Schwachstellenmanagement: Erkennung und Reaktion

Inventarisierung spielt eine wichtige Rolle für die Sicherheit im Unternehmen

[datensicherheit.de, 04.12.2020] Das Schwachstellenmanagement (Vulnerability Management) behandelt die sicherheitsrelevanten Schwachstellen von Systemen in IT-Infrastrukturen. Dabei werden Prozesse und Techniken aufgesetzt, die zu einer Steigerung der Datensicherheit im Unternehmen beitragen sollen. Im Interview sprechen Jörg Vollmer, General Manager, Field Operations, DACH, Qualys und Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) in diesem Zusammenhang über die Lösung Vulnerability Management Detection and Response (VDMR).

ds: Was kann die erweiterte Qualys-Lösung VMDR?

Jörg Vollmer: Das Herzstück der Qualys-Lösung ist unsere Plattform. Diese bildet die Basis für mehr als 20 unterschiedliche Security Services (“Apps“). Die Daten können mittels unterschiedlicher Sensoren, wie Agents, virtuellen oder hardwarebasierten Scannern, passiven Scannern, durch Schnittstellen über die API etc. erhoben werden und werden in dieser Plattform zentral verwaltet und ausgewertet. Seit letztem Jahr haben wir erweiterte Detection and Response-Features hinzugefügt. Aus diesem Grundgerüst entstand dann VMDR (Vulnerability Management Detection and Response). Diese Anwendung bringt viele Lösungen in einer zusammen und erleichtert die Handhabung des Schwachstellenmanagementprozesses. Die meisten unserer Kunden nutzten besonders unsere VM-Lösungen und konnten dann die Schwachstellen mit einer weiteren App, beispielsweise mit Threat Protect von Qualys, priorisieren. Ab sofort bietet VMDR dies als einen neuen, integrierten Service. Das beginnt bei der Inventarisierung aller Systeme, also der Asset Inventory, der Priorisierung und der Klassifizierung der Systeme und nicht zuletzt dem Auslesen der installierten Software. Darüber hinaus verfügt das Tool über Detection, also einem umfassenden Scanning aller vorhandenen Assets. Diese Daten werden dann durch die Qualys Machine Learning Engine verarbeitet. Die eigene Klassifizierung der Systeme wird in Betracht gezogen und die aktuelle Kritikalität der Schwachstellen aufgezeigt. So kann dem Unternehmen dann in der Folge relativ einfach eine Priorisierung der Schwachstellen nach Dringlichkeit des Patchens dargestellt werden. Wenn beispielsweise ein Unternehmen mit 100 000 Systemen gescannt wird, werden rasch eine Vielzahl an Schwachstellen gefunden und aufgezeigt. Logischerweise sollten alle geschlossen werden, doch dies gelingt i.d.R. mangels Ressourcen nicht auf einmal, sodass eine grundlegende Priorisierung notwendig ist. Dieser Prozess kann automatisiert ablaufen, alternativ ist sie manuell einzustellen. Dies ist beispielsweise dann sinnvoll, wenn das Unternehmen für sich selbst erkennt, welche Geräte priorisiert gepatcht werden sollten und an vorderster Stelle stehen. Beispielsweise könnte das der Produktionsserver sein, während der Druckserver erst etwas später gepatched werden kann. Mit Hilfe dieser Schwachstellenbasis können aktuelle Patches gemeldet werden. Besitzt beispielsweise ein Unternehmen seit längerer Zeit eine Schwachstelle mit niedrigerem Schweregrad und plötzlich wird diese aufgrund eines neuen Angriffvektors in der Kritikalität generell höher bewertet, so wird dies direkt in der Prioritätsliste oben angezeigt. Auf dem Dashboard werden dann die fehlenden Patches angezeigt, mittels der optionalen Patch Management App können diese auch direkt aus der Oberfläche ausgerollt werden. So schließt sich der Kreislauf. Innerhalb einer einzigen Oberfläche können Schwachstellen ermittelt und auch behoben werden. Das erhöht die Sicherheit um ein Vielfaches – mit weniger Aufwand.

Bild: Qualys

Jörg Vollmer, General Manager, Field Operations, DACH, Qualys

Im Rahmen von Covid-19 wird von Qualys eine vollständige 60 Tage Version kostenfrei angeboten, inkl. der Malware-Detection, da viele Unternehmen ein grundlegendes Problem mit dem Patchen mit Systemen, welche zu dieser Zeit verteilt in Homeoffices eingesetzt werden, haben. Die Endgeräte dort verbinden sich oft via VPN mit dem Unternehmensnetzwerk. Doch falls die Organisation ein zentrales Patch-Management hat und im großem Stil Sicherheitslücken gepatcht werden, kann die Bandbreite des Unternehmens-VPNs negativ beeinflusst werden, wenn die Patches darüber verteilt werden. Die Qualys-Platform nutzt den Cloud-Agent, um Patches direkt aus dem Internet herunterzuladen und belastet damit nicht mehr das Unternehmensnetzwerk. Nach wie vor kann manuell durch Priorisierung entschieden werden, welches Gerät zuerst gepatcht werden soll. Die Rückmeldung erfolgt über die Plattform.

ds: Inventarisierung spielt eine wichtige Rolle. Wie genau erkennt Qualys die Systeme? Läuft die Erkennung mit oder ohne Agenten ab?

