4. Die drei Schutzziele der Informationssicherheit
• Vertraulichkeit (Confidentiality)
• Daten sind nur berechtigten Personen zugänglich.
• Integrität (Integrity)
• Daten sind nur durch berechtigte Personen veränderbar. Die Veränderungen
sind nachvollziehbar, erkennbar und Dokumentiert.
• Verfügbarkeit (Availability)
• Daten sind berechtigten Personen jederzeit zugänglich.
4
5. Kontext
5
• Bei ca. 57% Prozent der Unternehmen, bei denen ein Datenverlust aufgetreten
ist, war eine nicht gepatchte Schwachstellen als Ursache.
→ Schwachstellenmanagement (Vulnerability Management) reduziert das
Risikoprofil eines Unternehmens erheblich.
Keine Kette ist stärker als ihr schwächstes Glied!
6. Die Herausforderungen
• Es gibt viele Lösungen am Markt welche sich mit Schwachstellen
beschäftigen.
• Es gibt Lösungen zum einfachen Vulnerability Scanning und es gibt Lösungen
zum Vulnerability Management.
• Vulnerability Scanning Lösungen sind in der Regel günstig in der Anschaffung
• Vulnerability Management Lösungen sind in der Regel teurer in der
Anschaffung
6
7. Die Herausforderungen
• Die heutige fragmentierte bzw. verteilte Wertschöpfungskette stellt
uns vor neue Herausforderungen.
• Moderne Entwicklungsparadigmen bieten neue Chancen und
Möglichkeiten
• Hacker werden immer schneller im Ausnutzen von Sicherheitslücken
• WannaCry ca. 6 Wochen zwischen Publizierung des Patches und ersten schweren Angriffen
7
9. Lernziele
• Praxiserfahrungen bei der Implementierung und dem Betrieb von
Vulnerability Management, sowie aktuelle Herausforderungen
• Welche Strategien haben sich in der Praxis bewährt?
• Welche Ansätze haben sich in der Praxis nicht bewährt?
• Auf welche Stolpersteine sollten Sie sich vorbereiten?
• Außerdem im Fokus neue Anforderungen durch Multi-Cloud
Umgebungen, sowie fragmentierte und komplexe Lieferketten.
Beispielsweise durch die Nutzung der Vorteile von:
• Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.)
• Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD))
9
11. Do’s
• Welche Strategien haben sich in der Praxis bewährt?
• Fangen Sie in kleinen Schritten an. Ertränken Sie Ihren Betrieb nicht in einer
Flut von Schwachstellen.
• Gefunden Schwachstellen müssen nach Kritikalität für das eigene
Unternehmen eingeschätzt und priorisiert werden.
• Vergessen Sie nicht den psychologischen Aspekt. Ermöglichen Sie ein Licht am
Ende des Tunnels.
• Schwachstellen müssen gemanagt, rapportiert und gegebenenfalls eskaliert
werden. (Metriken und KPIs).
• Besprechen Sie Unstimmigkeiten mit der CMDB.
11
12. Do’s
• Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.)
• Heutige as a Service Lösungen (XaaS) haben bestimmt Auflagen was das
Scanning angeht.
• https://aws.amazon.com/security/penetration-testing/
• SaaS Anbieter erlauben in der Regel keine Scans.
• Einiger XaaS Anbieter lassen sich die Erlaubnis für Scans bezahlen.
• Informieren Sie sich vorher über die Möglichkeiten
• Wählen Sie Ihre Provider mit Bedacht aus
12
13. Do’s
• Agile Entwicklung (Continuous Integration (CI)/Continuous
Deployment (CD))
• Integrieren Sie Schwachstellen Scans frühzeitig in Ihren Entwicklungsprozess
• z.B. Erkennung von Bibliotheken und anderer Abhängigkeiten mit bekannten
Schwachstellen
• Etablierung von Quality Gates (auch Code Quality)
13
15. Don’ts
• Welche Ansätze haben sich in der Praxis nicht bewährt?
• Nutzen Sie nicht ausschließlich die Standard Kritikalität von Schwachstellen
(z.B. CVSS)
• Gehen Sie nicht davon aus das erteilte Bereinigungsaufträge nachhaltig
durchgeführt werden.
• Scannen Sie niemals fremde Systeme für die Sie keine schriftliche Erlaubnis
haben.
• Rapportieren Sie nicht die Zeit zwischen dem Auffinden der Schwachstelle
und dem aktuellen Datum sondern dem öffentlichen bekannt werden.
• Vergeuden Sie keine Zeit mit dem Suchen von unbekannten oder Herrenlosen
Systemen, sondern delegieren Sie.
• Scannen Sie nicht zu Change Freeze Zeiten.
15
16. Don’ts
• Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.)
• Fragmentieren Sie Ihre Lieferkette nicht so stark, dass sie nicht mehr zu Testen
ist
• Verlassen Sie sich nicht auf Firmenfremde Code bzw. Container Quellen
• Unterschätzen Sie nicht die Datenmenge, welche bei Scans übertragen wird
• Unterschätzen Sie nicht die Belastung der Systeme
• Container sind funktionieren nicht wie klassische Systeme (z.B. authenticated
Scans sind nicht ohne weiteres möglich)
16
17. Dont’s
• Agile Entwicklung (Continuous Integration (CI)/Continuous
Deployment (CD))
• Nutzen Sie nicht dutzende Solutions zum Scanning
• Geben Sie agilen Entwicklern keinen Freibrief
17
19. Stolpersteine
• Auf welche Stolpersteine sollten Sie sich vorbereiten?
• Sind die Firewalls richtig konfiguriert?
• Scans können Produktivsysteme zum Absturz bringen.
• Was passiert mit Systemen für die Sie keinen Owner finden?
• Delegieren Sie die Suchen der Systeme und der Owner.
• Was passiert mit Systemen die nicht durch die IT gemangt werden?
• Frankiermaschienen
• 3rd Party gemanagte Systeme
19
21. Fazit
• Definieren Sie eine solide Governance
• Holen Sie Ihr Management ab
• Informieren Sie den Betrieb
• Prüfen Sie regelmäßig (mindestens 1x im Monat)
• Priorisieren Sie Ihre Findings
• Nehmen Sie Schwachstellen Ernst
• Patchen Sie zeitnah
21