Flexera Software Vulnerability Manager – Cloud Edition
Achillesferse gut geschützt
Veröffentlicht in Ausgabe 02/2024 - TESTS
Die Lage ist angespannt bis kritisch, die rasante Weiterentwicklung von Angriffsmethoden und entsprechenden Geschäftsmodellen damit besorgniserregend. Zu dieser für IT-Verantwortliche und letztlich für alle Anwender wenig erfreulichen Erkenntnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem bereits zum Anfang des letzten Novembers erschienenen Berichts über die Lage der IT-Sicherheit in Deutschland 2023.
So hat das BSI im Berichtszeitraum von Mitte 2022 bis 2023 im Durchschnitt pro Tag 68 neue Schwachstellen in Softwareprodukten aller Art registriert, absolut insgesamt knapp 27.000 neue Einfallstore und in Relation rund 24 Prozent mehr als im vorherigen Betrachtungszeitraum. Aktiv ausgenutzt durch Exploits wird aus einer Schwachstelle eine reale Bedrohung, mit der oftmals das Drama seinen Lauf nimmt, wenn Cyberkriminelle diese zur Erstinfektion ausnutzen, um weitere Angriffe, etwa in Form von Ransomware, darauf aufzubauen.
Orientierungshilfe CVSS
Entsprechend misst das BSI neben sicherem Identity- und Access-Management, Backups und Notfallplänen einem strukturierten Patchmanagement größte Bedeutung bei. Doch wie reagieren? Angesichts der gewaltigen Zahl an Schwachstellen mutet es als aussichtsloses Unterfangen an, alle in einer IT-Infrastruktur vorhandenen Lücken schließen zu wollen. Hier gilt es für Admins folglich, die vorhandenen Lecks zu identifizieren, zu priorisieren und jene zu adressieren, von denen die größte Gefahr ausgeht.
Die Lage ist angespannt bis kritisch, die rasante Weiterentwicklung von Angriffsmethoden und entsprechenden Geschäftsmodellen damit besorgniserregend. Zu dieser für IT-Verantwortliche und letztlich für alle Anwender wenig erfreulichen Erkenntnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem bereits zum Anfang des letzten Novembers erschienenen Berichts über die Lage der IT-Sicherheit in Deutschland 2023.
So hat das BSI im Berichtszeitraum von Mitte 2022 bis 2023 im Durchschnitt pro Tag 68 neue Schwachstellen in Softwareprodukten aller Art registriert, absolut insgesamt knapp 27.000 neue Einfallstore und in Relation rund 24 Prozent mehr als im vorherigen Betrachtungszeitraum. Aktiv ausgenutzt durch Exploits wird aus einer Schwachstelle eine reale Bedrohung, mit der oftmals das Drama seinen Lauf nimmt, wenn Cyberkriminelle diese zur Erstinfektion ausnutzen, um weitere Angriffe, etwa in Form von Ransomware, darauf aufzubauen.
Orientierungshilfe CVSS
Entsprechend misst das BSI neben sicherem Identity- und Access-Management, Backups und Notfallplänen einem strukturierten Patchmanagement größte Bedeutung bei. Doch wie reagieren? Angesichts der gewaltigen Zahl an Schwachstellen mutet es als aussichtsloses Unterfangen an, alle in einer IT-Infrastruktur vorhandenen Lücken schließen zu wollen. Hier gilt es für Admins folglich, die vorhandenen Lecks zu identifizieren, zu priorisieren und jene zu adressieren, von denen die größte Gefahr ausgeht.
Unterstützung bietet das etablierte Common Vulnerability Scoring System (CVSS). Hinter CVSS steht das Forum of Incident Response and Security Teams (FIRST), ein herstellerübergreifender Verbund international tätiger Sicherheits-Teams. FIRST hatte Anfang November des vergangenen Jahres Version 4 der Systematik vorgestellt, bis zum Redaktionsschluss waren aber noch keine Schwachstellen danach klassifiziert und Einstufungen nach CVSS 2 und vor allem 3 vorherrschend.
