Schwachstellenmanagement Teil 2: Mit Hilfe einer CMDB IT-Schwachstellen effektiv erkennen

Cyber-Angriffe, verursacht durch IT-Schwachstellen, können jedes Institut treffen. Wie der Sicherheitsbericht „Modern Bank Heists“[1], herausgegeben von VMware Carbon Black, zeigt, sind die Cyber-Angriffe auf Banken, Versicherungen und Finanzdienstleister extrem in die Höhe gegangen. Grund genug, einen genauen Blick in das Thema Vulnerability Management, zu Deutsch Schwachstellenmanagement zu werfen.

Im ersten Teil meines Blogbeitrags habe ich Ihnen die Begrifflichkeiten zum Terminus Schwachstellemanagement etwas nähergebracht, bin auf das Three Lines of Defense-Modell näher eingegangen und habe mich mit den am häufigsten vorkommenden Arten von IT-Schwachstellen beschäftigt.

Sollten Sie den ersten Teil meiner Beitragsreihe noch nicht gelesen haben: Hier finden Sie den Beitrag

Zum ersten Teil der Beitragsreihe "Vulnerability Management"

Im zweiten Teil der Beitragsreihe möchte ich Ihnen verschiedene Möglichkeiten, wie Sie IT-Schwachstellen erkennen können. Es gibt verschiedenen Einzelmaßnahmen, Schwachstellen zuverlässig und vor allem frühzeitig zu erkennen. Die drei wichtigsten möchte ich Ihnen im Folgenden etwas genauer vorstellen.

Schwachstellen- bzw. Vulnerability-Scans sind geeignet, um einen ersten und in der Folge auch kontinuierlichen Einblick über den Zustand der eigenen IT-Sicherheit und deren Schwächen zu erlangen. Durch regelmäßige Prüfungen der Infrastruktur auf Lücken können Schwachstellen frühzeitig erkannt und (wenn notwendig/möglich) geschlossen werden. So wird das Sicherheitsniveau der Infrastruktur langfristig und dauerhaft hochgehalten.

Durchgeführt wird ein Scan mithilfe einer entsprechenden Software (Schwachstellenscanner) wie etwa nmap, Nessus, Qualys, OpenVAS oder Greenbone. etc. Es gibt kommerzielle und Open-Source-Lösungen. Zunächst müssen die optimalen Punkte im Netzwerk identifiziert werden, um die Scanner richtig zu platzieren. Idealerweise erreicht ein Scanner möglichst viele Netze, ohne dabei Firewalls passieren zu müssen. Dies kann je nach Komplexität des Netzes ein sehr aufwändiger Arbeitsschritt bei der Implementierung sein. Danach werden im Rahmen eines Topologiescans die möglichen Scantargets bzw. IP-Adressen in den Zielnetzen ermittelt. Anschließend durchleuchtet der Scanner je IP-Adresse die Ports bzw.  aktiven Dienste auf den Zielsystemen. Dabei findet der Scanner alte Patchstände von Systemen oder Software, Trivialpasswörter und auch Fehl-Konfigurationen. Diese Methodik bezeichnet man als Netzscan.

Gründlicher arbeiten Schwachstellenscans mit Agenten auf den Zielsystemen, die die Zieladressen von innen unter die Lupe nehmen. Diese Scanart setzt aber eine hohe Transparenz der Infrastruktur und eine bestens gepflegte CMDB voraus. Hat das Unternehmen aber diesen Reifegrad erreicht, sind mit dieser Methode auch Compliance-Scans möglich, mit deren Hilfe nachgewiesen werden kann, dass auf den Systemen vordefinierte Sollkonfigurationen eingehalten werden. Eine weitere Stufe nach dem Schwachstellenscan ist das Schwachstellen-Assessment (eine spezielle Form von Penetrationstests). Hierbei wird zusätzlich noch menschliche Intelligenz zum Scan hinzugezogen. Es wird nach neueren oder kreativeren Schwachstellen aktiv gesucht und es kann zudem auch individuelle Software betrachtet werden.

