:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Common Vulnerabilities and Exposures (CVE) CVE & Co. für Einsteiger
Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzichtbaren Industriestandard.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Im täglichen Fachgespräch zwischen Security-Experten fällt immer mal wieder der Begriff CVE – verbunden mit der Frage ob man davor geschützt ist oder mit der positiven Feststellung das dies der Fall ist. Wer nun nichts mit dem Begriff „CVE“ anfangen kann, steht oft ratlos daneben und wundert sich nur. Dabei ist die Sache ganz einfach. Denn CVE ist die Abkürzung für Common Vulnerabilities and Exposures. Dies ist nichts anderes als die etablierte Bezeichnung für eine Schwachstelle und deren Gefährdungspotential im Security-Jargon. Anders als beispielsweise bei Malware, hat man hier auf die Benennung von Schwachstellen mit mehr oder weniger sprechenden Namen verzichtet und stattdessen ein Nummernschema (CVE-YYYY-NNNN) eingeführt, welches, aus dem CVE-Prefix, dem Jahr der Entdeckung der Schwachstelle (YYYY), und einer fortlaufenden Nummer (NNNN) besteht.
Mit Einführung der CVE-Bezeichnung im Jahr 1999 wurden 4 Stellen als ausreichend betrachtet um alle gefundenen Schwachstellen zu bezeichnen und die maximale Anzahl von 9999 schien mehr als ausreichend. Die Praxis zeigt aber, dass dies nicht ausreichte, denn 2017 überschritt die Zahl der gemeldeten Schwachstellen erstmals die Zehntausender-Grenze (14.714) und auch 2018 sind bis ende Juli bereits über 10.000 erfasst (10.744). Vorausschauend wurde daher im Januar 2014 eine Syntaxänderung mit beliebig vielen Stellen (mindestens vier) beschlossen. Die CVE-ID-Syntaxänderung trat am 1. Januar 2014 in Kraft und CVE-IDs mit der neuen Syntax wurden erstmals am 13. Januar 2015 veröffentlicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1434100/1434172/original.jpg "Gemeldete CVEs seit 1997 – Werte für 2018 noch nicht vollständig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1434100/1434173/original.jpg "Screenshot der Liste von CNAs, die Schwachstellen melden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1434100/1434174/original.jpg "Screenshot der Webseite von CVE Details; Produktansicht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1434100/1434175/original.jpg "Auszug aus CVE Details mit den Werten für Microsoft.")
Die amerikanische Organisation Non-Profit-Organisation Mitre ist Schirmherr des CVE-Systems. CVE ist dabei der Lösungsansatz, Schwachstellen in ein einheitliches Schema zu packen. Aktuell unterstützen weltweit 88 Organisationen die CVE-Liste, diese werden als CNA (CVE Numbering Authority) bezeichnet.
CNAs sind berechtigt, Schwachstellen, die Produkte in ihrem jeweiligen vereinbarten Umfang betreffen, CVE-IDs zuzuweisen, damit sie bei erstmaligen öffentlichen Bekanntgabe neuer Sicherheitslücken berücksichtigt werden können. Die aktuellen CNAs können dabei über die Mitre Webseite abgerufen werden. Die Anzahl der Produkte, die sich in der CVE-Liste wiederfindet, geht dabei weit über 3000 – wobei es einmalige Meldungen gibt, aber auch mehrfachen Schwachstellen je Produkt. Eine Liste aller CVEs lässt sich auch bequem herunterladen.
CVE-Übersicht im Detail
Einen übersichtlichen Blick auf die gemeldeten Schwachstellen gibt der Service „CVE Details“, der eine übersichtliche Darstellung der CVE-Liste von Mitre erlaubt. Im Wesentlichen handelt es sich hier um eine Datenbank, die diverse Abfragen ermöglicht. So werden hier auch die rund 1300 Hersteller benannt, die Input für die CVE-Liste liefern. Aufgeschlüsselt nach Herstellername, Anzahl der Produkte und Schwachstellen. Bei Microsoft, einem der großen Unternehmen finden sich hier gegenwärtig 471 Produkte und 5773 Schwachstellen. Als Vergleich dazu Mozilla (23 Produkte und 1801 Schwachstellen) und Google (63 Produkte und 3524 Schwachstellen).
Man sollte sich aber nun nicht verleiten lassen und die Anzahl der CVEs für eine Produktbeurteilung heranzuziehen. Denn zunächst ist eine CVE nur eine gefundene Schwachstelle. Dies sagt noch nichts über das Risiko aus, das dies Schwachstelle auch ausgenutzt werden kann und über die Auswirkungen eines Exploit auf ein Unternehmen bzw. dessen IT-Infrastruktur. Es ist also das Risiko, welches die Gefährdung bzw. das Risiko der CVEs definiert und nicht deren Anzahl. Aber auch hier gibt es einen Ansatz der dem Sicherheitsverantwortlichen das Leben etwas erleichtert - das CVSS (Common Vulnerability Scoring System).