Vordergründig zeigt der CVSS-Score die Kritikalität von Verwundbarkeiten auf einer zehnteiligen Skala an. Dieser eher theoretische Wert bietet eine grobe Einschätzung, während ein komplexer Vektor dahinter weitere Metriken wie Attack Vector, Attack Complexity oder Privileges Required einbezieht. Sicherheitsexperten können sich so detailliert über die Beschaffenheit einer Schwachstelle informieren, wenn denn Zeit dafür übrig ist. Wer knapp an Zeit und Personal ist, nimmt den CVSS-Score als erste Orientierung – je höher der Wert, desto größer die Wahrscheinlichkeit, dass Handlungsbedarf besteht.
Immerhin 53 Prozent der vom BSI neu verzeichneten Schwachstellen wiesen mit Werten von 5 bis 9 einen hohen, 15 Prozent mit Werten von 9 bis 10 gar einen kritischen CVSS-Score auf. Bezogen auf die absolute Zahl ist dies immer noch eine unüberschaubare Menge, die Admins manuell kaum in den Griff bekommen werden. Hier kommt der Flexera Software Vulnerability Manager (SVM) zur Hilfe.
| Produkt | Clouddienst und Software für das Schwachstellen- und Patchmanagement. |
|---|---|
| Hersteller |
Flexera Software
|
| Preis | Komplettpaket aus SVM mit Threat Intelligence Module und Vendor Patch Module für bis zu 500 Endpunkte ab 12.500 EUR pro Jahr bei einer dreijährigen Laufzeit der Subskription. Staffelpreise für größere Umgebungen auf Anfrage. |
| Systemanforderungen |
SVM-Agent:
Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019; Microsoft Windows 7 SP 1, 8.1, 10, 11; Apple macOS 10.8 (Mountain Lion) bis 13.0 (Ventura), für Apple-Silicon-Prozessoren auf ARM-Basis mit dem Rosetta-Framework zur Emulation von x64-Anwendungen; Red Hat Enterprise Linux (RHEL) 7.0 bis 9.0
Patch Publisher:
Microsoft Windows Server als Basis, Anbindung an Microsoft SCCM, WSUS und Intune, VMware Workspace One, HCL BigFix
|
| Technische Daten |
Umfassende Schwachstellenanalyse
Flexera hat SVM mitsamt dem früheren Anbieter übernommen, zuvor firmierte die Lösung unter dem Namen Secunia Corporate Software Inspector. Das Team, das sich unter dem Dach von Flexera um die Erforschung und Analyse von Schwachstellen kümmert, trägt auch heute noch den Namen Secunia Research. Der Begriff kommt entsprechend noch an diversen Stellen der Dokumentation vor.
Secunia Research untersucht laufend Software auf ihre Sicherheit, derzeit über 69.000 Produkt-Versionen. Das Team recherchiert, verifiziert und testet dabei 95 Prozent aller Schwachstellen binnen 24 Stunden nach Veröffentlichung von Warnhinweisen. Die Erkenntnisse fließen in eigene Advisories ein und dienen als Basis für die Dienste von Flexera. Neben dem SVM bietet Flexera Software Vulnerability Research (SVR) Zugang zu verifizierten Informationen von Secunia Research. Über den CVSS-Score hinaus berechnet das SVR-Team pro betroffene Software einen eigenen Threat Score. Secunia priorisiert dabei anhand von Kritikalität, Auswirkung, Angriffsvektor sowie weiteren Daten der Bedrohungsanalyse und beschreibt die Schritte zur Minderung des Risikos.
SVR verfügt über einen integrierten Workflow-Ansatz, um neue Schwachstellen bei Bekanntwerden automatisch zu verarbeiten. So kann SVR per API etwa mit Servicedesk-Systemen von Drittanbietern zusammenarbeiten und automatisch Tickets erstellen. Noch einen Schritt weiter bei der Automatisierung geht SVM, den Flexera wahlweise zur Installation on-premises oder als Cloud-Edition anbietet. Letztere stand im Fokus unseres Interesses.
