Vulnerability-Management
Schwachstellen ganzheitlich bekämpfen
Sicherheitsverantwortliche müssen umdenken: Schwachstellenmanagement darf sich nicht mehr auf sporadische Projekte beschränken, die lediglich Teilaspekte wie Patch-Management abdecken. Wirksames Vulnerability-Management muss ein permanenter Prozess sein.
IT-Sicherheit kann nur technisch gewährleistet werden, wenn der Endanwender Teil des ganzheitlichen Sicherheitsprozesses ist.
Angesichts der steigenden Zahl der Einbrüche in IT-Systeme und der permanenten Angriffe durch Würmer und Viren sind die verantwortlichen Sicherheitsadministratoren hauptsächlich damit beschäftigt, auf die Attacken zu reagieren und »Löcher zu stopfen«. Dies liegt zum Teil daran, dass viele Unternehmen die unterschiedlichen Schwachstellen mit entsprechenden Teillösungen, wie dem Patch-Management, erst bei Bedarf beseitigen. In den Organisationen fehlen detaillierte Sicherheitsrichtlinien und aussagekräftige Metriken, mit deren Hilfe sich das Schwachstellenmanagement als durchgängiger, permanenter Prozess aufsetzen lässt. Mark Nicolett, Analyst beim Marktforschungsinstitut Gartner, beschreibt das so genannte Vulnerability-Management, kurz VM, als »ein Set von Prozessen und Techniken, die dazu dienen, eine Sicherheitsgrundkonfiguration im Unternehmen einzuführen und zu erhalten«. Die VM-Prozesse erkennen, beurteilen und beheben Schwachstellen innerhalb einer IT-Infrastruktur.
Aus Sicht der IT-Security ist dann eine Schwachstelle vorhanden, wenn ein System auf Grund eines Fehlers im Design oder in der Konfiguration absichtliche oder auch unabsichtliche Datenveränderungen oder -zerstörungen zulässt und/oder den Missbrauch durch Dritte ermöglicht. Die Ursachen für Schwachstellen sind vielfältig. Das SANS Institute hat eine Top-20-Liste der Schwachstellen aufgestellt: An erster Stelle rangieren hier Fehlkonfigurationen der Systeme gefolgt von nicht vorhandenen Patches. Zu Fehlern in der Softwarekonfiguration gehören beispielsweise die unsachgemäße Rechtevergabe für Dateien, Directories, Hosts oder Shares, so dass der Zugriff auf kritische Systemkomponenten möglich ist. Hinzu kommt das Vorhandensein von nicht mehr benötigten Benutzerkonten mit Standardkennwörtern sowie die Freigabe von gefährlichen Netzwerkdiensten wie FTP oder Telnet, die Systeme unnötigerweise Gefahren aussetzen. Schließlich sind es auch die Benutzer selbst, die durch ihre Aktionen – häufig mit Administratorenrechten – die Systeme Risiken aussetzen.
Der Prozess eines regelmäßigen, wirksamen Vulnerability-Managements deckt mehrere Bereiche ab. In erster Linie stellt er die Konformität mit den im Unternehmen vorhandenen Sicherheits-Policies, Standards und anderen Security-Faktoren sicher und führt regelmäßige Audits durch. Zusätzlich deckt das Schwachstellen-Assessment vorhandene Sicherheitslücken auf. In diesem Zusammenhang ist es wichtig, dass Unternehmen sich zeitnah über neu entstandene Gefahren informieren können und ihre Infrastruktur daraufhin automatisiert überprüfen können, um darauf zu reagieren. Schließlich gehört zum Schwachstellenmanagement die Möglichkeit der Durchsetzung einer auf Sicherheit ausgerichteten Konfiguration und die Beseitigung von Softwarefehlern durch ein regelmäßiges Patch-Management. Diese Einzelvorgänge sind jedoch nur dann erfolgreich, wenn sie ineinander greifen und aufeinander aufbauen.
Als Voraussetzung für ein effektives Schwachstellenmanagement sollte ein Unternehmen Sicherheitsrichtlinien erarbeiten. Neben technischen Konfigurationsstandards beinhalten diese auch Regeln für das Verhalten von Mitarbeitern und internen Prozessen. Hilfe für die technischen Sicherheits-Policies bieten Best-Practices und Empfehlungen von Herstellern oder Sicherheitsfirmen, wie der »FBI SANS Top 20 Report« oder der »MS Windows 2000 Hardening Guide«. Hinzu kommen die Bestimmungen in Standardnormen wie ISO 17799, Sarbanes-Oxley oder das BSI-Grundschutzbuch.
IT-Sicherheit kann nur technisch gewährleistet werden, wenn der Endanwender Teil des ganzheitlichen Sicherheitsprozesses ist. Aus diesem Grund ist es in erster Linie wichtig sicherzustellen, dass jeder Mitarbeiter die für ihn relevanten Policies zur Kenntnis genommen und akzeptiert hat.
Die technischen Richtlinien lassen sich in Form von Vorlagen in das Vulnerability-Managementwerkzeug einlesen. Diese Templates können beispielsweise Regelungen für den Zugriff auf Daten enthalten oder auch die Herstellerempfehlungen umsetzen. Manche Vulnerability-Manager, wie der von NetIQ, enthalten bereits eine Vielzahl an vorgefertigten Policy-Templates, bieten jedoch auch die Möglichkeit, eigene zu definieren, um die Check an die eigenen Unternehmensrichtlinien anzupassen. Die Lösung prüft dann mit Hilfe dieser Checks die Konformität der Betriebssysteme, Datenbanken, Anwendungen und Services im Unternehmen zu den definierten Policies.
Wird der Vorgang regelmäßig durchgeführt, so lassen sich Fehlkonfigurationen schnell feststellen. Über ein Scheduling-System kann der Administrator die Checks automatisch zu verschiedenen Zeiten ansetzen. Verändert ein Anwender oder Administrator eine solche Einstellung, so kann mit dem Vulnerability-Manager diese Einstellung wieder gemäß der Policy zurückgesetzt werden.
Der nächste wichtige Prozess im Schwachstellenmanagement ist das Vulnerability-Assessment. Dahinter steckt die Überprüfung der Systeme eines Unternehmens auf bekannte Softwarefehler und definierte Fehlkonfigurationen. Dabei sucht die Vulnerability-Managementlösung nach bestehenden Sicherheitslöchern durch fehlende Patches, nach Exploits für Würmer und Trojaner, aber auch nach internen Schwachstellen, die durch Umkonfiguration der Systeme und Workarounds im Laufe der Zeit entstehen. Arbeitsgewohnheiten der Mitarbeiter oder das Setzen von höheren Privilegien auf dem »kleinen Dienstweg« sind mögliche Ursachen dafür, dass der Schutz der Systeme durchlässig wird. Stellt ein Vulnerability-Manager eine Fehlkonfiguration fest, so erhält der Administrator zusätzlich zur Meldung darüber auch Hinweise, wie diese zu ändern ist, um die Sicherheit wieder herzustellen.
Das Schwachstellen-Assessment nutzt für seine Analyse Agenten, die entweder auf jedes System aufgespielt werden oder alternativ als ein Proxy ohne lokal installierte Komponenten arbeiten können. Sie sind zudem dafür verantwortlich, die Änderungen und Einspielungen auf jedem Zielsystem umzusetzen. Für ein umfassendes Vulnerability-Assessment ist es erforderlich, dass eine Lösung alle gängigen Betriebssystem-Umgebungen unterstützt. Lösungen wie der Vulnerability-Manager von NetIQ beziehen Windows-Umgebungen, Netware, iSeries, Datenbanken, Webserver und verschiedenste Unix-Ausprägungen einschließlich der wichtigsten Linux-Distributionen in die Kontrolle mit ein.
Der Agent hat zur Aufgabe, die lokale Konfiguration auf den Zielsystemen zu prüfen, aber auch die VM-Richtlinien, Best-Practices sowie die Sicherheitsfunktionen umzusetzen. Im Windows- und im Netware-Umfeld ist es auch möglich, über einen Proxy-Mechanismus einen einzigen Agenten für eine Domäne zu verwenden. Auf Grund der Tatsache, dass unter den Servern einer Domäne so genannter Domain-Trust herrscht, sie also einander vertrauen und Informationen austauschen, holt sich der Agent alle Informationen der Systeme in der Domäne. Dann liefert er sie an den VM zurück, der dann die entsprechenden Änderungen vornimmt. Im Fall von Unix-Plattformen, die den Domain-Trust in dieser Form nicht nutzen, muss auf jedem Host ein Agent vorhanden sein. Das Schwachstellen-Audit bezieht sich nicht nur auf Betriebssysteme, sondern auch auf Datenbanken, wie der von Oracle, SQL-Server oder Sybase, und auf eine Vielfalt anderer Systeme, wie etwa den Internet-Information-Server von Microsoft.
Der Schwachstellenanalyse sollte eine umfassende Risikoanalyse vorausgehen, um festzustellen, welches die unternehmenskritischen Daten sind und auf welchen Systemen sie sich befinden. NetIQ hat dafür beispielsweise ein so genanntes Risk-Scoring entwickelt. Durch einen speziellen Algorithmus wird es ermöglicht, das Risiko auf Grund von harten Zahlen und Fakten für Anwendungen und Server festzustellen und mit Punkten zu bewerten. Systeme mit einer höheren Risikoeinschätzung lassen sich entsprechend sorgfältig oder häufiger prüfen und sich eventuell schneller in den Alarmzustand versetzen.
Um ein umfassendes, auf die verschiedenen Bedürfnisse ausgerichtetes Bild des Sicherheitszustands der IT zu liefern, muss die Vulnerability-Lösung nach einem Check Reports generieren, die zielgruppengerechte Informationen enthalten und nach Möglichkeit grafisch aufbereitet sind. Denkbar sind beispielsweise unterschiedliche Berichte, in denen die Bewertung der Gefährdung der Systeme farblich gekennzeichnet – beispielsweise grün für »in Ordnung«, gelb für »Achtung«, rot für »Gefahr« – grafisch dargestellt ist. Überdies sollten sie für die jeweilige Zielgruppe personalisiert automatisch verschickt werden. Das Management zum Beispiel erhält einen Überblick über alle kontrollierten Systeme, während der Report für den Administrator bereits das Problem und womöglich die Ursache dafür aufzeigt.
Fast täglich entstehen neue Sicherheitslücken und die Verantwortlichen in den Unternehmen müssen möglichst schnell nach deren Bekanntwerden darüber so detailliert wie möglich informiert sein. Natürlich bieten sich hier das Internet oder auch andere Medien als Informationsquelle an. Doch kann sich diese Suche recht langwierig und unbefriedigend gestalten. Zudem reicht es nicht aus, sich über die neue Gefahr zu informieren. Dieses Wissen muss auch mit in die Managementlösung einfließen, damit die eigenen Systeme auf diese Schwachstellen hin überprüft werden können. Eine weitere Möglichkeit, die sich hier anbietet, sind kostenpflichtige Informationen von Sicherheitsanbietern, die sich auf solche Benachrichtigungsdienstleistungen spezialisiert haben. Diese Dienstleister stellen diese Informationen zeitnah als Vorlagen zur Verfügung, die in den Vulnerability-Manager integriert werden. Ein Vorteil dieser Lösung besteht darin, dass Anwender nicht alle Server auf die neuen Gefahren im Trusecure-Report hin überprüfen müssen. Die Lösung erkennt automatisch auf Grundlage der enthaltenen Templates, welche Systeme dafür anfällig sein könnten und prüft diese lediglich. So lassen sich angemessene Gegenmaßnahmen ergreifen, bevor die Schwachstelle angegriffen werden kann.
In diesem Zusammenhang ist auch das Patch-Management nicht zu vernachlässigen. Um den entsprechenden Prozess weitgehend zu automatisieren, sollte eine Vulnerability-Managementlösung in der Lage sein, diesen Vorgang zu verwalten. Dies bedeutet, dass sie einen Überblick darüber geben muss, auf welchen Plattformen und Anwendungen welche Patches fehlen. Außerdem sollte sie nach dem Aufspielen der erforderlichen Patches, welches sie als »Audit«-Instanz nicht notwendigerweise selbst durchführen muss, nochmals prüfen, ob auch alle Patches ordnungsgemäß vorhanden sind.
In einer ganzheitlichen Lösung muss schließlich auch für das Konfigurationsmanagement gesorgt sein. Dahinter verbirgt sich der Prozess der Prüfung und vor allem Durchsetzung einer sicheren und auf Verfügbarkeit ausgerichteten Konfiguration der IT-Systeme eines Unternehmens. Beispielsweise kann sich ein Administrator aus einem Bericht automatisch diejenigen Benutzerkonten anzeigen lassen, die innerhalb einer bestimmten Zeitspanne nicht benutzt wurden. Diese kann er dann per Mausklick entweder für ungültig erklären, das Kennwort ändern oder eine andere Maßnahme ergreifen. Doch Vorsicht: Um einem möglichen Missbrauch der Funktion einen Riegel vorzuschieben, ist auf eine sorgfältig durchdachte Rollenzuweisung zu achten. Jedem einzelnen Check sollten die Server zugewiesen werden können, jedem Administrator seine eigene »Welt«. Ebenso wichtig ist es festzulegen, wer welche Richtlinie ändern kann.
Last, but not least dient die Definition eines Vulnerability-Workflows dem Ziel, von einem projektgesteuerten zu einem prozessgesteuerten Sicherheitsansatz zu kommen. Zusätzlich zum Ablauf von Kontrolle, Aktualisierung und Überwachung der IT-Systeme lassen sich hier auch die Ausnahmeregelungen definieren. Nur Unternehmen, die Vulnerability-Management als einen Kreislauf verstehen, in dem die einzelnen Elemente ineinander greifen, können proaktiv die Sicherheit ihrer IT-Infrastruktur gewährleisten.
Ulrich Weigel, Product Line Manager Security Management Solutions EMEA, NetIQ