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386194/original.jpg "Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen. (BillionPhotos.com - stock.adobe.com)")
Cloud Penetration Testing
Penetrationstests für Cloud-Dienste durchführen
Risikobestimmung mit CVSS
CVSS legt das Risiko einer Gefährdung fest. Auch hier gibt es Regelwerke, die genau definieren, wie sich der CVSS ergibt und wie man ihn ermittelt. Eine einfache Art, den Risiko-Faktor zu berechnen, bietet der „Common Vulnerability Scoring System Version 3.0 Calculator“ von FIRST. Die Organisation wurde gegründet, um die Zusammenarbeit von Incident-Response-Teams besser zu koordinieren. Die Nutzung des „CVSS Calculator“ ist denkbar einfach. Aus einer vorgegebenen Gruppe von Eigenschaften wählt der Bearbeiter die aus, welche seiner Schwachstelle am besten entsprechen. Beispielsweise welcher Aufwand erforderlich ist, um die Schwachstelle auszunutzen. Die Notwendigkeit von erweiterten Privilegien oder auch ob Anwender-Interaktionen erforderlich sind. Je einfacher eine Schwachstelle auszunutzen ist und umso geringer die zu überwindende Hürde und desto höher der Risiko-Faktor der Schwachstelle. Der Risiko-Faktor erreicht dabei Werte von 0,0 bis 10,0 wobei 10 den höchsten Wert darstellt.
CVE Details bietet auch hier wieder eine gute Ergänzung an. Eine Bubbles-Grafik zeigt übersichtlich die Score-Werte aller gemeldeten Schwachstellen. Im Jahr 2017 lag der durchschnittliche CVSS-Score der 14.714 benannten Schwachstellen bei 6,4 Punkten. Kritische Elemente, mit einem Score von 8 bis 10 lagen bei knapp 11 Prozent der Gesamtmenge. Für die ersten 6 Monate des Jahres 2018 zeigt sich aber der Trend, dass die Werte des Vorjahres überschritten werden. Denn 8569 gefundene Schwachstellen forcieren diesen Trend.
Quellenstudie mit NIST & Co.
In Fachgesprächen zwischen den Security-Experten wird auch irgendwann eine konkrete CVE genannt, wie CVE-2018-8136. Die CVE-ID allein sagt dabei noch nichts aus, erst durch die Detailinformationen bei CVE Details oder anderen Anbietern erhält man hier eine genaue Beschreibung. Generell empfiehlt es sich auch, nicht nur eine Beschreibung als Informationsbasis zu nutzen, sondern mindestens zwei – besser drei.
Viele Hersteller von Security-Tools wie z.B. Rapid7, Symantec und Organisationen wie CERT haben eigene, CVE-kompatible Datenbanken aufgebaut. Aber auch Hersteller wie beispielsweise Adobe, Cisco oder Intel führen eigene Listen um Ihre Kunden zu informieren oder spezielle Hinweise auf für die eigenen Produkte zu geben. Den Reigen ergänzen aber auch wieder bewährte Informationslieferanten wie beispielsweise CVE Details oder NIST.
Die Frage nach dem „Was ist besser?“ lässt sich nicht generell beantworten, denn die wesentlichen Informationen sind identisch. Aber die Darstellung und ggf. im Text enthaltenen Querverweise erhöhen den Mehrwert deutlich. Von daher wird jeder Security-Verantwortliche seine eigene Präferenz haben, unter den Anbietern. Für das National Institute of Standards and Technology (NIST) spricht, dass es eine offizielle Institution ist und die Informationen stets qualifiziert sind, wie eine Recherche für CVE-2018-8136 zeigt. Auch bei CVE Details findet man zahlreiche Informationen zur entsprechenden CVE. Unter Umständen werden diese sogar etwas früher veröffentlicht als bei anderen Stellen – im Kampf gegen Schwachstellen ein Pluspunkt.
Letztendlich kann aber sogar auch die Informationsbasis eines Herstellers für den Security-Verantwortlichen interessanter sein, wenn dort produktspezifische Hinweise enthalten sind, die in anderen Quellen nicht aufgeführt werden. Es ist also eine gewisse zeitliche Vorarbeit zu investieren, bis man die für das eigene Umfeld beste Variante gefunden hat.
:quality(80)/images.vogel.de/vogelonline/bdb/1230000/1230092/original.jpg "Administratoren können mit dem Open-Source-Tool OpenVAS im Netzwerk nach Sicherheitslücken suchen. (Witthaya - Fotolia)")
Tool-Tipp: OpenVAS
Mit OpenVAS Schwachstellen im Netzwerk finden
Die Suche nach der Nadel im Heuhaufen
Was CVE bedeutet ist geklärt, ebenso einige nützliche Tools – aber die Gretchenfrage ist nach offen: „Wie findet man Schwachstellen im eigenen System“? Hier greifen die Tools, die man von einzelnen Security-Anbietern erwerben kann. Diese scannen einzelne Systeme oder per Remotezugriff ganze Netzwerke nach verwundbaren Systemen. Diese Tools sind wahre Alleskönner, die auch Systeme patchen können oder andere Software Deployment-Tools instruieren, die Schwachstellen zu beseitigen.
Es gibt aber auch Freeware-Produkte, die nach Schwachstellen suchen. Teilweise sind diese aber auf bestimmte Ziele fokussiert (Webseiten, Web-Anwendungen, Datenbanken, Produkte, Programmier-Sprachen etc.). Freie Tools wie OpenVAS sind Mangelware. Eine Aufstellung verschiedener freier und kommerzieller Vulnerability-Scanner findet sich bei OWASP, einer Non-Profit-Organisation, die sich der Entwicklung, vertrauenswürdige Anwendungen verschrieben hat.
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374959/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren. (Offensive Security)")
Kali Linux Workshop, Teil 3
Schwachstellenanalyse mit Kali Linux
Eine spezifische Variante ist der kostenlose MBSA (Microsoft Baseline Security Analyzer), der sich auf Schachstellen im MS-Umfeld fokussiert. Microsoft nutzt im MSBA bevorzugt ein eigenes Namens-Schema, so dass die CVE-ID oft erst nach Nutzung einiger Links ersichtlich wird. Aber MBSA ist einfach zu bedienen und ein hilfreiches Werkzeug für Windows-Systeme! Wem dies nicht genügt, der kann auch mit professionellen Tools erste Erfahrungen sammeln, denn die meisten Hersteller bieten (zeitlich und funktionell beschränkte) Testlizenzen Ihrer Produkte an.
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "Kali Linux ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. In dem vierteiligen Workshop zeigen wir, welche Möglichkeiten Kali bietet. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 1</big><br> <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Kali Linux installieren und Hacking-Lab aufsetzen</strong></big></big></a><br> Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil dieses Workshops stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 2</big><br> <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Informationen sammeln mit Kali Linux</strong></big></big></a><br> Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil des Workshops dreht sich alles um das Thema Informationen übers Netzwerk sammeln. <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 3</big><br> <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Schwachstellenanalyse mit Kali Linux</strong></big></big></a><br> Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Im dritten Teil des Workshops stellen wir einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
Zusammenfassung
Schwachstellen und CVE sind ein komplexes Thema, aber mit einem soliden Grundwissen kann man schon einiges erreichen. Dabei wird es in Zukunft eine elementare Rolle spielen, Security-Schwachstellen zeitnah zu bearbeiten. Das umfasst ein Testen in der Zielumgebung ebenso, wie einen schnellen Rollout auf alle verwundbaren Systeme.
Anders als bei Produkt-Patches ist dies jedoch keine Aufgabe, die sich über Wochen hinziehen kann, sondere ein Job der in zwei oder drei Arbeitstagen (oder schneller) erledigt sein sollte. Das dies angesichts der zunehmenden Anzahl von Produkten und Schwachstellen eine Herausforderung für jedes Security-Management ist, liegt dabei klar auf der Hand.
:quality(80)/images.vogel.de/vogelonline/bdb/1417900/1417975/original.jpg "Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiere Securityscans für Webanwendungen. (Imillian - stock.adobe.com)")
Tool-Tipp: OWASP Zed Attack Proxy (ZAP)
Sicherheit für Webanwendungen mit Zed Attack Proxy
:quality(80)/images.vogel.de/vogelonline/bdb/1256000/1256024/original.jpg "Welche Möglichkeiten und Tools Kali Linux für Sicherheitsüberprüfungen bietet, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (cendeced - stock.adobe.com)")
Tool-Tipp: Kali Linux
Mit Kali Pentests durchführen und Sicherheitslücken finden
Cloud Penetration Testing
Penetrationstests für Cloud-Dienste durchführen
(ID:45427529)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945987/original.jpg "AdaCore hat Version 22 von GNAT Pro Assurance vorgestellt. (AdaCore)")