Mit oder ohne Agenten
SVM hilft Unternehmen beim Erkennen, Verwalten und Reduzieren von Sicherheitslücken in Software. Das Werkzeug scannt dazu kontinuierlich Endpunkte unter Microsoft Windows, Apple macOS und Red Hat Enterprise Linux auf unsichere und veraltete Softwareprodukte. Der SVM-Agent verlässt sich dabei nicht allein auf die Liste der auf einem Endpunkt installierten Programme, sondern sucht im gesamten Dateisystem nach ausführbaren Dateien. Unter Windows betrifft dies die Dateitypen EXE, DLL, OCX und JAR (Log4J).
Für Windows-Endpunkte arbeitet das System alternativ auch agentenlos. SVM bezieht Scanergebnisse wahlweise vom Inventory-Agenten des Microsoft System Center Configuration Managers oder per CSV-Import von Bestandsdaten. Als weitere Option nutzt SVM ein Windows-System im lokalen Netzwerk, das den SVM-Agenten im Network-Appliance-Modus ausführt. Dieses System erfordert ein Konto mit lokalen Admin-Rechten und weitere Zugriffsrechte auf allen weiteren Endpunkten, darunter Zugriff auf den TCP-Ports 139 und 445 sowie aktivierte Dateifreigaben, den Windows Update Agent in der Version 2.0 oder höher, Remote-Registry- und COM+-Dienste.
Der Vorteil ist, dass in diesem Fall keine separate Agenteninstallation auf jedem Endpunkt nötig ist, der Nachteil ist, dass die Endpunkte in Reichweite des Agenten im Network-Appliance-Modus sein müssen. Für mobile Clients empfiehlt sich daher der lokal installierte Agent, der lediglich Zugriff per HTTPS auf die Clouddienste von SVM benötigt.
Weitreichende Lückensuche
Der Agent meldet sich regelmäßig bei SVM, um seine Konfiguration abzufragen. Flexera bezeichnet dies als "Einchecken". Er sammelt die Metadaten aller ausführbaren Dateien und sendet sie an den Clouddienst von SVM, der sie mit den bei Secunia Research bekannten Signaturen abgleicht. Nach Angaben des Herstellers erkennt SVM derzeit über 25.000 Produkte anhand ihrer Dateisignatur. Das System erfasst so genau, welche Anwendungen sich auf dem jeweiligen Endpunkt befinden und welche Version sie haben.
Ein minimaler Scan durchsucht nur bekannte Pfade, wie die System- und Programmordner, nach bekannten Dateinamen und gleicht deren Metadaten ab; ein optimaler Scan weitet dies auf das gesamte Dateisystem aus. Ein voller Scan durchforstet das komplette Dateisystem nur auf Basis von Metadaten und erkennt somit auch umbenannte Dateien. SVM findet so sogar portable Apps, die ohne Installation auskommen, sowie Software, die als Bestandteil einer anderen Software nicht auf den ersten Blick erkennbar ist.
In verschiedenen Ansichten, sortiert nach Gruppen von Clients oder nach erkannten Produkten, berichtet das System daraufhin detailliert über jede unsichere oder auslaufende Software, bekannte Schwachstellen oder Bedrohungen. Dabei nutzt SVM die Informationen von Secunia Research und hilft Admins dabei, Sicherheitslücken aufgrund ihrer potenziellen Auswirkungen und der Wahrscheinlichkeit eines erfolgreichen Angriffs zu priorisieren und ihre begrenzten Ressourcen auf die kritischsten Schwachstellen zu konzentrieren.
Mithilfe des Patch Publishers, einer optionalen Komponente zur Installation auf einem Windows-Server, erstellen Admins für identifizierte Schwachstellen Installationspakete in nachgelagerten Systemen zur automatischen Softwareverteilung (Bild 1). Derzeit unterstützt der Patch Publisher die Anbindung von Microsoft System Center Configuration Manager und Windows Server Update Services (WSUS), VMware Workspace One sowie das ehemals von IBM und nun vom Anbieter HCL verantwortete System BigFix. Flexera möchte künftig zusätzlich auch Matrix42 Empirum Pro integrieren.
Sinnvolle Zusätze in Modulen
Standardmäßig stellt SVM mit den Scanergebnissen Informationen zur Natur einer jeden gefundenen Schwachstelle bereit. Dazu zählen die Bewertung der Kritikalität auf einer fünfstufigen Skala von "Not Critical" bis "Extremely Critical", den Base-Score nach CVSS und das zugehörige Secunia Advisory. Dieses enthält Informationen dazu, wie sich die jeweilige Sicherheitslücke auswirkt, von wo ein Angreifer sie ausnutzen kann und ob bereits ein Patch oder eine andere Lösung existiert. Zudem verlinkt SVM die relevanten CVE-Artikel. Bei Common Vulnerabilities and Exposures (CVE) handelt es sich um ein System mit dem Ziel, Schwachstellen mit einer eindeutigen Referenz zu versehen und Mehrfachbenennung derselben Lücken durch verschiedene Unternehmen und Institutionen zu vermeiden.
Das optionale und separate zu lizenzierende Threat Intelligence Module reichert die Advisories mit weitergehenden Informationen von Secunia Research an, insbesondere einem vom Anbieter berechneten Threat Score auf einer Skala von 0 bis 99. Laut Hersteller ist dieser Wert aussagekräftiger als die Einschätzung nach CVSS, da Secunia besonders darauf schaut, ob es bereits Hinweise auf aktive Ausnutzung einer Schwachstelle in der Praxis gibt. Falls ja, enthält das erweiterte Advisory auch Informationen, ob und welche bekannten Angriffswerkzeuge, wie etwa das Metasploit-Framework, sich bereits darauf verstehen.
Im grundlegenden Funktionsumfang umfasst das Flexera Package System, das die Basis für den Patch Publisher bildet, bereits sicherheitsrelevante Updates für über 100 verbreitete Standardprodukte, darunter etwa 7-Zip, Adobe Reader, FileZilla, Mozilla Firefox Notepad++, Oracle Java oder der VLC Media Player. Das separat zu lizenzierende Vendor Patch Module erweitert den Katalog signifikant auf über 6000 direkt einsetzbare Patches für Softwareprodukte zahlreicher Hersteller. Damit berücksichtigt das Vendor Patch Module nicht nur Sicherheitsupdates, sondern auch Funktionsupdates ohne direkten Bezug zu akuten Schwachstellen.
Clients gut im Griff
Mit dem initialen administrativen Login, den wir vom Hersteller erhalten hatten, meldeten wir uns am Webinterface von SVM an. Die Oberfläche folgt einem üblichen Aufbau mit einem vertikalen Hauptmenü am linken Seitenrand und einem größeren Bereich rechts, der horizontal angeordnet Tabs für die gewählten Punkte aus dem Hauptmenü öffnet und darunter je nach gewähltem Punkt noch eine weitere Leiste mit Registerkarten anzeigt. Das konfigurierbare Dashboard als Einstiegspunkt informiert auf einen Blick über den Zustand aller überwachten Systeme. Hier herrschte anfangs noch Leere.
Zunächst kümmerten wir uns um die globalen Einstellungen im Bereich "Configuration / Settings". Die Optionen auf der Registerkarte "General" beeinflussen die Bewertung von Scanergebnissen und deren Darstellung im Bereich "Results". So behält ein Client, der sich nicht regelmäßig meldet, die Sicherheitsbewertung zum Zeitpunkt des letzten Scans, selbst wenn später neue Sicherheitslücken bekannt werden, die die Bewertung beeinflussen würden. Mit der Option "Active Live Update" bewertet SVM auch die Clients neu, die sich nicht regelmäßig melden.
Wir durften weiterhin wählen, ob SVM IP- und MAC-Adressen der Clients mit im Scan erfassen soll und ob das System Zombie Files verstecken oder anzeigen soll. Bei Zombie Files handelt es sich um Dateien, die nach dem Entfernen oder der Installation von Anwendungen und deren Updates zurückbleiben. SVM erkennt auch solche Dateien anhand ihrer Dateisignatur, sofern sie auf ein unsicheres oder End-Of-Life-Produkt hinweisen. Auf Wunsch nimmt SVM nur die höchste Version einer erkannten Software in die Scanergebnisse auf. Ebenfalls optional löscht SVM ältere Hosts automatisch, die sich seit einer wählbaren Anzahl von Tagen nicht mehr gemeldet haben. Standardmäßig behält das System aber Hosts und ihre Scanergebnisse.
Scantiefe individuell anpassbar
Weitere erwähnenswerte Einstellungen betreffen die Handhabung von Java und globale Ausschlüsse vom Scan. So erfasst SVM per Default nur Pfade mit der Möglichkeit zur direkten Installation von Patches und erkennt nicht in Drittanbieter-Anwendungen eingebettete Java-Instanzen. Flexera empfiehlt, eingebettete Java-Versionen nur über die vom Hersteller der jeweiligen Drittanbieteranwendung bereitgestellten Updates zu aktualisieren. Optional weist SVM aber auch eingebettete Java-Installationen separat aus.
Zudem verwendet SVM eine Liste von typischen Pfaden und Ordnern, die der Agent anhand von regulären Ausdrücken erkennt und beim Scan ausschließt. Dazu gehören etwa die Windows-eigenen Cache-Verzeichnisse für DLLs, Treiber und Installationspakete sowie der Papierkorb. Zu guter Letzt gibt der System-Score an, nach welchen Kriterien SVM in den Scanergebnissen den Status eines Endpunktes bewertet. Die Summe aller Gewichtungen darf 100 Prozent nicht überschreiten und der Prozentsatz eines jeden Kriteriums bestimmt seinen Einfluss auf die Gesamtberechnung der Systembewertung. Die fünf Kriterien sind der Anteil sicherer Produkte auf dem Client, bekannte Zero-Day-Schwachstellen, die Kritikalität, der CVSS-Score und der Secunia Threat Score. Letztere ist nur wählbar bei aktivem Threat Intelligence Module.
Die Registerkarte "Windows Update" bestimmt, ob SVM auch Microsofts Security-Updates einbezieht und welche Quelle als Referenz dient, eine lokale WSUS-Instanz oder Microsofts Server. Der "Single Sign-On" bindet alternativ zur Verwaltung von Benutzerkonten in SVM einen externen Identity Provider per SAML an. Der Reiter "Email/SMS Recipients" bestimmt, welche Benutzer Berichte und Benachrichtigungen per E-Mail erhalten sollen.
Lokale Benutzer nur mit Namen und Passwort
Unsere Benutzer konfigurierten wir anschließend im Bereich "Administration / User Management". SVM unterscheidet hier zwischen Administratoren und Benutzern ohne administrative Berechtigungen. Für Letztere durften wir zudem zwischen schreibendem oder lesendem Zugriff wählen und granular bestimmen, welche der vier Bereiche Scanning, Results, Reporting und Patching sie sehen dürfen. Voreingestellt ist, dass alle Nutzer nur ihre eigenen Agenten und deren Scanergebnisse aufrufen dürfen. Ist die Option "Allow User to see the Completed Scans and Single Host Agents from all other Users" aktiviert, erscheint der Name des jeweiligen Benutzers in der Übersicht in fetter Schrift.
Neue Benutzer erhielten eine E-Mail zur Aktivierung ihres Accounts und mussten bei der ersten Anmeldung ein individuelles Passwort festlegen. Die Einstellungen unter "Administration / Passwort Policy" geben die hierbei geltenden Regeln vor. Ähnlich der Passwortrichtlinie in einem AD sehen die Optionen Länge, Komplexität, Frequenz der Änderungen und eine Passworthistorie vor. Für interne Benutzer beherrscht Flexera nur die Kombination aus Benutzername und Passwort. MFA-Verfahren kann nur ein per SSO verbundener externer Identity Provider beisteuern. Die Regeln unter "Administration / IP Access Management" beschränken die Anmeldung aller oder ausgewählter Benutzer auf bestimmte Herkunfts-IP-Adressen.
