Schwachstellen-Management

Schwachstellen Management

Schwachstellen Management

Ihre IT-Sicherheit ist nur so stark wie dessen schwächstes Glied. Ransomware Gangs und sonstige Ganoven lieben Schwachstellen. Mit einem ganzheitlichen Schwachstellen Management können Sie proaktiv agieren und Ihren Schutz erhöhen.


Ein umfassendes Schwachstellen Management umfasst nicht nur technische Aspekte zu unterschiedlichen Systemen, Konfigurationen und Software, sondern kann indirekt auch Aussagen zur Wirkungsweise Ihrer Implementierungs- und Monitoring-Prozessen und auch dem Asset-Management liefern. Da in der Regel mehrere Richtlinien, Prozesse und Verfahren miteinander verknüpft sind, ist ein ordentlich umgesetztes "Vulnerability Management" auch ein idealer Einstieg bei der Umsetzung eines neuen ISMS (z.B. basierend auf den CIS Critical Security Controls® oder der ISO/IEC 27001:2022). Sollte bei Ihnen bereits ein ISMS im Einsatz sein, liefert ein seriös umgesetztes Schwachstellen Management auch wichtige Metriken (KPIs) zur Messung der Wirksamkeit.


Grundsätzlich ist ein funktionierendes und ganzheitliches „Schwachstellen Management“, eine absolute Zwangsvoraussetzung für eine realistische Risikobewertung Ihrer Assets.


Mein propagiertes Motto hierzu ist:

Erkennen → Verstehen → Handeln und Zusammenarbeit, statt SILO-Denke.

Kategorien


  • Nicht authentifizierter Zugriff auf allen externen und internen Systemen.
    Das Ziel ist hierbei, alle bekannten Schwachstellen aus Netzwerksicht (und somit auch die eines Angreifers) aufzudecken.
    Hierbei ist zu beachten, dass tatsächlich         alle IP-Adressen berücksichtigt werden. Die Ergebnisse lassen sich prima mit dem Asset-Management abgleichen.


  • Authentifizierter Zugriff auf allen externen und internen Zielen (wo möglich).
    Hier wird mittels erhöhten Rechten, der Zustand direkt im Inneren eines Systems überprüft. Ergänzend zur erweiterten Diagnose von bekannten Schwachstellen, wird in diesem Verfahren auch die Systemkonfiguration ermittelt und mit den Empfehlungen von international anerkannten „Best-Practices“ verglichen.
    Teils werden hunderte Einstellungen kontrolliert!
Schwachstellen Scan von extern und intern. Konfigurations Assessment.

Maßnahmen

Nach jeder Durchführung werden die entdeckten Schwachstellen in Kategorien mit niedrigem, mittlerem und hohem Schweregrad klassifiziert und in aufschlussreichen Reports zusammengefasst. Auch die Systemkonfigurationen werden mit umfangreichen Reports aufgeschlüsselt und mit sehr detaillierten Abhilfe-Maßnahmen ergänzt. Die Sprache aller Reports ist US-Englisch.


Alle Ergebnisse werden anschließend mit Ihrem IT-Team und/oder der Geschäftsleitung besprochen, sowie direkt seriöse Handlungsempfehlungen erörtert, um bei der Beseitigung der gefundenen Missstände zu helfen.

Zu den Abhilfe-Maßnahmen können gehören:

  • Konfigurationsänderungen.
  • Die Anwendung geeigneter Patches.
  • Migrationen zu neuen oder alternativen Systemen.
  • Re-Design von System-Landschaften.
  • Die Einschränkung des Netzwerkzugriffs (z. B. durch Mikro-Segmentierung und Firewall-Regeln).
  • Eigene Entwicklungen von „akzeptablen Workarounds“.
  • Eigene Playbooks und Skripte, genau nach Ihren Bedürfnissen.