Der Penetration Test oder Pentest unterscheidet sich zum Schwachstellen-Scan oder Schwachstellen-Assessment dahingehend, dass ein Worst Case-Szenario auf ein bestimmtes Ziel durchgespielt wird. Das kann beispielsweise das Erlangen von administrativen Rechten auf einem System sein. Er geht damit deutlich mehr in die Tiefe als in die Breite. Der manuelle Aufwand ist deutlich höher, was entsprechend höhere Kosten mit sich bringt. Typischerweise setzt ein Pentester einen Mix aus toolbasierten Scans und eigenen Angriffsszenarien ein, um zu prüfen, ob Systeme gut abgesichert sind. Pentest sollen i.d.R. die Wirksamkeit implementierter Maßnahmen demonstrieren oder die Notwendigkeit von IT-Sicherheits-relevanten Nachbesserungen bzw. Investitionen demonstrieren.

Da es zu aufwändig ist, jedes System regelmäßig einem Pentest zu unterziehen, werden die Ziele im Rahmen des Auditmanagements risikoorientiert festgelegt. Jeder Pentest ist individuell und wird im Vorhinein gründlich zwischen Auftraggeber und Auftragnehmer abgesprochen werden. Ein Plan, was, wie und wann angegriffen wird ist zu erarbeiten, damit klar ist, dass ein erfasster Angriff (bspw. erkannt durch ein SIEM) Teil eines Pentests ist oder auch nicht! Denkbar ist, diesen Plan nur einem Teil der Organisation im Vorfeld transparent zu machen, um beispielsweise die Wirksamkeit der Sicherheitsorganisation unter Realbedingungen zu prüfen. Darüber hinaus sollten Unternehmen Herstellermeldungen zu Sicherheitslücken und Sicherheitsupdates sowie einschlägige Pressemeldungen wie aus dem Heise-Ticker nach derselben Methodik verarbeiten.

CERT steht für Computer Emergency and Response Team und beschreibt Gruppen von IT-Sicherheitsexperten, die über relevante IT-Sicherheitsprobleme berichten und beraten. Sie beleuchten Angriffsvektoren und geben Ratschläge, wie man die identifizierten Risiken minimieren kann. Außerdem unterstützen sie bei der Reaktion auf Sicherheitsvorfälle.

In Deutschland steht kleinen und mittelständischen Unternehmen das CERT der Universität Stuttgart, mcert und das CERT des Deutschen Forschungsnetzes zur Verfügung. Größere Unternehmen betreiben eigene CERT-Teams, um die Bedrohungslage konzernspezifisch bewerten zu können und passende Maßnahmen abzuleiten. Ein Beispiel dafür ist das S-CERT in der Sparkassen-Finanzgruppe. Als Dachorganisation der CERTs agiert das Forum of Incident Response and Security Systems (FIRST). CERT-Meldungen kann man abonnieren. Je nach Abonnement bekommt man die nach Schweregrad gewerteten Meldungen dann elektronisch zugestellt und kann sie verarbeiten. Normalerweise werden Tickets erzeugt und im Rahmen des Patchmanagements bearbeitet und geschlossen.

Damit Schwachstellen und Sicherheitsrisiken zuverlässig und zeitnah in Ihrem Institut erkannt werden, ist der Aufbau einer vollständigen CMDB (Configuration Management Database) unerlässlich. So ist es Ihnen möglich, Transparenz über den Zustand und die Abhängigkeiten der eigenen IT-Systeme zu erhalten.

Eine CMDB dient dem zentralen Überblick und der Verwaltung von verstreuten Konfigurationselementen der IT-Infrastruktur. Im Kontext des Schwachstellenmanagements hilft die CMDB, die Abhängigkeiten der IT-Systeme aufzuzeigen und gilt als eine der ersten Adressen zur Prüfung von Schwachstellen in Form von falschen oder unzureichenden Konfigurationen an der IT-Infrastruktur. Sie ist die Basis für einen großflächigen Abgleich mit bekannten oder neuen Schwachstellen. Zudem ermöglicht sie eine effiziente Patchplanung zur Beseitigung von Schwachstellen. Auch das allgemein gültige Prozessframework ITIL verlangt den Einsatz einer CMDB in der IT-Infrastruktur, da die gesamten ITIL-Prozesse sowie das Service Management von ihr abhängen. Daher ist die Qualität der CMDB (bzw. die Qualität der Daten) entscheidend für ein erfolgreiches Incident- bzw. Problemmanagement und somit auch für ein Schwachstellenmanagement.

