p>\n<h4>Agenten<\/h4>\n<p>Hierbei handelt es sich um eine auf den Zielsystemen installierte Applikation, welche auf Anfrage des Agenten-Managers (bei Tenable &#8211; Nessus-Manager) einen Whitebox-Scan ausf\u00fchren. Agenten sind im Allgemeinen aktiven Whitebox-Scans vorzuziehen, denn sie:<\/p>\n<ul>\n<li>ben\u00f6tigen keine dauerhaft bestehende Verbindung zum Zielsystem f\u00fcr die gesamte Scan-Zeit (es gen\u00fcgt die Scan-Ergebnisse nach dem Scan, sobald eine Verbindung besteht, zu \u00fcbermitteln)<\/li>\n<li>verursachen wesentlich weniger Netzwerkverkehr<\/li>\n<li>brauchen keine zus\u00e4tzlichen Credentials f\u00fcr einen Remote-Zugriff (man stelle sich vor auf jedem System sei ein spezieller Automations-User mit vollem Lesezugriff hinterlegt)<\/li>\n<\/ul>\n<p>Allerdings sind Agenten nicht zwingend f\u00fcr alle Betriebssysteme verf\u00fcgbar (es wird wohl kaum einen Agenten-Installer f\u00fcr CISCO IOS geben).<\/p>\n<h3><a id=\"user-content-installation-und-verwendung-am-beispiel-von-nessus\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#installation-und-verwendung-am-beispiel-von-nessus\" aria-hidden=\"true\"><\/a>Installation und Verwendung am Beispiel von Nessus<\/h3>\n<h4><a id=\"user-content-installation\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#installation\" aria-hidden=\"true\"><\/a>Installation<\/h4>\n<p dir=\"auto\">F\u00fcr bis zu 16 Scan-Ziele ist der Schwachstellen-Scanner Nessus kostenfrei (Nessus Essentials). Die Beschr\u00e4nkung bezieht sich dabei auf die Anzahl der IP-Adressen, die einem vollst\u00e4ndigen Schwachstellen-Scan unterzogen werden. Das hei\u00dft Discovery-Scans (mit nur Plugins gem\u00e4\u00df\u00a0<a href=\"https:\/\/community.tenable.com\/s\/article\/Which-Plugin-IDs-are-ignored-by-Tenable-sc-when-considering-the-total-IP-count-for-licensing-Formerly-SecurityCenter\" rel=\"nofollow\">https:\/\/community.tenable.com\/s\/article\/Which-Plugin-IDs-are-ignored-by-Tenable-sc-when-considering-the-total-IP-count-for-licensing-Formerly-SecurityCenter<\/a>) k\u00f6nnen unbegrenzt viele Ger\u00e4te umfassen.<\/p>\n<p dir=\"auto\">Zun\u00e4chst muss eine Lizenz f\u00fcr Nessus-Essentials unter<\/p>\n<p dir=\"auto\"><a href=\"https:\/\/de.tenable.com\/products\/nessus\/nessus-essentials\" rel=\"nofollow\">https:\/\/de.tenable.com\/products\/nessus\/nessus-essentials<\/a><\/p>\n<p dir=\"auto\">angefordert werden.<\/p>\n<p dir=\"auto\">Nessus ist f\u00fcr die meisten Betriebssysteme als Installer, als Appliance oder auch als vorgefertigter Docker-Container verf\u00fcgbar. In diesem Beispiel wurde sich f\u00fcr die Docker-Variante entschieden.<\/p>\n<div class=\"snippet-clipboard-content position-relative overflow-auto\">\n<pre><code>docker pull tenableofficial\/nessus\r\ndocker run --name \"nessus\" -d -p 8834:8834  -e ACTIVATION_CODE=&lt;activation code&gt; -e USERNAME=&lt;username&gt; -e PASSWORD=&lt;password&gt; tenableofficial\/nessus\r\n<\/code><\/pre>\n<\/div>\n<p dir=\"auto\">Es dauert einen Moment bis alle Plugins heruntergeladen wurden. Gegebenenfalls kann mithilfe von\u00a0<code>docker attach<\/code> in einem separaten Konsolenfenster der Installationsfortschritt eingesehen werden. Anschlie\u00dfend ist das Webinterface \u00fcber <a href=\"https:\/\/127.0.0.1:8834\/\" rel=\"nofollow\">https:\/\/127.0.0.1:8834<\/a> erreichbar.