Mein Unternehmen unterstützt Sie auch bei der Erstellung eines Risiko-Akzeptanzprozesses und der damit einhergehenden Dokumentation. Bei Schwachstellen, die nicht behoben werden können bzw. bei denen lediglich eine Risiko-Verminderung möglich ist, unterstütze ich Sie selbstverständlich bei einer entsprechenden Risiko-Bewertung.

Intervalle

Die Häufigkeit und die Granularität des Schwachstellen-Managements, hängt in erste Linie von Ihrer Umgebung ab (und natürlich auch vom gewählten Service-Paket). Eine Infrastruktur mit 50 Servern ist weniger zeitaufwendig als eine Umgebung mit 5000 Servern, die weltweit verteilt sind. 

Die Intervalle zu Schwachstellen-Scans sind von Rahmenwerk zu Rahmenwerk leicht unterschiedlich. Gemeinsam haben jedoch alle, dass es einen ausgeklügelten Prozess bedarf und Ihr Asset-Management funktionieren muss (unbekannte Assets und prüfen 🤷‍♂️).

Das 🇺🇸 US-Amerikanische Center for Internet Security® (CIS) und deren aktuelles Framework CIS Critical Security Controls® beschreibt im Kapitel 07 "Continious Vulerability Mangement“(gekürzt):
 
"7.5 Perform Automated Vulnerability Scans of Internal Enterprise Assets

Perform automated vulnerability scans of internal enterprise assets on a quarterly, or more frequent, basis. Conduct both authenticated and unauthenticated scans, ..."

 

"7.6 Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets

Perform automated vulnerability scans of externally-exposed enterprise assets .... Perform scans on a monthly, or more frequent, basis."

In der Praxis kann der Grat zwischen einem „externen“ und „internen“ Asset schwammig sein. Eine Fehlkonfiguration eines internen Servers kann aus diesem internen System ein externes machen (und sehr häufig sind genau diese Fehlkonfigurationen verantwortlich für verheerende Hacker-Angriffe.).
 

Bedenkt man auch die Häufigkeit von Patches, die „ad-hoc“ veröffentlicht wurden, weil eine neue kritische Bedrohung aufgetreten ist, ist das Scan-Intervall deutlich kürzer als „monatlich“ anzusetzen.

Meine Empfehlung ist ein fix definierter Prozess für wöchentliche Scans, unterteilt in verschiedenen Gruppen (z.B. Netzwerk-Geräte, dann Linux basierte Server usw.) und ein separater Prozess, der Scans nach einem System-Update, einer umfangreichen Neu-Konfiguration, Neu-Installation oder Neu-Implementation erfordert (idealerweise nachverfolgbar via einem Ticket-System).


Sobald ein Schwachstellen-Management initial implementiert worden ist, können Prozesse verfeinert und in eine umfangreiche Richtlinie überführt werden. Auch die Einführung eines „Playbooks“ im Rahmen eines Notfall-Plans ist denkbar. Bei der Erstellung von Prozessen und Richtlinien unterstütze ich Sie gerne und begleite Sie bei Bedarf auch bei der Verwirklichung eines Informations-Sicherheits-Management-Systems (ISMS).

Ich führe regelmäßige Besprechungen mit Ihren IT- und Geschäftsteams durch, um Ihr Risikoprofil und wichtige Bedrohungsvektoren sowie die Maßnahmen zur Risikominderung zu besprechen. Dazu können auch Schwachstellen gehören, die für Ihre spezifischen Geschäftsanforderungen nicht relevant sind (bzw. erscheinen).

System-Härtung

Jedes Paket beinhaltet auch die Bewertung der Systemkonfiguration (soweit möglich) nach international bewährten Vorlagen. Die Bewertung der Systemkonfiguration sollte eine besonders hohe Priorität erhalten, den, ein System mit aktueller Software, kann dennoch hoch unsicher im produktiven Betrieb laufen, wenn dieses System fahrlässig konfiguriert wurde.


Ein ordentlich gehärtetes System, kann die Systemsicherheit erheblich steigern, so weit, dass viele Angriffe ins Leere laufen bzw. überhaupt nicht mehr möglich sind. Ein nach internationalen "Best Practices" konfiguriertes System erhöht auch die allgemeine Betriebssicherheit. Mit Betriebssicherheit ist gemeint, dass das System so optimiert wird, dass gängige Problemstellungen und Fehlerquellen verringert bzw. vermieden werden und teils auch das "Optimum" an Leistung genutzt wird. Als Nebeneffekt gewinnt eine IT-Abteilung durch dieses Vorgehen eine „Baseline-Security“, bei der jedes System einem „Standard“ folgt.


Nicht umsonst ist die „System Härtung“, auch "System Hardening" genannt, ein fester Bestandteil von Frameworks wie dem CIS Critical Security Controls®, der ISO/IEC 27001:2022, NIS-2 und vielen anderen. Mehr und mehr Auftraggeber und Versicherungen erzwingen sogar entsprechende Maßnahmen.


Meine Methoden können in der Regel skaliert werden und ferner biete ich weitere Dienstleistungen an, ein einmal nach „Compliance“ konfiguriertes System dauerhaft zu überwachen und jegliche Abweichung zu melden.  Gray-Hat IT-Security Consulting Stephan H. Wenderlich, empfiehlt die Verwendung von CIS-Benchmarks™ zur System-Härtung.


Was sind CIS-Benchmarks™?
CIS-Benchmarks™ sind Konfigurationsempfehlungen und wurden vom Center for Internet Security® (CIS®), eine gemeinnützige Organisation, entwickelt. Es ermöglicht Unternehmen, ihre Maßnahmen für Sicherheit und Compliance zu verbessern. Das Ziel dieser Initiative ist es, von einer Gemeinschaft von Cyber-Sicherheitsexperten entwickelte Basisstandards für die IT-Konfigurationen bzw. CIS-Benchmarks™ für IT- und Sicherheitslösungen zu erarbeiten, die in Unternehmen häufig eingesetzt werden.

Welche Vorteile haben die CIS-Benchmarks™
Unternehmen aller Art, die die CIS-Benchmarks™ umsetzen, können folgende Vorteile erzielen:

  • ✅ Absicherung von Systemen gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen.
  • ✅ Eine schnellere Behebung von Schwachstellen durch die Bereitstellung von Empfehlungen im Rahmen von Referenzwerten.
  • ✅ Langzeitvertrauen des Top-Managements und Bereitstellung von Budgets für die IT-Security Fachabteilungen.
  • ✅ Optimierte Sicherheitsstandards für Cloud-Umgebungen und Abwehr von Bedrohungen.
  • ✅ Gesteigertes Kundenvertrauen durch nachweisliche Einhaltung von branchenspezifischen Benchmarks.


Bei Bedarf kann ich Sie umfangreich unterstützen und Sie von meiner jahrelangen Praxis-Erfahrung partizipieren lassen.

Die eingesetzte Software

Grundsätzlich kommen Experten-Tools, die international mit zu den besten ihrer Art gehören, zum Einsatz. Diese Fachanwendungen haben oft Dienstleister als Zielgruppe und sind häufig so hochpreisig, dass dessen Beschaffung für einzelne Unternehmen oft zu kostspielig ist. Als seriöser Unternehmer sind alle Fachanwendungen legal erworben und passend lizenziert.


Meine verwendete Software bietet immer die aktuellsten Datenstände und die aktuellsten Vergleichsdaten. Eine konstante Weiterbildung zu den komplexen Anwendungen ist selbstverständlich.

Schwachstellen-Management: Eine schematische Übersicht des Zyklus

Organisation und Planung

Jedes Service-Paket bedarf eine Bestandsaufnahme, Aufstellung der Teams, die Berücksichtigung der Erwartungen, Klärung von rechtlichen Aspekten (z. B. darf ein System überprüft werden, dass von einer dritten Partei verwaltet wird, AV-Vertrag, NDA usw.) und der technischen Einrichtung der Zugänge.

Server und System Härtung grundlegende organisatorische Vorarbeiten
Schwachstellen Management Prozess Kreislauf

Unterschiedliche Pakete, für unterschiedliche Bedürfnisse.