Eine Schlüsselrolle kommt der CMDB zudem zu, wenn man einen Überblick über die gesamte Bandbreite an Konfigurationen erhalten will. So kann im Falle eines Security Incidents mithilfe der CMDB schnell ein Überblick über die Situation und ggf. weitere bedrohte Systeme gewonnen werden.

Mithilfe einer CMDB können IT-Systeme zudem Geschäftsprozessen zugeordnet werden, wodurch ermittelt werden kann, welche Daten wo erhoben, verarbeitet und gespeichert werden können. Dadurch ist es möglich, den notwendigen Schutzbedarf zu erkennen und eine Risikobewertung vorzunehmen. Mithilfe des Schutzbedarfes und der Risikobewertung entsteht ein klares Bild über notwendige Maßnahmen zur entsprechenden Schutzschaffung bzw. Risikominimierung.

Mithilfe von Schwachstellenscans sowie Pentests auf Basis der CMDB können IST-Zustand der eigenen IT definiert und eventuell vorhandenen Schwachstellen großflächig aufgedeckt werden. Für die effiziente Behebung von Schwachstellen sowie zur Optimierung der IT-Systeme und Abhängigkeiten wird ein SOLL-Zustand benötigt, der sich aus diversen Anforderungen an eine gute IT-Security ergibt. Geeignete Quellen hierfür sind Best Practice IT-Security-Lösungen bzw. Konfigurationen sowie Bedrohungsanalysen.

Sie sehen also:  ohne eine gut gepflegte CMDB ist kein wirksames Schwachstellenmanagement möglich, da die Auswirkungen einer Schwachstelle nie ansatzweise oder vollständig bewertet werden können. Die CMDB bildet somit die “Grundgesamtheit” der IT eines Unternehmens - ein Begriff, der in regulatorischen Prüfungen ein Kernthema darstellt.

Die nach den initialen Schwachstellenbehebungen geschaffene Grundlage kann genutzt werden, um innerhalb einer IT- Strategie auch die angemessene IT-Security-Strategie festzulegen. Dies beinhaltet die IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Betrieb und Datensicherung, Auslagerung und Fremdbezug von IT-Leistungen sowie das Betrachten der kritischen IT-Infrastruktur.

Die umfangreiche Beschreibung dieser Maßnahmen verdient einen eigenen Beitrag. Daher wird hier nicht weiter darauf eingegangen. Im Sinne des Schwachstellenmanagements sollten innerhalb des Risikomanagements folgende Kernfragen beantwortet werden:

• Werden Schwachstellenscans bzw. Pentests regelmäßig durchgeführt? Wie ist der Turnus und Aufwand?
• Wie wird innerhalb der IT-Governance mit Schwachstellen umgegangen?
• Welche Risiken stehen welchem Aufwand zu deren Minderung gegenüber? Wie “risikohungrig” ist die Organisation?
• Wie gestaltet sich der Prozess, um Maßnahmen bzw. Feststellungen aus Pentests bzw. Scans zu beheben?
• Wird der Umgang und der Status der Schwachstellen regelmäßig durch das Management gereviewed?
• Wie wird mit möglichen Schwachstellen bei IT-Dienstleistern umgegangen?
• Wie wird die CMDB gepflegt und aktuell gehalten?
• Wie wird mit neuen Erkenntnissen über Schwachstellen, die bspw. von IT-Security Firmen veröffentlich werden, umgegangen?