<\/p>\n<h4><a id=\"user-content-bedienung\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#bedienung\" aria-hidden=\"true\"><\/a>Bedienung<\/h4>\n<p>Links auf der oberen Men\u00fcleiste findet man die zwei Schaltfl\u00e4chen <em>Scans<\/em> und <em>Settings<\/em>. Unter Settings findet man u.a. die Lizenz-Nutzung, Performance-Monitoring des Scanners, SMTP- und System-Einstellungen sowie Angaben zum Benutzerkonto.<\/p>\n<p>Beim Erstellen eines neuen Scans (New Scan) werden einige Scan-Templates vorgeschlagen. \u00dcber <em>Policies<\/em> k\u00f6nnen weitere Scan-Templates dieser Auswahl hinzugef\u00fcgt werden. Man kann die bereits existierenden Policies grob in generische Scans:<\/p>\n<ul>\n<li><strong>Host Discovery:<\/strong> Es werden lediglich offene Ports und Hosts. Somit eignet sich dieser Scan gut, um schnell einen \u00dcberblick \u00fcber die im Unternehmensnetzwerk aktiven Assets zu erhalten. F\u00fcr diesen Scan gibt es keine Lizenz-Beschr\u00e4nkung.<\/li>\n<li><strong>Basic Network Scan:\u00a0<\/strong>vollst\u00e4ndiger Schwachstellenscan mit vorgefertigten Scan-Einstellungen und wenig Konfigurationsm\u00f6glichkeiten<\/li>\n<li><strong>Advanced Scan:\u00a0<\/strong>Frei konfigurierbarer Schwachstellenscan.<\/li>\n<\/ul>\n<p>und spezifische Scans z.B.:<\/p>\n<ul>\n<li><strong>Malware Scan:\u00a0<\/strong>Nur als Whitebox-Scan sinnvoll, da Dateisignaturen gepr\u00fcft werden. Integration von Yara-Regeln (s. <a href=\"https:\/\/valhalla.nextron-systems.com\/\">Project Valhalla<\/a>)<\/li>\n<li><strong>Web Application Tests:\u00a0<\/strong>Reduziert den vollst\u00e4ndigen Plugin*-Satz auf nur solche, die f\u00fcr Webserver\/-anwendungen zutreffen.<\/li>\n<li><strong>PrintNightmare:\u00a0<\/strong>(stellvertretend f\u00fcr einen Scan f\u00fcr eine spezifische Schwachstelle und somit nur den zugeh\u00f6rigen Plugins). <a href=\"https:\/\/www.heise.de\/news\/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html\">PrintNightmare<\/a> ist eine der prominentesten Schwachstellen aus dem Jahr 2021.<\/li>\n<\/ul>\n<p>unterteilen.<\/p>\n<p><em>*Plugins: ein Plugin beschreibt ein bestimmtes NASL-Script (Nessus Attack Scripting Language), welches Tests (spezielle Pakete, PDUs, etc.) zu Discovery-Zwecken oder zur Pr\u00fcfung auf die Existenz einer spezifischen Schwachstelle ausf\u00fchrt. Stand Dezember 2021 gibt es 165769 <a href=\"https:\/\/www.tenable.com\/plugins\">Nessus Plugins<\/a><\/em><\/p>\n<h4>Durchf\u00fchrung eines Schwachstellenscans mit Nessus an der HTWK<\/h4>\n<p>Da diese Webseite \u00f6ffentlich zug\u00e4nglich ist werden weder der Scope (IP-Adressen\/-Bereiche) noch die Ergebnisse des Schwachstellenscans hier gezeigt.<\/p>\n<p>Folgende Scans wurden ausgef\u00fchrt:<\/p>\n<h5>1. Discovery-Scan mit Nessus<\/h5>\n<p>New Scan -&gt; Host Discovery<\/p>\n<h5>2. Vollst\u00e4ndiger Schwachstellen-Scan auf ausgew\u00e4hlten Ger\u00e4ten mit Nessus<\/h5>\n<p>New Scan -&gt; Advanced Scan (mit allen Plugins auf allen Ports)<\/p>\n<h1><a id=\"user-content-3-schwachstellenmanagement-systeme\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#3-schwachstellenmanagement-systeme\" aria-hidden=\"true\"><\/a>Schwachstellenmanagement-Systeme<\/h1>\n<p dir=\"auto\">Schwachstellenmanagement-Systeme (engl. VMS &#8211; Vulnerability Managment System) enkapsulieren <strong>Schwachstellen-Scanner<\/strong>, beziehen <strong>aktuelle Informationen von Security-Feeds<\/strong> und bieten eine <strong>verbesserte Verwaltungsoberfl\u00e4che<\/strong> mit <strong>Dashboards<\/strong>, <strong>Nutzermanagement<\/strong>, <strong>Report-Vorlagen<\/strong> und einer <strong>API<\/strong>. Scan-Ergebnisse werden in einer <strong>Datenbank<\/strong> gespeichert. Mit ihnen wird das Schwachstellenmanagement im Unternehmen <strong>besser skalierbar<\/strong>. Abgesehen von einigen Ausnahmen wie der Greenbone Community Edition sind Schwachstellenmanagement-Systeme kostenpflichtig. Es besteht auch die Option sich ein eigenes VMS basierend aus Netzwerk-\/Schwachstellenscannern, Datenbanksystem und unter Einbindung externer Datenquellen (NVD, Exploit-DB) aufzubauen. Nachstehend sind einige der bekanntesten Schwachstellenmanagement-Systeme aufgef\u00fchrt:<\/p>\n<ol>\n<li><a href=\"https:\/\/de.tenable.com\/products\"><strong>Tenable<\/strong><\/a><\/li>\n<\/ol>\n<ul>\n<li>On-Prem (Tenable.sc &#8211; Security Center) und Cloud Option (Tenable.io)<\/li>\n<li>Nutzt den unternehmenseigenen Schwachstellenscanner Nessus<\/li>\n<\/ul>\n<ol start=\"2\">\n<li><a href=\"https:\/\/www.greenbone.net\/\"><strong>Greenbone<\/strong><\/a><\/li>\n<\/ol>\n<ul>\n<li>deutsches Unternehmen<\/li>\n<li>als <a href=\"https:\/\/www.greenbone.net\/jetzttesten\/\">Community-Version<\/a> erh\u00e4ltlich (erst k\u00fcrzlich umbenannt in GSM Trial)<\/li>\n<li>Schwachstellenscanner OpenVAS (weiterentwickeltes &#8222;Open-Source&#8220;-Nessus; 2005 wechselte Nessus zu einer propriet\u00e4ren Lizenz &#8211; OpenVAS basiert auf der letzten Opensource-Version von Nessus)<\/li>\n<\/ul>\n<ol start=\"3\">\n<li><a href=\"https:\/\/www.qualys.com\/apps\/vulnerability-management\/\"><strong>Qualys<\/strong><\/a><\/li>\n<\/ol>\n<ul>\n<li>nur als Cloud-Option verf\u00fcgbar<\/li>\n<\/ul>\n<ol start=\"4\">\n<li><a href=\"https:\/\/www.rapid7.com\/de\/products\/insightvm\/\"><strong>Rapid7<\/strong><\/a><\/li>\n<\/ol>\n<ul>\n<li>InsightVM (Cloud) oder Nexpose (OnPrem)<\/li>\n<\/ul>\n<h2>Datenquellen<\/h2>\n<h3>Intern<\/h3>\n<ul>\n<li><b>Schwachstellenscanner<\/b><\/li>\n<li><b>Asset-Management <\/b>(Configuration Management Database,\u00a0 Softwareverteilung und Standardsoftware)<\/li>\n<li><b>Risiko<\/b><b>-Management, interne <\/b><b>Bewertung<\/b><b> der <\/b><b>Infrastruktur<\/b><b><br \/>\n<\/b><\/li>\n<li><b>a<\/b><b>uch<\/b> <b>Kommunikation<\/b><b>\/<\/b><b>Absprache<\/b> <b>mit<\/b> <b>Asset-<\/b><b>Ownern<\/b><\/li>\n<\/ul>\n<h3>Extern<\/h3>\n<ul>\n<li><b>Common <\/b><b>Vulnerability<\/b><b> Enumeration (CVE) der MITRE<\/b><b><br \/>\n<\/b><\/li>\n<li><b>National<\/b> <b>Vulnerability<\/b> <b>Database<\/b> <b>(NVD)<\/b><\/li>\n<li><b>Exploit-DB, <\/b><b>Searchsploit<\/b><b> und Metasploit<br \/>\n<\/b><\/li>\n<li><b>Warnmeldungen<\/b><b> des BSI, Computer Emergency Response Team (CERT)<\/b><b><br \/>\n<\/b><\/li>\n<li><b>Warnmeldungen<\/b> <b>der<\/b> <b>Hersteller<\/b> (Security Advisories, Microsoft Bulletins, \u2026)<b><br \/>\n<\/b><\/li>\n<li><b>Metriken<\/b> <b>kommerzieller<\/b> <b>Schwachstellenmanagement-Systeme <\/b>(z.B. Tenable &#8211; Vulnerability Priority Rating)<\/li>\n<\/ul>\n<h1><a id=\"user-content-4-prozessmodellierung\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#4-prozessmodellierung\" aria-hidden=\"true\"><\/a>Prozessmodellierung<\/h1>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-713 aligncenter\" src=\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/11\/VulnerabilityManagement_BPMN.png\" alt=\"\" width=\"10310\" height=\"7010\" \/><\/p>\n<h3><a id=\"user-content-begriffserkl\u00e4rungen\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#begriffserkl%C3%A4rungen\" aria-hidden=\"true\"><\/a>Begriffserkl\u00e4rungen<\/h3>\n<ul>\n<li><strong>Audit:\u00a0<\/strong>Der Begriff Audit wird im Kontext des Schwachstellenmanagements synonym zum Schwachstellen-Scan verwendet.