Immer mit dem Anspruch auf eine langjährige Partnerschaft sind auch individuelle Lösungen möglich.

Jedes Paket hat die Option, ohne Aufschlag, auch werktags nach 18:00 Uhr bzw. am Wochenende durchgeführt zu werden.
Alle Pakete lassen sich auch individuell mit anderen Dienstleistungen kombinieren, z.B. mit dem Paket „Externer ISB“ oder „Externer CISO“.
Profitieren Sie von interessanten Rabatten.

SMALL MEDIUM LARGE EXTRA LARGE
(kleine Umgebungen bis ~50 Assets) (mittlere Umgebungen bis ~150 Assets) (größere Umgebung ~150-250 Assets) (custom)
Vorarbeiten* 3 PT (einmalig) 5 PT (einmalig) 7 PT (einmalig) Nach Aufwand
Experten-Tools (Lizenziert auf Gray-Hat IT-Security)
Zugriff auf echtes Experten-Wissen
Kein aggressives Up-Selling
Tätigkeit auch nach 18:00 Uhr und am Wochenende OHNE Aufpreis
Erkennung von EoL Anwendungen und Betriebssystemen.**
Erkennung von Schwachstellen.**
Erkennung von Fehlkonfigurationen.**
Proaktive Active-Host Discovery (täglicher Lauf). Einrichtung und Pflege nach Aufwand. Einrichtung und Pflege nach Aufwand. Einrichtung und Pflege nach Aufwand. Einrichtung und Pflege nach Aufwand.
Mitarbeit bei der Asset-Inventarisierung und dem Asset-Management (z.B. bei der Erkennung und Behandlung von unbekannten oder unerlaubten Assets). Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand.
Mitarbeit bei der Software-Inventarisierung und dem Software-Management (z.B. Behandlung und Erkennung unerlaubter Software). Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand. Im Rahmen der Maßnahmenbesprechung. Individuelle Umsetzungen (z.B. extra Monitoring) nach Aufwand.
Mit kundenspezifischen Profilen durchgeführte Scans inkl. Reports*** Ab 2 PT pro Monat Ab 3 PT pro Monat Ab 5 PT pro Monat Ab Paket Large
Ergebnisse und Maßnahmen Empfehlungen besprechen*** Ab 2 PT pro Monat Ab 3 PT pro Monat Ab 4 PT pro Monat Ab Paket Large
Schwachstellen-Management Richtlinie erstellen - Ab Paket Large
Ergebnisse messen (Im Rahmen eines ISMS). Hinweis: Das Asset-Inventory muss vollständig sein. - Ab Paket Large
Individuelle Risiko-Analyse (Im Rahmen eines ISMS) - Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Ab Paket Large
Mitarbeit bei der Behebung von Schwachstellen Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Ab Paket Large
Mindestvertragslaufzeit 6 Monate 6 Monate 12 Monate 12 Monate

*     Erstellung von eigener Dokumentation, Besprechung der Prozesse. Initiales Aufsetzen der Software auf Seiten von Gray-Hat IT-Security Consulting Stephan H. Wenderlich, inkl. Anlegung der Assets aus dem Inventar. Gemeinsame Einrichtung des VPN-Zugangs (z.B. via WireGuard oder IPSec). Kick-Off. Die technische Einrichtung von Zugängen auf Auftraggeber-Seite ist nicht inkludiert. Es wird ein vollständiges Asset-Inventar, Netzwerkzugang und passende Rechte vorausgesetzt.
**   Soweit technisch unterstützt. Meine Anwendungen aktualisieren sich täglich mit den neuesten Feeds.
*** Nicht genutzte Stunden/Personentage verfallen am Ende des Monats.

Mein Qualitätsversprechen

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.


  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Dinge genau unter die Lupe nehmen, Fehler beim Namen nennen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.
Kontaktieren Sie mich
IT-Security Experte aus Nordrhein-Westfalen.
Share by: