Passive Vulnerability Scanner von Tenable Network Security

Schwachstellen-Scan für geschäftskritische Systeme

| Autor / Redakteur: Ron Gula, Tenable Network Security / Stephan Augsten

Passive Schwachstellen-Scans helfen dabei, Verwundbarkeiten in geschäftskritischen Systemen zu erkennen.
Passive Schwachstellen-Scans helfen dabei, Verwundbarkeiten in geschäftskritischen Systemen zu erkennen. (Bild: psdesign1 - Fotolia.com)

Von geschäftskritischen Systemen lassen viele Administratoren lieber die Finger. Damit ist allerdings ein hohes Risiko verbunden, denn dadurch entstehen gefährliche Sicherheitslücken. Eine Methode, derart „unantastbare“ Systeme vor Sicherheitsgefahren zu schützen, ist das passive Schwachstellen-Scanning.

Praktisch jedes Unternehmen hat und nutzt sie: sogenannte „Untouchables“, also quasi „unantastbare“ Systeme, die als absolut erfolgskritisch für bestimmte Geschäftsbereiche und -aufgaben gelten. Nichtsdestotrotz sind diese IT-Systeme den gleichen Sicherheitsrisiken ausgesetzt wie jeder andere Rechner auch.

Untouchables können jedoch aus verschiedensten Gründen nicht mit traditionellen Ansätzen und Techniken abgesichert werden. Man denke hier beispielsweise an Schwachstellen-Scans, die Suche nach Konfigurationsproblemen, das Patchen, Aktualisierungen des Konfigurationsaufbaus oder gar den Einsatz von Security-Agenten wie host-basiertes Intrusion Prevention.

Vor allem die geschäftskritische Beschaffenheit der Applikationen und Services, die diese Systeme bereitstellen, lassen „normale“ Sicherheitsmaßnahmen wie aktives Scanning und Penetrationstests nicht zu. Allein schon durch die Sensitivität der dort hinterlegten Daten ist die Gefahr einer Systeminstabilität zu hoch.

Nicht antastbaren Systemen fallen in der Regel unter eine der folgenden Kategorien:

Kritisch und hoch-sensitiv: Für solche Systeme kann auch unter normalen Betriebsbedingungen keinerlei Unterbrechung toleriert werden, und sei sie noch so „klein“. Die Unterbrechung von Prozesskontrollsystemen, medizinischen Vorrichtungen oder Systemen, die z.B. für Langzeitforschungsprojekte eingesetzt werden, kann zu ernsten Katastrophen oder gar zu Todesfällen führen. Entsprechend sind Schutzmaßnahmen, die auf irgendeine Weise in die Funktionalität solcher Systeme eingreifen oder potentiell zu Betriebsunterbrechungen führen könnten, nicht anwendbar - es sei denn, unter strengstens kontrollierten Bedingungen.

Ergänzendes zum Thema
 
Funktionen des Passive Vulnerability Scanner (PVS) im Überblick

Legacy / nicht unterstützt: Praktisch jede Organisation hat Systeme aus „alten Zeiten“ im Einsatz, die zwar lange aus der Mode gekommen, aber für bestimmte Prozesse noch immer sehr bedeutend sind. Nicht selten sind sie „hausgemacht“, für ein nicht unterstütztes Betriebssystem programmiert oder abhängig von einer prähistorischen Datenbank.

Solche Altsysteme bergen eine Vielzahl facettenreicher Sicherheitsrisiken, sind aber mit ihren spezifischen Funktionen und Services für die Unternehmen unverzichtbar. Security-Patches sind für die meisten Legacy-Lösungen jedoch nicht mehr verfügbar und selbst, wenn sie es wären – es gibt kaum noch eine IT-Fachkraft die weiß, wie diese Systeme tatsächlich funktionieren und was im Problemfall zu tun ist.

Außerhalb der Unternehmenskontrolle: Zwar betreiben die meisten Organisationen ihr eigenes Netzwerk, doch zunehmend gehören die Systeme und Devices darin nicht dem Unternehmen selbst. Häufig sind sie in Besitz und unter Wartung von Drittanbietern, etwa Vertragspartnern oder Service Providern. Damit liegen die betreffenden Systeme und Geräte außerhalb der Kontrolle des Unternehmens – die Organisation hängt davon ab, welche Bedeutung der Drittanbieter der Systemsicherheit und Wartung beimisst.

Netzwerk-Geräte: Router, Switches und Firewalls wurden ursprünglich im Hinblick auf Hochverfügbarkeit und Systemredundanz entwickelt. Doch längst sind diese Geräte und sogar einige Load Balancer von essentieller Bedeutung für den Betrieb sämtlicher, im Unternehmen eingesetzter Applikationen und Systeme. Der kontinuierliche, reibungslose Betrieb dieser Geräte darf also nicht gefährdet werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42428060 / Schwachstellen-Management)