<\/li>\n<li><strong>Contextualize:\u00a0<\/strong>Im Ergebnis eines Schwachstellenscans wird nur der Schweregrad einer Schwachstelle losgel\u00f6st von dem Asset auf dem sie gefunden wurde beziffert. Es ist somit in diesem Schritt die Aufgabe der Security-Analysten die vorgefundenen Schwachstellen in den Unternehmenskontext zu bringen und somit eine korrigierte Kritikalit\u00e4t zu berechnen. Faktoren die dabei zu ber\u00fccksichtigen sind, sind z.B.:<br \/>\n&#8211; bereits existierende Sicherheitsmechanismen (vorgeschaltete Firewalls, VLANs, IPS)<br \/>\n&#8211; Asset-Wert (potenzieller Schaden durch einen Angriff auf das System)<\/li>\n<li><strong>Ranking:\u00a0<\/strong>Bewertung\/Priorisierung der vorliegenden Schwachstellen. Es ist \u00fcblich den bekannten CVSS-Wert (Common Vulnerability Scoring System) zusammen mit den Erkenntnissen aus dem Schritt Contextualize in das Ranking einflie\u00dfen zu lassen<\/li>\n<li><strong>Culling:\u00a0<\/strong>Es ist in der Regel nicht m\u00f6glich alle Schwachstellen (insbesondere wegen der enormen Menge neu entdeckter Schwachstellen &#8211; s. Statistik der NVD) in einem Zyklus des Schwachstellenmanagement-Prozesses abzuhandeln. Stattdessen ist es g\u00e4ngige Praxis nur die kritischsten (z.B. Top 10) Schwachstellen den jeweiligen Asset-Ownern mitzuteilen. Schlie\u00dflich m\u00fcssen diese die Schwachstellen-Bearbeitung w\u00e4hrend ihrer regul\u00e4ren Arbeit erbringen.<\/li>\n<li><strong>Remediate:\u00a0<\/strong>Beseitigung der Schwachstelle durch bspw. Patching, Behebung unsicherer Konfigurationen oder Abschaltung des Dienstes<\/li>\n<li><strong>Mitigate: <\/strong>M\u00f6glicherweise existiert noch kein Patch f\u00fcr die entsprechende Schwachstelle; der Betrieb des vulnerablen Dienstes ist dennoch notwendig. In solchen F\u00e4llen k\u00f6nnen tempor\u00e4r zus\u00e4tzliche Kontrollmechanismen eingebaut werden, die spezifisch pr\u00fcfen, ob die Schwachstelle auf dem Ger\u00e4t ausgenutzt wird (IDS oder SIEM Use-Cases).<\/li>\n<li><strong>Remediation Scan:\u00a0<\/strong>Hierbei handelt es sich um einen speziell angefertigten Schwachstellen-Scan der das betreffende Asset nur auf die vermeintlich behobene Schwachstelle untersucht.<\/li>\n<\/ul>\n<h3><a id=\"user-content-schnittstellen-zu-anderen-management-prozessen\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#schnittstellen-zu-anderen-management-prozessen\" aria-hidden=\"true\"><\/a>Schnittstellen zu anderen Management-Prozessen<\/h3>\n<ul>\n<li>\n<p dir=\"auto\"><strong>Asset Management<\/strong>: Als Beiprodukt eines aktiven Schwachstellenscans \u00fcber einem Netzbereich (oder durch einen dedizierten Discovery Scan) erh\u00e4lt man eine \u00dcbersicht der aktuell im entsprechenden Netzsegment aktiven Ger\u00e4te mit zugeh\u00f6riger IP, FQDN und MAC-Adresse (\u00fcber SNMP). Ein Abgleich dieser Informationen mit der CMDB (Configuration Management Database) gibt Auskunft \u00fcber Vorkommnisse von Schatten-IT (Rogue Assets)<\/p>\n<\/li>\n<li>\n<p dir=\"auto\"><strong>Risk Management<\/strong>: Im Schwachstellenmanagement-Prozess muss stets abgewogen werden, welche Schwachstellen (auf Assets unterschiedlichen Wertes) am kritischsten sind. Die zuvor im Risiko-Management ermittelten Asset-Werte flie\u00dfen in die Priorisierung von Schwachstellen ein.<\/p>\n<\/li>\n<li>\n<p dir=\"auto\"><strong>Incident Management<\/strong>: Schwachstellen-Funde k\u00f6nnen \u00fcber ein bereits im Unternehmen etabliertes Ticketing-System abgehandelt werden.