Das Durchführen von Schwachstellenscans im internen Netzwerk ist einer der einfachsten Wege, um zur Sicherheit der eigenen Infrastruktur beizutragen. Kürzlich kam bei uns jedoch die Frage auf, ob unser Schwachstellenscanner tatsächlich einen Mehrwert bringt, da alle Berichte gleich aussahen.
Die Frage beantwortete sich jedoch von selbst, als der neueste Bericht erstellt wurde, welcher eine plötzliche Änderung der internen Sicherheit darstellte.
Da es sich dabei um einen recht großen Unterschied handelte, kam natürlich die Frage auf, was passiert war. Zuerst möchte ich anmerken, dass der Bericht eine Übersicht unserer gesammten Infrastruktur darstellt. Das beinhaltet sowohl unsere Produktiv-, Test- und Entwicklungsnetzwerke und damit auch einige unterschiedliche Hosts. Dennoch ist die Menge an plötzlich auftretenden Schwachstellen beachtlich, weshalb wir die betroffenen Hosts sofort untersuchten.
Ein kurzer Blick in den Bericht des Schwachstellenscanners zeigte auf, dass die meisten Sicherheitslücken von einem einzigen Host stammen.
Betroffener Server aus dem Produktionsnetzwerk
- 2 kritische Schwachstellen im E-Mail-Dienst (falscher Alarm).
- 1 kritische Schwachstelle, für die zum Zeitpunkt des Scans kein Patch verfügbar war.
- 8 Updates, die nicht installiert waren (Risiko-Stufe Medium).
- 10 Updates, die nicht installiert waren (Risiko-Stufe Hoch).
Weitere Server aus unterschiedlichen Netzen
- 2 kritische Schwachstellen im E-Mail-Dienst (falscher Alarm).
- 1 mittlere Schwachstelle, für die zum Zeitpunkt des Scans kein Patch verfügbar war.
- 1 kritische Schwachstelle, welche temporär auf einem Testsystem aktiviert wurde.
- 1 Update, das nicht installiert war (Risiko-Stufe Medium).
Analyse der gemeldeten Schwachstellen
Die kritischen Sicherheitslücken im E-Mail-Dienst konnten schnell als false-positives, also Falschmeldungen, identifiziert werden und wurden dementsprechend im Scanner markiert. Die mittlere Schwachstelle, für welche zum Zeitpunkt des Scans kein Patch vorhanden war, wurde geschlossen, nachdem das Update dafür veröffentlicht worden war. Auf dem Testsystem wurde vom Scanner eine weitere kritische Sicherheitslücke entdeckt, welche jedoch zum Zeitpunkt der Berichterstattung bereits wieder geschlossen war. Abgesehen davon war ein weiteres, kritisches Update für das System verfügbar, welches kurz nach dem letzten Patch-Prozess veröffentlicht wurde. Dies kann zwar durchaus gelegentlich in Schwachstellenscans auftreten, sollte aber mit einem regelmäßig durchgeführten Patch-Prozess kein all zu großes Problem darstellen.
Der Host im Produktionsnetzwerk hatte jedoch weit mehr Schwachstellen vorzuweisen und war daher weit interessanter als die kleinen Funde der anderen Hosts. Bei den beiden Lücken im E-Mail-Dienst handelte es sich um die gleichen Fehlermeldungen wie bei den zuvor Genannten. Die kritische Sicherheitslücke ohne Patch wurde ebenso geschlossen, nachdem dieser veröffentlicht wurde. Die 18 verbleibenden Sicherheitsupdates, waren jedoch außerhalb der üblichen Funde und erforderten daher eine genauere Überprüfung.
Wie sich herausstellte, war die Ursache für die nicht installierten Updates ein menschlicher Fehler. Zu einem bestimmten Zeitpunkt wurde der Server aus dem automatisierten Patch-Prozess entfernt. Diese Maßnahme war, als temporäre Lösung vorgesehen um Administrationsaufgaben ausführen zu können. Das „temporär“ wandelte sich jedoch in „länger als gedacht“, da nach Abschluss der Arbeiten vergessen wurde, den Server wieder in den Prozess aufzunehmen. An dieser Stelle kam uns der regelmäßige Schwachstellenscan jedoch zu Hilfe, da uns durch die hohe Anzahl an Sicherheitslücken im Bericht auffiel, dass mit dem Host etwas nicht in Ordnung war.
Selbst wenn ein Sicherheitsscanner nur kleine Mengen an Fehlern oder sogar überhaupt keine Schwachstellen aufweise, liefert er jedoch zumindest die folgenden Informationen, die es wert sind, regelmäßig überprüft zu werden.
- Wie ist der aktuelle Status der internen Netzwerksicherheit?
- Hat sich etwas geändert seit dem letzten Schwachstellenscan?
- Funktioniert der Patch-Management-Prozess?
Zu viele Alarme führen in der Regel dazu, dass diese entweder abgeschaltet oder ignoriert werden, was wiederum den Sinn aus regelmäßigen Schwachstellenscans nimmt. Wer in Zukunft regelmäßige Sicherheitsscans durchführen möchte, sollte daher die folgenden Schritte beachten, um nicht von Unmengen an berichteten Schwachstellen überflutet zu werden.
- Installation eines Schwachstellenscanners
- Durchführen eines manuellen Schwachstellenscans im internen Netzwerk
- Beseitigen der gefundenen Schwachstellen und Markieren von Falschmeldungen
- Einführen eines Patch-Management-Prozesses für Sicherheitsupdates
- Anschließendes Einführen von automatisierten, regelmäßigen Schwachstellenscans
Bei der Wahl, Installation und Konfiguration eines geeigneten Schwachstellenscanners sind wir Ihnen gerne behilflich. Wenn Sie Fragen zu Schwachstellenscans oder unseren anderen Dienstleistungen zum Thema Sicherheitstests haben, dann kontaktieren Sie Uns. Wir melden uns so bald wie möglich bei Ihnen zurück.
