Suchen

Security-Insider Deep Dive Schwachstellen-Management mit Nessus und Tenable.sc

| Autor: Peter Schmitz

Im Deep Dive von Security-Insider zeigt uns Jens Freitag, Security Engineer bei Tenable, gemeinsam mit Matthias Wessner von Security-Insider, wie das auf dem berühmten Nessus-Scanner basierende Tenable.sc (ehem. SecurityCenter) in der On-Premises-Variante funktioniert und mit welchen Best Practices Security-Admins ihre Netzwerke damit auf Schwachstellen prüfen und konkrete Gegenmaßnahmen einleiten können.

Firmen zum Thema

Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!
Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!
(Bild: Vogel IT-Medien, Tenable)

Tenable.sc ist ein mächtiges Toolset. Security-Verantwortliche können damit u.a Compliance-Reports anfertigen, kontinuierliches Asset-Monitoring und vor allem die Schwachstellen-Identifizierung in sämtlichen Zonen und OS-Umgebungen des Unternehmensnetzwerkes durchführen. Wir haben daher Jens Freitag von Tenable darum gebeten, uns Best-Practices aufzuzeigen, wie man mit Tenable.sc möglichst schnell und sicher an perfekte Scan- und Reportingergebnisse kommt. Der Deep Dive gibt einen sehr guten Überblick über die verschiedenen Einsatzbereiche und Tools des Tenable.sc und ist damit der der ideale Kickstart für die Beschäftigung damit. Er dauert dauert insgesamt 110 Minuten und besteht aus drei Kapiteln:

Teil I: Scan-Grundlagen

In ersten Kapitel gehen wir auf die Scangrundlagen von Tenable.sc ein. Darin wie man Scanner in Scanzonen platziert, in welchen Repositories die Scanergebnisse gespeichert werden, wie Repositories über die IP-Ranges definiert werden, wie Organisationen mit fest zugeordneten Scannergruppen und entsprechenden Repositories verwaltet werden, wie Nessus als “Wahrheitstool” die dynamische Identifikation durch Fingerprinting, Betriebssystem, Typ (Firewall, Webserver) etc. durchführt, welche Templates für Scans bereits vorgefertigt vorhanden sind und wie diese eingesetzt werden (z.B. Hypervisor, DBs, Clients, Internet Explorer Maschinen etc.) und schließlich wie durch rollenbasierte Administration und Mandantenfähigkeit die Sicht auf Ergebnisse und Zuteilung von Berechtigungen vereinfacht werden kann.

Teil II: Scan-Management und Policies

Im zweiten Teil geht darum, wie welche Methoden und Policies beim Asset-Scan anzuwenden sind. Wir finden mit der Host-Discovery Policy heraus, was überhaupt im Netzwerk existiert, was es mit dem ganz und gar nicht banalen “Basic Network Scan” auf sich hat, wie mit Authentications umgegangen wird und vorhandene Credentials für den Scan instrumentalisiert werden. Außerdem, warum hier ein Credential Patch Audit hilfreich ist, wie Advanced Scans (z.B. für den WannaCry) funktionieren und schließlich wie das ganze Thema Compliance und die verschiedenen Arten der Auditierung auch gehärteter Systeme angegangen werden. Wir erfahren zuerdem, was es mit dem Plugin 19506 auf sich hat – der Mutter aller Plugins (don´t touch it!).

Teil III: Scan-Dashboards und -Reports

Im dritten und letzten Teil des Deep Dives geht Jens Freitag darauf ein, wie man mittels verschiedener Dashboards ausbeutbare Schwachstellen identifiziert und wie der jeweilige Kontext zum Exploit ausgelesen wird. Im Zuge des Vulnerability-Managements kann hier entschieden werden, Schwachstellen zu fixen, zu akzeptieren oder etwa in einem “Remediation-Scan” zu überprüfen, ob sie noch existiert. Mit den “Remediation Reports” können ferner Zusammenfassungen der kritischen Schwachstellen für Assets und Repositories automatisch zusammengestellt werden. Die “Remediation Instruction Reports” geben auch gleich an, was konkret zu tun ist, oder spielen diese Aufgaben automatisch in das eigene Ticketsystem ein.

Fazit

Das Schwachstellen-Management wird in vielen Organisationen leider viel zu oft nur nachlässig betrieben. Ein großer Fehler, denn mit Werkzeugen wie dem Tenable.sc ist es leicht möglich, diese zu entdecken und zu beheben. Das auf Nessus basierende Toolset wartet mit einem breiten Ökosystem an Third-Party-Integrationen für alle nur denkbaren Aufgaben des Security-Managements auf. Kennt man die Best Practices aus dem Deep Dive mit Jens Freitag, kommt man schnell zu sehr guten Ergebnissen. Das Testen von Tenable.sc ist übrigens kostenlos und kann hier angefordert werden.

(ID:45690572)

Über den Autor

 Peter Schmitz

Peter Schmitz

Chefredakteur, Security-Insider