Schluss mit Schwachstellen-Management per Spreadsheet

Durch den Umstieg von Nessus Pro auf Tenable.sc oder Tenable.io können Sie ganz einfach für ein ausgereifteres Schwachstellen-Management-Programm sorgen. Hier einige wichtige Tipps und Informationen.

Kommt an irgendeiner Stelle in Ihrem Schwachstellen-Management-Workflow ein Spreadsheet zum Einsatz? Falls ja, dann machen Sie etwas falsch. Naja, vielleicht nicht gerade falsch, aber es gibt definitiv eine effizientere Methode.

Während meiner beruflichen Laufbahn sind mir so manche riesige Schwachstellentabellen untergekommen und ich habe auch selbst welche erstellt – die entsprechenden Behebungsmaßnahmen arteten in eine regelrechte Sisyphos-Arbeit aus. Anhand solcher Listen nicht nur zu bestimmen, was behoben werden muss, sondern auch in welcher Reihenfolge, ist eine kaum zu bewältigende, geradezu entmutigende Aufgabe.

In diesem Artikel möchte ich Ihnen gerne aufzeigen, warum es kein Hexenwerk ist, auf ein modernes Schwachstellen-Management umzusteigen, und dass all die Zeit und Mühe, die Sie in Trainings und den Aufbau von Wissen und Erfahrung investiert haben, dabei trotzdem nicht umsonst gewesen sind.

Was sind die ersten Schritte? Da Sie diesen Artikel lesen, wissen Sie vermutlich bereits, wie Nessus Professional verwendet wird. Tenable bietet außerdem auch eine Software-as-a-Service-Lösung – Tenable.io – sowie eine On-Premises-Lösung – Tenable.sc (vormals SecurityCenter) – an. Jedes dieser Tools erweitert die Funktionen des Nessus-Schwachstellen-Scanners und trägt dazu bei, dass Sicherheitsteams jeder Größe effektiver arbeiten können. Im Militärjargon spricht man hierbei von einem Force Multiplier („Kraftmultiplikator“). 

Beschaffung der Daten

Wenn Sie auf eine dieser Plattformen aufrüsten, erhalten Sie damit – neben Dutzenden neuen Funktionen – eine Plattform, die Ihre Verwaltung von Nessus-Scannern vereinfachen wird, sowohl lokal als auch remote. Sie müssen keinen Laptop mehr mit sich herumschleppen oder versenden – platzieren Sie die Scanner stattdessen einfach so nahe an den Zielen wie möglich. Und nicht vergessen: Das Scannen durch Firewalls ist zu vermeiden, weil dadurch die Ergebnisse verfälscht werden können. Nessus-Scanner können in verschiedenen Subnetzen, an unterschiedlichen Standorten oder in VLANs bereitgestellt werden, je nachdem, was am sinnvollsten ist. Es ist lediglich ein einzelner offener Port erforderlich, um die Daten auf die Konsole zu übertragen. Sie können einen Nessus-Scanner sogar in Ihrer DMZ bereitstellen oder die in Tenable.io enthaltenen Tenable Cloud-Scanner nutzen. (Weitere Informationen dazu erhalten Sie bei Ihrem Security Engineer).

Durch die Aufrüstung auf Tenable.sc oder Tenable.io können Sie außerdem Nessus Agents und passive Scantechnologie einsetzen, den sogenannten Nessus Network Monitor (NNM).

Ein Nessus Agent ist eine verschlankte Version von Nessus, der das Asset, auf dem er installiert ist, intern scannt. Agents werden in der Regel auf Systemen eingesetzt, die nicht immer online sind, wie z. B. Laptops, sowie auch auf Systemen, für die Ihnen die Zugangsdaten für einen vollständigen Scan fehlen. Agents führen die Scans durch und leiten die Daten umgehend entweder an Tenable.sc oder Tenable.io weiter.

NNM wird über einen Ethernet-TAP- oder SPAN-Port an einem Switch mit Ihrem Netzwerk verbunden. Dadurch erhalten Sie die nötige Transparenz über alle Vorgänge, ohne ein einziges Paket einspeisen zu müssen. Dies ist von entscheidender Bedeutung bei empfindlichen Assets, die Scans nicht gut vertragen, wie etwa medizin- oder industrietechnische Geräte, deren Ausfall schwerwiegende Folgen haben kann, oder antike Mainframes, auf denen irgendeine uralte Anwendung ausgeführt wird (ja wirklich, ich spreche hier ich aus Erfahrung).

Was tun mit all den Daten

Wenn Sie meinen Vorschlägen oben gefolgt sind, haben Sie jetzt Tonnen von Daten und jede Menge Schwachstellen. Aber keine Panik! Tenable hat seine Predictive Prioritization-Funktionalität sowohl in Tenable.sc als auch Tenable.io eingeführt. Da rund 60 % der neuen Schwachstellen als mit hohem oder gar kritischem Schweregrad eingestuft werden, ist es nicht leicht zu entscheiden, wo Sie mit der Behebung anfangen sollten.

Mithilfe von Predictive Prioritization können Sie sich ganz auf die Schwachstellen konzentrieren, die für Ihr Unternehmen das größte Risiko darstellen. Predictive Prioritization nutzt Datenwissenschaft und maschinelles Lernen, um Schwachstellen zu ermitteln, deren Ausnutzung in naher Zukunft am wahrscheinlichsten ist. Dadurch können Sie sich ganz auf reelle statt auf theoretische Bedrohungen konzentrieren.

Mit Tenable.io und Tenable.sc müssen Sie Schwachstellen nicht länger in Spreadsheets verwalten. Sie können das Gesamtbild betrachten oder sich auf bestimmte Geschäftsbereiche konzentrieren. Und da in beiden Systemen rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) integriert ist, können Sie mühelos den Zugriff und die Berechtigungen steuern. (Ich habe es schon erlebt, dass Führungskräfte oder Auditoren nur Lesezugriff erhielten, damit sie sich lediglich den notwendigen Einblick verschaffen können, ohne Gefahr zu laufen, etwas kaputt zu machen.) Das ist eine weitere Möglichkeit, mithilfe von Tenable-Tools effizienter zu arbeiten.

Sicherheitstools von Drittanbietern wie z. B. Security Incident and Event Monitoring (SIEM), Privileged Access Management (PAM) und die ServiceNow-Suite können als weitere Kraftmultiplikatoren sowohl mit Tenable.sc als auch mit Tenable.io integriert werden, um dadurch die Effizienz zu steigern und Workflows zu automatisieren. 

Cybersecurity-Profis wissen, wie man Nessus verwendet, und das seit Jahrzehnten. Diese Expertise können Sie erweitern und zu Ihrem Vorteil nutzen. Machen Sie Schluss mit Spreadsheets und nutzen Sie Tenable.sc oder Tenable.io, damit Ihr Unternehmen von einem noch ausgereifteren Schwachstellen-Management-Programm profitiert. Predictive Prioritization, Drittanbieter-Integrationen und die anderen Facetten der Tools helfen Ihnen dabei, genau die Schwachstellen ins Visier zu nehmen, bei denen die Wahrscheinlichkeit am höchsten ist, dass sie sich auf Ihr Unternehmen auswirken.