Jörg Vollmer: Wie eingangs erwähnt, bieten wir verschiedenste Arten von Sensoren an. Der Agent ist die eleganteste Art, da er alle Informationen über das System liefert. Es gibt auch die Möglichkeit, mit unseren Standardscannern, welche virtuell und harwarebasiert verfügbar sind, die Systeme zu erkennen, wenn dabei authenticated Scanning durchgeführt wird. So werden die Systeme eindeutig identifiziert. Bei einem nicht authentifizierten Scanning wird das Ergebnis unscharf, denn dabei werden Systeminformationen erhalten, doch die Klassifizierung wird erschwert. Bei ICS ist es nicht möglich, einen Agenten zu installieren. Besonders bei alten ICS-Systemen ist es oft nicht ratsam, aktive Scans durchzuführen. Selbst ein einfacher ICMP Request auf beispielsweise sehr alte Produktionssteuerungsgeräte kann oftmals schon Probleme hervorrufen, was bis hin zum Absturz des Systems führen kann. Aus diesem Grund gibt es bei Qualys auch einen passiven Scanner. Dieser überprüft den Netzwerk-Traffic und kann anhand dessen die Inventarisierung durchführen. Es wird auch die Kommunikation eines Gerätes mit anderen Systemen überwacht; so kann umgehend festgestellt werden, falls mit unbefugten Geräten kommuniziert wird und es können entsprechend Maßnahmen ergriffen werden.

ds: Sie sprachen eingangs das Thema „Detection and Response“ an, bietet Qualys noch weitere Dienste in diese Richtung?

Jörg Vollmer: In der Tat – wir haben aktuell einen eigenen Multi-Vector EDR-Service (Endpoint Detection and Response) veröffentlicht, um Sicherheitsverantwortliche bei Ihrer täglichen Arbeit zu entlasten. Herkömmliche EDR-Lösungen konzentrieren sich nur auf die Endpunktaktivitäten, denen der für eine genaue Analyse von Angriffen erforderliche Kontext fehlt und daher zu einer hohen Rate an Fehlalarmen führt. Qualys Multi-Vector EDR nutzt die Stärke von EDR und erweitert gleichzeitig die Visibilität über den Endpunkt hinaus, um einen umfassenderen Schutz bereitzustellen. Multi-Vector EDR lässt sich in die Qualys Plattform integrieren, um wichtigen Kontext und Einblick in die gesamte Angriffskette zu bieten und gleichzeitig die Anzahl von false und negative Positives im Vergleich zu herkömmlichen EDR-Systemen drastisch zu reduzieren.

ds: Welche sogenannte Vektoren ziehen Sie bei der Analyse in Betracht?

Jörg Vollmer: Die Integration in die Qualys Plattform vereint mehrere Kontextvektoren wie Asset-Discovery, das Softwareinventar, Informationen über EOL von Software und Systemen, Schwachstellen und Exploits, Fehlkonfigurationen, detaillierte Endpunkttelemetrie und die Erreichbarkeit und Verbindungen der Systeme im Netzwerk. Diese Informationen sind alle für die Erkennung, Bewertung und Reaktion in einer einzigen App korreliert. Dies bietet dem Security-Team wichtige Echtzeit-Einblicke in die Vorgänge auf dem Endpunkt.

Darüber hinaus speichert Qualys EDR Telemetriedaten für die aktive und die historische Ansicht und korreliert diese mit unterschiedlichen intelligenten Feeds für externe Bedrohungen. Dadurch entfällt die Notwendigkeit, sich auf eine einzelne Malwaredatenbank zu verlassen und es wird eine priorisierte risikobasierte Bedrohungsansicht bereitgestellt. Auf diese Weise können die Securityteams proaktiv und reaktiv mit einem einheitlichen Kontext aller Sicherheitsvektoren nach Bedrohungen suchen, falsche Warnungen verringern und die Teams dabei unterstützen, sich auf das Wesentliche zu konzentrieren.

ds: Wie funktioniert das Lizenzmodell?

Jörg Vollmer: Bei uns funktioniert das Modell pro Asset. Das Lizenzmodell wurde durch VMDR vereinfacht. Früher gab es eine Vielzahl an Services, welche wir separat lizensiert hatten. Durch die Zusammenführung in VMDR ist es um einiges einfacher geworden. Es gibt auch keine Unterscheidung mehr zwischen Enterprise und Small-Medium-Enterprise mehr. Es handelt sich um ein degressives Preismodell. Je mehr Assets einfließen, desto geringer wird der entsprechende Preis je Asset. Dabei handelt sich ein Asset um jedes Gerät, welches bei Qualys in Betracht gezogen werden soll.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig