Vulnerability Management - Teil 2 - Beschreibung des gestaffelten Scan Prozesses

Beitragsseiten

Seite 2 von 6

 

Teil 2 - Beschreibung des gestaffelten Scan Prozesses

 

Szenario

Der hier vorgestellte Lösungsansatz ist in der Lage, die zuvor beschriebene Situation deutlich abzumildern und darüber hinaus in der Praxis erprobt. Er besteht aus diesen Kernelementen

  • Einbindung von Informationen aus dem Konfigurations Management (kurz: aus der CMDB)
  • Periodische Ausführung schneller Basis Scans (Inventory und Compliance Scans)
  • Periodische Ausführung von Tiefen Scans (bezogen auf Asset Types oder getrieben durch Bedrohungspotenziale)

Die Basis Scans werden mithilfe des Tools nmap (Standard in der Unix/Linux Welt) umgesetzt und für die intensiven Tief Scans im Rahmen dieses Szenarios, wird der in der Praxis häufig anzutreffende Nessus ® Scanner bzw. das Security Centre ® angenommen. 

 

Es könnte aber auch genauso gut openVAS oder ein anderer kommerzieller / open Source Vulnerability Scanner verwendet werden.

 

Um den Scan Vorgang einerseits zu beschleunigen und andererseits dennoch ausreichend Sicherheit zu haben, ist es zweckmäßig, auf ein gestaffeltes Vorgehen zu setzen, welches wie folgt aussieht:

  • tägliche Durchführung von unternehmensweiten Basis Scans z. B. mit nmap
    • Prüfung von Mindestanforderungen an die Compliance von Geräten
    • Einbeziehung vielfältiger CMDB Daten für die Verknüpfung von
      • gescannter IP Adresse zu physischem Gerät
      • ITAO Zuständigkeit
      • Lokationsinformationen
      • Staging Informationen (DEV / UAT / PRD / DR)
      • u.v.a.
  • periodische oder situations-getriebene und typ-spezifische Tiefen Scans mit dem Vulnerability Scanner der Wahl

 

Für diese Verfahren sind ein paar wenige Festlegungen zu treffen, sofern nicht bereits geschehen.

 

Festlegungen für die Basis Scans

  • Einteilung der im Netzwerk betriebenen Geräte in Typen und Kategorien bzw. Ableitung dieser Daten aus der CMDB
  • Definition von „Compliance“ je Gerätetyp
    • Definition der wichtigsten/riskantesten TCP- und UDP-Ports die offen/geschlossen sein müssen bzw. dürfen
    • Achtung: auch die Öffnung eines Ports kann ein wichtiges Merkmal sein, z. B. Systems Management Agent
    • Regeln für Host Namen (DNS-Namen, Aliase, NetBios Namen)
  • Definition der zu scannenden/auszulassenden Subnetze inkl. der Scan Perioden und nach Möglichkeit mit Klassifizierung (z. B. End User Subnetz, Data Centre Subnetz, Security-Zone xyz usw.)

 

Festlegungen für die Tiefen Scans

  • Definition welche Gerätetypen wann/in welchem Rhythmus gescannt werden sollen
  • Definition der gerätetyp-spezifischen Scan Policy

 

Bevor jedoch mit der Umsetzung begonnen wird, widmen wir uns im folgenden Abschnitt zuerst Daten aus dem Konfigurations-Management (CMDB), da diese wie zuvor beschrieben einen nicht unerheblichen Beitrag zum Erfolg dieser Lösung leisten.