Vulnerability- und Patch Management mit Secunia CSI 6.0

Im Rahmen einer immer komplexer werdenden Vernetzung gewinnt das Thema IT-Security mehr und mehr an Bedeutung und erfordert auch in vielen kleineren und mittleren Unternehmen eine stetig wachsende Aufmerksamkeit.

Als Grundlage für ein Sicherheitskonzept sollten zunächst die Maßnahmen der 80-20 Rule of Information Security befolgt werden. Die Regel besagt, dass sich 80% aller Sicherheitsrisiken effektiv minimieren lassen, in dem 20% der verfügbaren Sicherheitsmaßnahmen durchgesetzt werden. Dazu gehören im Wesentlichen:

  • Das regelmäßige Patchen eingesetzter Betriebssysteme und Anwendungen
  • Die Verwendung ausschließlich sicherer Kennwörter
  • Das Abschalten oder Absichern nicht benötigter Dienste mit einer Firewall

Alleine das konsequente Einhalten dieser drei Maßnahmen hilft, die Hürde für einen Angreifer deutlich zu erhöhen und die Wahrscheinlichkeit eines erfolgreichen Angriffs stark zu reduzieren.

Dem Patchen von bekannten Sicherheitslücken kommt dabei besondere Bedeutung zu – denn lässt sich eine Schwachstelle erst mal ausnutzen, schützen in der Regel auch keine Firewall oder sicheren Kennwörter mehr. Trotzdem wird das Thema in vielen Fällen nicht ernst genommen und entsprechende Updates viel zu spät oder gar nicht installiert.

Bei der Aktualisierung von Betriebssystemen und Anwendungen setzen viele Unternehmen ausschließlich auf die Windows Server Updates Services (WSUS). Mittels WSUS werden in der Regel einmal pro Monat Updates verteilt und bekannte Schwachstellen in Anwendungen und Betriebssystemen von Microsoft geschlossen. Updates für Anwendungen von Drittanbietern wie z.B. Java Runtime oder Adobe Reader werden dagegen von WSUS standardmäßig nicht unterstützt und dementsprechend oft überhaupt nicht verteilt.

Das fehlende Patch Management von Drittanbietersoftware stellt dabei ein nicht zu unterschätzendes Risiko dar, denn mittlerweile geht die größte Gefahr nicht mehr von Schwachstellen in Betriebssystemen und Microsoft-Anwendungen aus, sondern von Sicherheitslücken in 3rd party Software. Für das Jahr 2012 stellt der Secunia Vulnerability Review 2013 folgendes fest:

  • 86% aller bekannten Sicherheitslücken betreffen 3rd party Programme, was den Anteil von 8,5% in Microsoft-Anwendungen und 5,5% in Betriebssystemen bei Weitem übertrifft.
  • csi-11

  • Über einen Zeitraum von fünf Jahren hat sich der Anteil von Sicherheitslücken in 3rd Party Anwendungen von 57% in 2007 auf 86% in 2012 erhöht. Alleine von 2011 zu 2012 ist der Anteil von 78% auf 86% gewachsen.
  • Die Gesamtanzahl aller Schwachstellen in den 50 am weitesten verbreiteten Programmen liegt mit 1.137 im Jahr 2012 doppelt so hoch wie noch vor fünf Jahren. Dabei wurden 78,8% der Sicherheitslücken als „hochkritisch“ und 5,3% als „extrem kritisch“ eingestuft.
  • Für 84% der Sicherheitslücken wurden bereits am Tag ihrer Veröffentlichung Patches vom Hersteller bereitgestellt. Die Möglichkeit zum Schließen der Sicherheitslücken liegt damit in den Händen der Unternehmen und Endanwender.

Prominente Beispiele für kritische Sicherheitslücken waren in letzter Zeit vor allem die Anwendungen Adobe Reader und Java Runtime. Eine besonders schwerwiegende Schwachstelle in Java hatte es im Januar 2013 bis in die Massenmedien geschafft und das BSI dazu bewogen, zur Deinstallation von Java zu raten. Mittels eines Exploits war es möglich, Code in ein Windows-System einzuschleusen und dadurch vollständigen Zugriff auf das System zu erhalten.

Erst letzte Woche gab das BSI eine neue Pressemitteilung heraus und wies auf die breitflächige Verteilung von Schadprogrammen über Werbebanner hin. Aktuell werden auf vielen bekannten Webseiten manipulierte Werbebanner ausgeliefert, die schädlichen Code enthalten. Auch hier werden bekannte Schwachstellen unter anderem in Java, Adobe Reader, Adobe Flash und im Internet Explorer ausgenutzt. Das Pikante: Die Infektion des Rechners erfolgt allein durch den Besuch einer Webseite, auf der ein entsprechend manipulierter Werbebanner eingeblendet wird.

Weiterhin weist das BSI darauf hin, dass für alle ausgenutzten Schwachstellen bereits seit längerem Sicherheitsupdates verfügbar sind. Trotzdem ist die Verbreitung der Schadprogramme erfolgreich, weil viele Anwender und natürlich auch Unternehmen diese Sicherheitsupdates schlicht nicht installieren. Auch das BSI rät deshalb dringend, den Versionsstand eingesetzter Betriebssysteme und Anwendungen regelmäßig zu überprüfen und von den Herstellern bereitgestellte Sicherheitsupdates zeitnah zu installieren.