AD-Integration optional
Im Bereich "Administration / Active Directory" integriert SVM optional mit Microsofts Verzeichnisdienst und liest die Struktur eines AD mit allen darin enthaltenen Computerobjekten ein. Für die Verzahnung benötigt SVM weiterhin die Berechtigungen eines Domänenbenutzers sowie Zugriff per LDAPS auf dem TCP-Port 636 mindestens eines DC.
Da wir unser AD nicht gegenüber dem Internet öffnen wollten, verzichteten wir auf die AD-Integration, zumal der Vorteil von SVM gerade darin besteht, dass das System beliebige Endpunkte unabhängig von einer Domänenmitgliedschaft scannen kann. Voraussetzung dafür ist lediglich die Installation eines zum eigenen SVM-Mandanten passenden Agenten.
Filter erleichtern Analyse
Die Installationsdateien der Agenten fanden wir unter dem Menüpunkt "Scanning / Scan Via Local Agents / Download Local Agent". Hier bot uns das Webfrontend die Agenten für die verschiedenen Zielplattformen und einen Token an. Letzterer enthält Informationen zum SVM-Mandanten und dem Benutzer, in dessen Namen der Agent beim Mandanten einchecken soll.
Für Windows, macOS und Linux stellt SVM nicht signierte Installationspakete mit integriertem Token bereit, für Windows und die 64-Bit-Variante von macOS zusätzlich auch signierte Pakete, die bei der Installation mit dem Token in Form einer INI-Datei gefüttert werden wollen.
Die Installationspakete konnten wir nun manuell oder mithilfe einer beliebigen zentralen Softwareverteilung auf unsere Endpunkte ausbringen. Sobald sich diese beim SVM gemeldet hatten, erschienen sie unter "Scanning / Scan Via Local Agents / Single Host Agents", wo wir für einen oder mehrere Agenten auf einmal die Scankonfiguration festlegen konnten. Dazu gehört der gewünscht Scantyp, die Frequenz, mit der ein Agent am SVM eincheckt, und der Zeitraum in Tagen zwischen geplanten Scans. Alternativ zu den periodischen Scans konnten wir auch einen manuellen Scan veranlassen.
Die Ergebnisse erschienen daraufhin unter "Scanning / Completed Scans" mit Zeitstempel, dem jeweiligen Host und ersten Informationen dazu, wie viele unsichere, End-Of-Life- und sichere Produkte SVM identifiziert hatte. Ein Doppelklick auf einen Eintrag in der Tabelle führte zu einer Übersicht, die diese Ergebnisse grafisch aufbereitete (Bild 2).
Beim Flexera System Score, dem prozentualen Anteil sicherer Produkte auf dem Endpunkt, ist in diesem Fall ein möglichst hoher Wert gefragt. Die "Scan Results" liefern Details dazu, welche erkannten Produkte im Detail zu diesem Gesamtergebnis beigetragen haben.
Eine ähnliche Darstellung fanden wir im Bereich "Results / Host Smart Groups / All Hosts". Hier und bei der Ansicht nach Produkten sorgen die Smart Groups für Ordnung und Filterung der Ergebnisse nach den vom Admin gewünschten Kriterien. So konnten wir etwas Smart Groups definieren, die wahlweise nur Windows oder Linux, Client- oder Server-Betriebssysteme sowie auch nur Clients über oder unter einem bestimmten System-Score anzeigen. SVM filtert hier optional Endpunkte heraus, die sich zuletzt vor oder nach einem bestimmten Zeitpunkt gemeldet haben, ebenso solche, die von einer bestimmten oder mehreren CVEs betroffen sind.
