Outpost24 webinar . Vulnerability Management Do's and Don'ts
Als PPTX, PDF herunterladen1 gefällt mir184 aufrufe
Das Dokument behandelt das Schwachstellenmanagement, seine Bedeutung für die Informationssicherheit und die damit verbundenen Herausforderungen sowie bewährte Strategien. Es werden Do's und Don'ts dargestellt, um effektiv mit Schwachstellen umzugehen, insbesondere in modernen, fragmentierten IT-Umgebungen. Abschließend wird betont, dass eine solide Governance und regelmäßige Überprüfungen entscheidend sind, um Schwachstellen ernst zu nehmen und zeitnah zu patchen.
Outpost24 webinar . Vulnerability Management Do's and Don'ts
- 1. Dr. Thomas Punz CEO and Founder SECURNITE GmbH tpunz@securnite.com +41 (0) 56 511 79 89 Vulnerability Management Do’s and Don’ts
- 2. • Kontext (5’) • Lernziele (5’) • Do’s (3’) 2 • Don’ts (3’) • Stolpersteine (3’) • Fazit (6’) Agenda
- 3. Kontext 3
- 4. Die drei Schutzziele der Informationssicherheit • Vertraulichkeit (Confidentiality) • Daten sind nur berechtigten Personen zugänglich. • Integrität (Integrity) • Daten sind nur durch berechtigte Personen veränderbar. Die Veränderungen sind nachvollziehbar, erkennbar und Dokumentiert. • Verfügbarkeit (Availability) • Daten sind berechtigten Personen jederzeit zugänglich. 4
- 5. Kontext 5 • Bei ca. 57% Prozent der Unternehmen, bei denen ein Datenverlust aufgetreten ist, war eine nicht gepatchte Schwachstellen als Ursache. → Schwachstellenmanagement (Vulnerability Management) reduziert das Risikoprofil eines Unternehmens erheblich. Keine Kette ist stärker als ihr schwächstes Glied!
- 6. Die Herausforderungen • Es gibt viele Lösungen am Markt welche sich mit Schwachstellen beschäftigen. • Es gibt Lösungen zum einfachen Vulnerability Scanning und es gibt Lösungen zum Vulnerability Management. • Vulnerability Scanning Lösungen sind in der Regel günstig in der Anschaffung • Vulnerability Management Lösungen sind in der Regel teurer in der Anschaffung 6
- 7. Die Herausforderungen • Die heutige fragmentierte bzw. verteilte Wertschöpfungskette stellt uns vor neue Herausforderungen. • Moderne Entwicklungsparadigmen bieten neue Chancen und Möglichkeiten • Hacker werden immer schneller im Ausnutzen von Sicherheitslücken • WannaCry ca. 6 Wochen zwischen Publizierung des Patches und ersten schweren Angriffen 7
- 8. Lernziele 8
- 9. Lernziele • Praxiserfahrungen bei der Implementierung und dem Betrieb von Vulnerability Management, sowie aktuelle Herausforderungen • Welche Strategien haben sich in der Praxis bewährt? • Welche Ansätze haben sich in der Praxis nicht bewährt? • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Außerdem im Fokus neue Anforderungen durch Multi-Cloud Umgebungen, sowie fragmentierte und komplexe Lieferketten. Beispielsweise durch die Nutzung der Vorteile von: • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) 9
- 10. Do’s 10
- 11. Do’s • Welche Strategien haben sich in der Praxis bewährt? • Fangen Sie in kleinen Schritten an. Ertränken Sie Ihren Betrieb nicht in einer Flut von Schwachstellen. • Gefunden Schwachstellen müssen nach Kritikalität für das eigene Unternehmen eingeschätzt und priorisiert werden. • Vergessen Sie nicht den psychologischen Aspekt. Ermöglichen Sie ein Licht am Ende des Tunnels. • Schwachstellen müssen gemanagt, rapportiert und gegebenenfalls eskaliert werden. (Metriken und KPIs). • Besprechen Sie Unstimmigkeiten mit der CMDB. 11
- 12. Do’s • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Heutige as a Service Lösungen (XaaS) haben bestimmt Auflagen was das Scanning angeht. • https://aws.amazon.com/security/penetration-testing/ • SaaS Anbieter erlauben in der Regel keine Scans. • Einiger XaaS Anbieter lassen sich die Erlaubnis für Scans bezahlen. • Informieren Sie sich vorher über die Möglichkeiten • Wählen Sie Ihre Provider mit Bedacht aus 12
- 13. Do’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Integrieren Sie Schwachstellen Scans frühzeitig in Ihren Entwicklungsprozess • z.B. Erkennung von Bibliotheken und anderer Abhängigkeiten mit bekannten Schwachstellen • Etablierung von Quality Gates (auch Code Quality) 13
- 14. Don’ts 14
- 15. Don’ts • Welche Ansätze haben sich in der Praxis nicht bewährt? • Nutzen Sie nicht ausschließlich die Standard Kritikalität von Schwachstellen (z.B. CVSS) • Gehen Sie nicht davon aus das erteilte Bereinigungsaufträge nachhaltig durchgeführt werden. • Scannen Sie niemals fremde Systeme für die Sie keine schriftliche Erlaubnis haben. • Rapportieren Sie nicht die Zeit zwischen dem Auffinden der Schwachstelle und dem aktuellen Datum sondern dem öffentlichen bekannt werden. • Vergeuden Sie keine Zeit mit dem Suchen von unbekannten oder Herrenlosen Systemen, sondern delegieren Sie. • Scannen Sie nicht zu Change Freeze Zeiten. 15
- 16. Don’ts • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Fragmentieren Sie Ihre Lieferkette nicht so stark, dass sie nicht mehr zu Testen ist • Verlassen Sie sich nicht auf Firmenfremde Code bzw. Container Quellen • Unterschätzen Sie nicht die Datenmenge, welche bei Scans übertragen wird • Unterschätzen Sie nicht die Belastung der Systeme • Container sind funktionieren nicht wie klassische Systeme (z.B. authenticated Scans sind nicht ohne weiteres möglich) 16
- 17. Dont’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Nutzen Sie nicht dutzende Solutions zum Scanning • Geben Sie agilen Entwicklern keinen Freibrief 17
- 18. Stolpersteine 18
- 19. Stolpersteine • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Sind die Firewalls richtig konfiguriert? • Scans können Produktivsysteme zum Absturz bringen. • Was passiert mit Systemen für die Sie keinen Owner finden? • Delegieren Sie die Suchen der Systeme und der Owner. • Was passiert mit Systemen die nicht durch die IT gemangt werden? • Frankiermaschienen • 3rd Party gemanagte Systeme 19
- 20. Fazit 20
- 21. Fazit • Definieren Sie eine solide Governance • Holen Sie Ihr Management ab • Informieren Sie den Betrieb • Prüfen Sie regelmäßig (mindestens 1x im Monat) • Priorisieren Sie Ihre Findings • Nehmen Sie Schwachstellen Ernst • Patchen Sie zeitnah 21