Das renommierte und auf Informationstechnologie spezialisierte Marktforschungsunternehmen Gartner geht davon aus, dass im Jahr 2015 80% aller erfolgreichen Angriffe auf bekannte Sicherheitslücken in Anwendungen zurückzuführen sein werden. Unsichere Anwendungen werden dabei als „Gateways“ zu den Daten bezeichnet, die das eigentliche Ziel des Angreifers sind.

Die Prognose ist insofern besonders erschreckend, als bereits 2012 für 84% aller Sicherheitslücken am Tag ihrer Veröffentlichung Patches verfügbar waren. Analog zur allgemeingültigen 80-20 Rule of Information Security nennt deshalb auch Gartner in seinen Best Practices for Securing Midmarket IT Environments das Patchen von Anwendungen als kritischen Bestandteil des Sicherheitskonzepts.

Als Privatperson kann man sich relativ einfach schützen, indem man seine Anwendungen durch die dazugehörigen Updater regelmäßig aktualisieren lässt. Alternativ bietet sich der Einsatz des Personal Software Inspectors von Secunia an, der alle installierten Programme auf Sicherheitslücken prüft und für einen Teil der Anwendungen Updates bereitstellt.

Für Rechner in einem Unternehmen gestaltet sich die Situation schon schwieriger. Oft fehlen den Anwendern die Rechte zum Herunterladen oder Installieren der Updates. Außerdem möchte man vermeiden, dass jeder Client die Updates einzeln aus dem Internet herunterlädt und so kostbare Bandbreite verschwendet. Darüber hinaus ist es schwierig, ab einer gewissen Anzahl von Clients überhaupt noch einen Überblick über die eingesetzten Versionen und darin befindliche Sicherheitslücken zu behalten.

Mit dem WSUS Server gibt es zwar eine Lösung für Betriebssysteme und Anwendungen von Microsoft, Produkte von Drittanbietern können damit standardmäßig aber nicht überprüft und aktualisiert werden. Hier bietet sich deshalb der Einsatz der professionellen Variante des Personal Software Inspectors an: Dem Corporate Software Inspector – eine der führenden Lösungen beim Thema Vulnerability- und Patch Management.

Interessant ist, dass Secunia über ein eigenes Entwicklungsteam verfügt, das Anwendungen einer Vielzahl von Herstellern analysiert. Derzeit enthält der CSI Informationen über Anwendungen von mehr als 3000 Herstellern und ist damit in der Lage, Sicherheitslücken in nahezu jeglicher eingesetzter Software aufzuspüren. Das ist kein Vergleich zu den 20-30 unterstützten Anwendungen vergleichbarer Lösungen wie z.B. dem Patch Manager von SolarWinds oder LANGuard von GFI.

Ein weiterer großer Vorteil ist die Integration in WSUS oder SCCM. Für unsichere Programme lassen sich Pakete bereitstellen, die über den WSUS Server verteilt werden können. Patches für 3rd party Software können somit analog zu den Updates für Microsoft-Anwendungen beim Herunterfahren und ohne Eingriff des Anwenders installiert werden. Damit ist sichergestellt, dass die betreffende Software vor dem Update nicht in Verwendung ist und die Wahrscheinlichkeit von Konflikten während der Installation so gut wie ausgeschlossen.

Der Ablauf von der Identifikation vorhandener Schwachstellen bis zum Verteilen eines Updates besteht aus mehreren Schritten. Zunächst wird der Client entweder remote oder mittels eines auf dem Rechner installierten Agenten gescannt. Der CSI gleicht das Scanergebnis mit einer Signaturdatenbank ab und findet so heraus, welche auf dem Computer eingesetzte Software unsicher ist:

csi-1

Wie auf obigem Screenshot zu sehen ist, befinden sich auf dem gescannten Rechner insgesamt acht Programme, die als unsicher eingestuft werden und zwei, die bereits abgekündigt sind. Eine Detailansicht verrät, um welche Programme es sich dabei handelt und informiert gleichzeitig über die Art und Priorität der Sicherheitslücken:

csi-2

Unter anderem betroffen ist die installierte Java Runtime 7.0.13. Ein Blick in den zugeordneten Security Association Identifier (SAID) zeigt eine detaillierte Beschreibung der Sicherheitslücke:

csi-3

Durch die Beschreibung wird deutlich, dass die Sicherheitslücke in Java als „extrem kritisch“ eingestuft wird und ein Angreifer von außerhalb des internen Netzes vollständigen Zugriff auf das System erlangen kann. Außerdem ist ersichtlich, dass bereits eine Lösung in Form eines Patches existiert. Die Sicherheitslücke sollte deshalb so schnell wie möglich geschlossen werden.