Bisher lag der Blickwinkel stärker auf der Qualität der CMDB und wie mit ersten Feststellungen umgegangen werden sollte. Doch dieses Vorgehen sollte mit der Zeit weiter optimiert werden: In einem fortgeschrittenen Schwachstellenmanagement sollten gefundene Schwachstellen konsolidiert und einheitlich verarbeitet werden. Hierfür ist eine möglichst umfangreiche Automation anzustreben, für die die verschiedenen Produkte unterschiedliche Lösungen anbieten. Ein einfacher Scanreport erzeugt ein umfangreiches Protokoll, jede gefundene Schwachstelle erhält eine Bewertung ihrer Schwere. Leider haben hier die meisten Anbieter eigene Schemata entwickelt. Die Auswertung ist zunächst auch nicht so intelligent, um zu erkennen, dass dieselbe Schwachstelle gerade 300 Mal auf unterschiedlichen IPs gefunden wurde. Anzustreben ist also eine Konsolidierung der gefundenen Schwachstellen und eine einheitliche Bewertung. Für die Konsolidierung und Auswertung sollte ein Automat geschrieben werden, der die Scanprotokolle auswertet und für eine Schwachstelle auf vielen Zielsystemen auch nur ein Ticket erzeugt. Als einheitliches Bewertungsschema empfiehlt sich das CERT-Schema, mit dem die CERT-Meldungen risikoorientiert bewertet werden. Leider muss dann eine Abbildungsmatrix der Herstellerschemata in das CERT-Schema entwickelt und ausgewertet werden. Die verschiedenen Lieferanten von Scannern bieten unterschiedliche Hilfsmittel für die Automation der Auswertung. Dazu gehören Konfigurationsmöglichkeiten bei den Scans und der Aufbereitung der Scanergebnisse, aber auch unterschiedliche Ausgabeformate wie pdf. oder xml. Das entwickelte Bewertungs-Schema ist dann auch für Pentests, Herstellermeldungen und Pressemeldungen anwendbar.

Jede bekannte Schwachstelle wird mit einer weltweit eindeutigen Schwachstellennummer und Schwachstellenbenennung versehen, welche in der Liste der “Common Vulnerability and Exposures” oder CVE zu finden sind. Dies ermöglicht eine eindeutige Referenzierung und Verfolgung. In einem fortgeschrittenen Schwachstellenmanagement kann diese jeweils mit einer CPE (Common Platform Enumeration) verknüpft werden, da jeder Plattform-Softwarestand ebenfalls eine eindeutige Nummer hat. Voraussetzung für diesen Reifegrad ist allerdings wiederum eine hervorragend gepflegte CMDB. In so einem System kann eine neue kritische Schwachstelle innerhalb von Minuten auf alle betroffenen Assets referenziert werden, was die Planung entsprechender Patches als Notfall oder im Rahmen des turnusmäßigen Vorgehens einfach und transparent macht.  

Fazit

Cyber-Angriffe, die Schwachstellen ausnutzen, um in den Besitz von vertraulichen Daten zu gelangen oder sonstigen Schaden zu verursachen, nehmen kontinuierlich zu. Deshalb ist ein effektives Schwachstellenmanagement heute für jedes Unternehmen ein Muss.

Es ist jedoch ein langer Weg - von der Initiierung bis zu einem effizienten und schlagkräftigen Prozess -  bis die Ausnutzung von Schwachstellen für dolose Handlungen schwierig oder nahezu unmöglich wird.

Im Minimum sollten CERT-Meldungen abonniert und verarbeitet werden und auch Herstellermeldungen zu Sicherheitslücken zeitnah beachtet werden. Ein funktionierendes Patchmanagement ist für jedes Unternehmen unabdingbar.

Der wirksame und effiziente Umgang mit Schwachstellen setzt allerdings eine gut gepflegte CMDB voraus, um das Risiko von gefundenen Schwachstellen angemessen bewerten und passende Maßnahmen ableiten zu können.

Ziel muss es sein, alle Schwachstellen aus verschiedenen Quellen einheitlich verarbeiten zu können und kritische Schwachstellen zeitnah zu schließen, da nur so das erhöhte Risiko von Zero-Day-Exploits mitigiert werden kann.

Das gesamte Verfahren sollte in mehreren Stufen umgesetzt und überprüft werden: das Patchmanagement wird durch Schwachstellenscans überprüft, deren Wirksamkeit wiederum im Rahmen von Penetrationstests validiert werden. Das gesamte Verfahren wird von der Revision überwacht.

[1] VMware Carbon Black (2020): Modern Bank Heists 2020, abgerufen am 10.08.2020 unter https://www.carbonblack.com/resources/modern-bank-heists-2020/