<\/p>\n<\/li>\n<li>\n<p dir=\"auto\"><strong>Service Level Management<\/strong>: Parameter des Schwachstellenmanagements (wie z.B. Anzahl behobener Schwachstellen pro Zeiteinheit, Anzahl kritischer Schwachstellen; s. Executive Report) lassen sich in SLAs (Service Level Agreements) verankern. Somit kann ein Unternehmen die Bem\u00fchungen zur Aufrechterhaltung der IT-Sicherheit stringent ausdr\u00fccken.<\/p>\n<\/li>\n<\/ul>\n<h1><a id=\"user-content-5-quellen\" class=\"anchor\" href=\"https:\/\/github.com\/brunofight\/BetrieblicheInformationssysteme\/blob\/main\/README.md#5-quellen\" aria-hidden=\"true\"><\/a>Quellen<\/h1>\n<ul>\n<li>Foreman Park:\u00a0<em>Vulnerability Management<\/em>. 2. Auflage. 2019. CRC Press<\/li>\n<li>Magnusson Andrew:\u00a0<em>Practical Vulnerability Management<\/em>. 2020. No Starch Press<\/li>\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Grundschutz\/Kompendium_Einzel_PDFs_2021\/04_OPS_Betrieb\/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf;jsessionid=8691C86321214AFEF9B2CE2349F26830.internet461?__blob=publicationFile&amp;v=2\" rel=\"nofollow\">https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Grundschutz\/Kompendium_Einzel_PDFs_2021\/04_OPS_Betrieb\/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf;jsessionid=8691C86321214AFEF9B2CE2349F26830.internet461?__blob=publicationFile&amp;v=2<\/a><\/li>\n<li><a href=\"http:\/\/www.bpmb.de\/index.php\/BPMNPoster\" rel=\"nofollow\">http:\/\/www.bpmb.de\/index.php\/BPMNPoster<\/a><\/li>\n<li><a href=\"https:\/\/de.tenable.com\/products\/tenable-sc\" rel=\"nofollow\">https:\/\/de.tenable.com\/products\/tenable-sc<\/a><\/li>\n<li><a href=\"https:\/\/docs.tenable.com\/nessus\/Content\/DeployNessusDocker.htm\" rel=\"nofollow\">https:\/\/docs.tenable.com\/nessus\/Content\/DeployNessusDocker.htm<\/a><\/li>\n<li>https:\/\/oval.mitre.org\/language\/about\/definition.html<\/li>\n<\/ul>\n<h1><\/h1>\n<h2><\/h2>\n","protected":false},"excerpt":{"rendered":"<p>Die zunehmende Komplexit\u00e4t der Schwachstellenlandschaft macht es praktisch unm\u00f6glich sich im Unternehmensumfeld mit allen bekannten Sicherheitsl\u00fccken auseinandersetzen. Folglich ist es<\/p>\n","protected":false},"author":48,"featured_media":744,"comment_status":"open","ping_status":"open","sticky":false,"template":"templates\/template-fullwidth.php","format":"standard","meta":{"footnotes":""},"categories":[2,3],"tags":[42,6,44,41,40,43],"class_list":["post-709","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-betriebliche-informationssysteme","category-lehrveranstaltungen","tag-assetmanagement","tag-it-sicherheit","tag-nessus","tag-netwerkscanner","tag-schwachstellenmanagement","tag-tenable"],"_links":{"self":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/709","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/users\/48"}],"replies":[{"embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/comments?post=709"}],"version-history":[{"count":21,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/709\/revisions"}],"predecessor-version":[{"id":873,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/709\/revisions\/873"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/media\/744"}],"wp:attachment":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/media?parent=709"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/categories?post=709"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/tags?post=709"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}