Als nächstes wird in der Konsole des CSI der erforderliche Patch vorbereitet. Da für die in Java Runtime erkannte Sicherheitslücke bereits ein fertiger Patch existiert, sind hiefür nur wenige Schritte erforderlich. Zuerst wird der Assistent für die Erstellung des Patchpakets gestartet:

csi-4

Der Assistent zur Erstellung des Patches startet. Die Einstellungen sind bereits vordefiniert und müssen im Normalfall nicht angepasst werden:

csi-5

Bei Bedarf kann eingeschränkt werden, welchen Systemen das Update zur Verfügung gestellt werden soll. Wird die Architektur z.B. auf 32-Bit beschränkt, wird das Update nur Endgeräten mit einem 32-Bit-Betriebssystem angeboten:

csi-6

Nach dem Klicken auf „Publish“ wird das Paket erstellt und anschließend zur Verteilung an den WSUS Server übermittelt. Analog zur Verteilung von Microsoft Updates via WSUS erfolgt die Freigabe des Patches über sogen. Approval Rules. Dabei wird das Update manuell freigegeben und nur auf den Rechnern installiert, auf denen es auch tatsächlich benötigt wird. Um den Patch freizugeben, wird er in der CSI Konsole ausgewählt und mittels „Approve“ genehmigt:

csi-7

Bei Bedarf kann die Freigabe auf bestimmte Gruppen eingegrenzt werden, so dass die Installation vor einem größeren Rollout mit einer kleinen Gruppe von Computern getestet werden kann. Erscheint z.B. ein wichtiges Update für Java Runtime, werden einige Computer, auf denen das Update benötigt wird, zunächst in einer Testgruppe zusammengefasst und die Installation dort getestet:

csi-8

Computer der Gruppe, die das Update benötigen, laden es nach der Freigabe herunter und bieten es zur Installation an:

csi-9

Analog zu den Microsoft Updates wird die Installation des Patches beim Herunterfahren des Rechners und ohne Eingriff des Benutzers durchgeführt. Alternativ kann die Installation via Gruppenrichtlinien auch zu einer bestimmten Zeit erzwungen werden.

Unter dem Strich macht die Lösung einen wirklich guten Eindruck. Zum einen lässt sich sämtliche eigesetzte 3rd Party Software auf Sicherheitslücken überprüfen, zum anderen können die Anwendungen mittels vorhandener Workflows (WSUS, SCCM) aktualisiert werden. Wer noch auf der Suche nach einer entsprechenden Lösung ist und WSUS bereits einsetzt, sollte sich den Corporate Software Inspector in jedem Fall ansehen – auch wenn er mit 12.000 EUR pro Jahr (1000 Clients) nicht unbedingt die günstigste Option ist.

Wobei das größere Problem wohl eher beim Personalaufwand liegen dürfte, denn abhängig von der Anzahl eingesetzter Anwendungen und Clients kann das Testen und Verteilen der Patches in einem erheblichen Aufwand resultieren. Was angesichts der Bedeutung für das Sicherheitskonzept aber in jedem Fall in Kauf genommen werden sollte.

P6000/EVA und Insight Remote Support 7.0.5: Service Events werden nicht angezeigt

Vor kurzem musste ich eine EVA 4400 und 6400 auf XCS 11001100 aktualisieren und in diesem Zusammenhang auch Insight Remote Support auf Version 7.0.5 updaten. Kommt es auf der EVA zu einem Fehler, wird die entsprechende Meldung als sogen. Service Event von Insight Remote Support empfangen und automatisch ein Case bei HP geöffnet. Eine praktische Sache.

Bevor das funktioniert, muss die EVA zunächst in Insight Remote Support hinterlegt werden. Die dafür erforderliche Konfiguration ist in der HP Insight Remote Support 7.0.5 Monitored Devices Configuration Guide beschrieben. Nach dem Hinzufügen sollte die EVA wie folgt angezeigt werden:

evas

Um zu testen, ob die Berichterstattung an Insight Remote Support funktioniert, kann via Command View ein sogen. “Remote Service Test” durchgeführt werden. Der Test erstellt ein Service Event und leitet es via ELMC an Insight Remote Support weiter.

Genau dieser Test wollte bei mir nicht funktionieren, obwohl augenscheinlich alle Voraussetzungen erfüllt waren: Der ELMC 6.4 war genauso installiert wie die SMI-S EVA and SMI-S CIMOM Komponenten bzw. der Dienst “HP StorageWorks CIM Object Manager”.

Das Problem in diesem Fall war, dass der Command View Server selbst keine Garantie mehr hatte und damit als “ineligible for remote Support” galt. Versteckt ist der Vermerk auf Seite 119 der Monitored Devices Configuration Guide:

    Note: It is possible to monitor EVA devices that are attached to a P6000 Command View server that is ineligible for remote support by manually editing the C:/ProgramData/HP/RS/CONFIG/WEBES/DESTA.REG file. If this file is not edited, Insight RS will not monitor the ineligible server and will therefore not be able to monitor the supported EVA devices attached to the server.

    Open the DESTA.REG file in a text editor and add EvtMonitor.StartWatcher.hostname=t for each ineligible server where hostname is the name seen in the Devices list of the Insight RS Console.

Nach dem Ändern der Datei und einem Neustart des Command View Servers funktionierte das Weiterleiten der Service Events einwandfrei.



Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.