Security-Insider Deep Dive

Schwachstellen-Management mit Nessus und Tenable.sc

| Autor: Peter Schmitz

Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!
Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker! (Bild: Vogel IT-Medien, Tenable)

Im Deep Dive von Security-Insider zeigt uns Jens Freitag, Security Engineer bei Tenable, gemeinsam mit Matthias Wessner von Security-Insider, wie das auf dem berühmten Nessus-Scanner basierende Tenable.sc (ehem. SecurityCenter) in der On-Premises-Variante funktioniert und mit welchen Best Practices Security-Admins ihre Netzwerke damit auf Schwachstellen prüfen und konkrete Gegenmaßnahmen einleiten können.

Tenable.sc ist ein mächtiges Toolset. Security-Verantwortliche können damit u.a Compliance-Reports anfertigen, kontinuierliches Asset-Monitoring und vor allem die Schwachstellen-Identifizierung in sämtlichen Zonen und OS-Umgebungen des Unternehmensnetzwerkes durchführen. Wir haben daher Jens Freitag von Tenable darum gebeten, uns Best-Practices aufzuzeigen, wie man mit Tenable.sc möglichst schnell und sicher an perfekte Scan- und Reportingergebnisse kommt. Der Deep Dive gibt einen sehr guten Überblick über die verschiedenen Einsatzbereiche und Tools des Tenable.sc und ist damit der der ideale Kickstart für die Beschäftigung damit. Er dauert dauert insgesamt 110 Minuten und besteht aus drei Kapiteln:

Teil I: Scan-Grundlagen

In ersten Kapitel gehen wir auf die Scangrundlagen von Tenable.sc ein. Darin wie man Scanner in Scanzonen platziert, in welchen Repositories die Scanergebnisse gespeichert werden, wie Repositories über die IP-Ranges definiert werden, wie Organisationen mit fest zugeordneten Scannergruppen und entsprechenden Repositories verwaltet werden, wie Nessus als “Wahrheitstool” die dynamische Identifikation durch Fingerprinting, Betriebssystem, Typ (Firewall, Webserver) etc. durchführt, welche Templates für Scans bereits vorgefertigt vorhanden sind und wie diese eingesetzt werden (z.B. Hypervisor, DBs, Clients, Internet Explorer Maschinen etc.) und schließlich wie durch rollenbasierte Administration und Mandantenfähigkeit die Sicht auf Ergebnisse und Zuteilung von Berechtigungen vereinfacht werden kann.

Teil II: Scan-Management und Policies

Im zweiten Teil geht darum, wie welche Methoden und Policies beim Asset-Scan anzuwenden sind. Wir finden mit der Host-Discovery Policy heraus, was überhaupt im Netzwerk existiert, was es mit dem ganz und gar nicht banalen “Basic Network Scan” auf sich hat, wie mit Authentications umgegangen wird und vorhandene Credentials für den Scan instrumentalisiert werden. Außerdem, warum hier ein Credential Patch Audit hilfreich ist, wie Advanced Scans (z.B. für den WannaCry) funktionieren und schließlich wie das ganze Thema Compliance und die verschiedenen Arten der Auditierung auch gehärteter Systeme angegangen werden. Wir erfahren zuerdem, was es mit dem Plugin 19506 auf sich hat – der Mutter aller Plugins (don´t touch it!).

Teil III: Scan-Dashboards und -Reports

Im dritten und letzten Teil des Deep Dives geht Jens Freitag darauf ein, wie man mittels verschiedener Dashboards ausbeutbare Schwachstellen identifiziert und wie der jeweilige Kontext zum Exploit ausgelesen wird. Im Zuge des Vulnerability-Managements kann hier entschieden werden, Schwachstellen zu fixen, zu akzeptieren oder etwa in einem “Remediation-Scan” zu überprüfen, ob sie noch existiert. Mit den “Remediation Reports” können ferner Zusammenfassungen der kritischen Schwachstellen für Assets und Repositories automatisch zusammengestellt werden. Die “Remediation Instruction Reports” geben auch gleich an, was konkret zu tun ist, oder spielen diese Aufgaben automatisch in das eigene Ticketsystem ein.

Fazit

Das Schwachstellen-Management wird in vielen Organisationen leider viel zu oft nur nachlässig betrieben. Ein großer Fehler, denn mit Werkzeugen wie dem Tenable.sc ist es leicht möglich, diese zu entdecken und zu beheben. Das auf Nessus basierende Toolset wartet mit einem breiten Ökosystem an Third-Party-Integrationen für alle nur denkbaren Aufgaben des Security-Managements auf. Kennt man die Best Practices aus dem Deep Dive mit Jens Freitag, kommt man schnell zu sehr guten Ergebnissen. Das Testen von Tenable.sc ist übrigens kostenlos und kann hier angefordert werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45690572 / Schwachstellen-Management)