Vulnerability Management
Vulnerability Management (auch Schwachstellenmanagement[1] oder Schwachstellen-Management[2]) bezeichnet den Prozess der Erkennung, Bewertung, Meldung und Behandlung von Sicherheitslücken in Computersystemen.[1][3] Als Unterdomäne des IT-Risikomanagements ist es fundamental für Informations- sowie Netzwerksicherheit und sollte nicht mit Schwachstellenanalyse verwechselt werden.[4] Schwachstellen können mithilfe von Vulnerability Scannern aufgedeckt werden.[5]
Bekanntwerden von Schwachstellen
[Bearbeiten | Quelltext bearbeiten]Zu möglichen Schwachstellen, die mithilfe eines Vulnerability Scanners gefunden werden können, zählen u. a. offene Ports, unsichere Softwarekonfigurationen und die Anfälligkeit für Malware. Schwachstellen können außerdem durch öffentliche Quellen (wie bspw. die National Vulnerabilty Database[6][7] oder den Warn- und Informationsdienst[8] des CERT Bund), Sicherheitsupdates eines Softwareherstellers oder durch kommerzielle Warndienste bekannt werden. Auf seiner Webseite beschreibt beispielsweise das Bundesamt für Sicherheit in der Informationstechnik die Verwendung der Open Source Software-Suite OpenVAS.[9]
Noch unbekannte (0Day-Exploit) oder unveröffentlichte Sicherheitslücken lassen sich bspw. mithilfe von Fuzzing finden. Hierbei werden zufällige Daten an eine Eingabeschnittstelle übermittelt, um so gegebenenfalls Systemabstürze zu provozieren, die wiederum eine Sicherheitslücke offenbaren.
Vulnerability Management bei Projekten
[Bearbeiten | Quelltext bearbeiten]Bei (Software-)projekten umfasst das Vulnerability Management die Untersuchung von möglichen Anfälligkeiten des Projekts für negative Ereignisse (wie bspw. der Ausnutzung einer vorhandenen Schwachstelle), die Analyse ihrer Auswirkungen sowie die Fähigkeit des Projekts, mit negativen Ereignissen umzugehen. Ein Modell des systematischen Vulnerability Managements für Projekte geht von der Notwendigkeit aus, das vollständige Projekt zu analysieren. Empfohlen wird hierbei ein Vorgehen in vier Schritten:[10]
- Identifikation von Schwachstellen
- Analyse der gefundenen Schwachstellen
- Planung des Umgang mit gefundenen Schwachstellen
- Behebung der Schwachstellen, einschließlich Implementierung von Fixes, Überwachung, Erfolgskontrolle und Lessons Learned
Der Umgang eines Systems mit negativen Ereignissen sollte nach diesem System auf der Fähigkeit bestehen, aktuellen Schäden zu widerstehen (statischer Aspekt) und sich von diesen rechtzeitig wieder zu erholen (dynamischer Aspekt). Hierbei soll Redundanz dabei helfen, die Ausfallsicherheit zu erhöhen, Antifragilität soll einem System außerdem die Möglichkeit geben, durch das Erholen von einem negativen Ereignis sich selbst zu verbessern.[10]
Literatur
[Bearbeiten | Quelltext bearbeiten]- Hans-Peter Königs: IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken. 5. Auflage. Springer, Wiesbaden, 2017, ISBN 978-3-658-12003-0.
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b Was ist Vulnerability Management? In: Rapid7. Abgerufen am 19. Dezember 2023.
- ↑ Was ist Schwachstellen-Management? In: Tenable. Abgerufen am 19. Dezember 2023.
- ↑ Park Foreman: Vulnerability Management. CRC Press, 2010, ISBN 978-1-4398-0151-2 (englisch).
- ↑ Michał Walkowski, Jacek Oko, Sławomir Sujecki: Vulnerability Management Models Using a Common Vulnerability Scoring System. In: Applied Sciences. Band 11, Nr. 18, Januar 2021, ISSN 2076-3417, S. 8735, doi:10.3390/app11188735 (mdpi.com [abgerufen am 14. Dezember 2023]).
- ↑ Glossar. In: Web Application Security Consortium. Abgerufen am 14. Dezember 2023 (englisch).
- ↑ Search the National Vulnerability Database. In: National Vulnerabilty Database. Abgerufen am 19. Dezember 2023 (englisch).
- ↑ CVE Security Vulnerability Databse. In: CVE Details. MITRE ATT&CK (Webseite) & National Vulnerability Database (API), abgerufen am 14. Dezember 2023 (englisch).
- ↑ Warn- und Informationsdienst. Abgerufen am 14. Dezember 2023.
- ↑ Schwachstellenmanagement mit OpenVAS und der Greenbone Community Edition (GCE). In: Bundesamt für Sicherheit in der Informationstechnik. Abgerufen am 14. Dezember 2023.
- ↑ a b Franck Marle, Ludovic-Alexandre Vidal: Managing Complex, High Risk Projects: A Guide to Basic and Advanced Project Management. In: SpringerLink. 1. Auflage. Springer, London 2016, ISBN 978-1-4471-6785-3.