Angriffs-Prophylaxe durch Schwachstellen-Management (Fortsetzung)

Wichtig ist auch noch ein anderes Glied im Schwachstellen-Arbeitszyklus, nämlich die Bewertung der entdeckten Problemstelle im Zusammenhang mit der tatsächlichen IT-Infrastruktur: Hier gibt es derzeit noch wenig Werkzeugunterstützung.

UND IT-INFRASTRUKTUR
Am weitesten fortgeschritten ist in diesem Punkt das Programmpaket Skybox. »Diese Software simuliert Angriffe unter Berücksichtigung von Netzwerkverbindungen, Firewall-Einstellungen und der Topologie der kritischen Geschäfts-Anwendungen«, erläutert Stefan Strobel von Cirosec und meint, dass dieses Tool einen absolut neuen Ansatz fährt, auch wenn einige andere Hersteller behaupteten,dass ihre Werkzeuge ähnliches täten: »Entsprechende Software von CA oder Symantec, für die das beansprucht wird, bieten lediglich eine summarische Bewertung der Schwachstellen, während Skybox die Ergebnisse einer Schwachstellen-Datenbank,in die die Ergebnisse des Scanners einfließen,mit Firewall-Einstellungen,die automatisch abgegriffen werden und Routereinstellungen in Beziehung setzt«, sagt der Cirosec-Mann. Per Hand eingegeben werden müssten nur die Gruppierungen der Server und Router,aus der sich ein Geschäftsprozess,für den eine Risiko-Abschätzung gemacht werden soll, zusammensetzt. Da »Sky-box« auch den Schwachstellen-Scanner teuere, ließe sich damit ein kybernetischer Regelkreis zur Risikobewertung aufbauen, wie er bis dato noch nicht möglich gewesen wäre, meint Strobel. Anbieter von Schwachstellen-Management-Systemen werden deshalb gut daran tun, zeitnah Schnittstellen zu diesem System der Angriffs-Simulation anzubieten. Bei Qualys, das SchwachstellenManagement ausschließlich als »Web Service« anbietet, ist das nach Aussage von Gerhard Eschelbeck schon geschehen. Schwachstellen-Management ist wie kaum ein anderer Teil der IT-Sicherheit eine Querschnittsdisziplin.Deshalb stellt sich natürlich mehr noch als anderswo die altbekannte Frage: nimmt man ein universell angelegtes Bündel an Sicherheitssoftware innerhalb der umfassenden Management-Suiten von Herstellern wie CA (eTrust-Suite, Unicenter), IBM (Tivoli Security Compliance Manager innerhalb der Tivoli-Suite), NetIQ (Security Manager innerhalb der App-Manager-Suite) oder Symantec (Security Management System 2.0) oder aber setzt man auf Spezialwerkzeuge. Die einzig richtige Entscheidung gibt es hier nicht. In punkto Integration in die gesamten betrieblichen IT-Abläufe sind die universellen Pakete sicher im Vorteil. Diese Vorteile können aber nur dann zum Tragen kommen, wenn die entsprechenden allgemeinen Management-Werkzeuge im betreffenden Unternehmen schon eingefahren sind und die Schwachstellen-Management-Funktionen nur hin-zugefügt werden müssen. Wenn diese Sachlage nicht gegeben ist, dann ist es nur vernünftig, die Angebote der Gro-ßen in Sachen Risiko- und Schwachstellenmanagement »direkt mit den Spezia-listenangeboten zu vergleichen«, schreibt Gartner-Analyst Mark Nicolett in einer gerade veröffentlichten »Rese-arch Note« zu diesem Thema.

INSPEKTIONSWERKZEUGE FÜR DIE ENTWICKLUNGSPHASE
Die Zahl der Spezialwerkzeuge ist im Bereich Schwachstellen- und RisikoManagement Legion. Und ständig kommen innovative Entwicklungen hinzu. Dazu gehören im Bereich der Web-Services vor allem applikationsorientierte Firewalls wie die Produkte von KaVaDo, Sanctum oder Deny All. Diese werden nicht nur als Schutzschild von Produktiv-Anwendungen eingesetzt, sondern vor allem auch als Inspektionswerkzeug in der Programm-Entwicklungsphase.
Ist doch jede Schwachstelle zu allererst immer ein Zeichen für Programmier- und Konfigurations-Fehler. Je früher deshalb im Entwicklungs-Prozess ein umfassendes Bild der »Semantik der Verwundbarkeit« verfügbar ist, desto sicherer werden die Systeme und desto entbehrlicher werden kurative Maßnahmen wie Intrusion Prevention und Patch-Management.