Auswertung nach unsicheren Produkten
Gerade in Infrastrukturen mit automatischer Softwareverteilung betreffen neue Schwachstellen oftmals sofort eine große Anzahl von Endpunkten gleichermaßen. Zweckmäßiger erweist sich in diesem Fall die Auswertung nach den zu aktualisierenden Produkten. Hier hilft der Bereich "Results / Product Smart Groups" mit den darunter befindlichen Gruppen. Besonders interessierten wir uns hier für die Gruppen "End-Of-Life Products" sowie "Insecure Products". Sortiert nach Kritikalität oder dem Base-Score nach CVSS fanden wir hier die Schwachstellen, um die wir uns unmittelbar kümmern mussten – je höher Kritikalität und Score, je mehr betroffene Hosts, desto größer der Handlungsbedarf (Bild 3).
Der Link in der Spalte der Secunia Advisory ID liefert Details zur Natur der Schwachstelle, zu Lösungen und den CVE-Referenzen. Im besten Fall zeigt der Status zur Lösung "Vendor Patched" an, dass also ein Update existiert. Per Rechtsklick auf eine Zeile und die Option "View Installations" gelangten wir zu einer weiteren tabellarischen Ansicht mit einer Liste aller betroffenen Endpunkte und dem jeweiligen Pfad, in dem der Agent die Software gefunden hatte.
Beim Sortieren nach CVSS ist allerdings eine Besonderheit zu beachten. SVM verwendet hier Bewertungen nach den CVSS-Versionen 2 und 3 gemeinsam in einer Spalte mit der jeweiligen Version an erster Stelle, getrennt per Doppelpunkt folgt der eigentliche Score. Das führt bei einer absteigenden Sortierung dazu, dass nach CVSS 3 bewertete Schwachstellen zuoberst stehen. Nach CVSS 2 bewertete Problempunkte finden sich dann aber am Ende der Liste. Um solche Schwachstellen nicht zu übersehen, helfen eine Smart Group, die nur die höchsten Scores anzeigt, oder der CSV-Export und die weitere Analyse in einer Tabellenkalkulation. Für eine solche Weiterverarbeitung verschickt SVM einen CSV-Export auf Wunsch auch als regelmäßigen Bericht mit stündlicher, täglicher, wöchentlicher oder monatlicher Frequenz.
Berichte als PDF oder CSV
Weitere Optionen für das Berichtswesen fanden wir im Bereich "Reporting / Report Configuration", wo wir Berichte zur einmaligen oder wiederholten Ausführung konfigurierten. SVM unterscheidet hier die Formate PDF und CSV. Letztere eignen sich für Techniker und Admins, die Schwachstellen finden und beheben müssen. Hier ist der Import der CSV-Dateien in Tools wie Excel optimal, um nach verschiedenen Kriterien betroffene Hosts und Produkte mit ihren Versionen und Fundorten herauszufiltern. PDF-Berichte sprechen eher Informationssicherheitsbeauftragte und Manager an, die regelmäßig über die Sicherheitslage im Unternehmen unterrichtet werden möchten.
Einem solchen Bericht stellt SVM auf Wunsch eine Executive Summary sowie statistische Daten zu Anzahl und Kritikalität von Schwachstellen voran. Details integriert SVM hier optional für alle Hosts und Produkte oder nur für bestimmte Smart Groups. Letzteres ist die bessere Wahl, da eine Auswertung zu allen Systemen und Anwendungen auch in einer kleinen bis mittelgroßen Umgebung schnell zu einem PDF-Bericht mit mehreren tausend Seiten führt.
Solide Automatisierung
Haben Admins relevante Schwachstellen identifiziert, können sie sich daran begeben, die passenden Updates auszurollen, entweder indem sie diese manuell installieren oder eine kompatible Softwareverteilung per Patch Publisher mit SVM koppeln. Wie dies funktioniert, haben wir uns zu guter Letzt in einer Testumgebung von Flexera am Beispiel von Microsoft Intune angesehen.
Wie beim Agenten stellte uns SVM unter "Patching / Download Patch Publisher" das passende Installationspaket bereit. Der Publisher vermittelt mit seiner lokalen Konfiguration unter "SVM Connection" zwischen SVM auf der einen Seite sowie mit den Verbindungen unter "Distribution Systems" einem oder mehreren Werkzeugen zur Softwareverteilung auf der anderen Seite. Er kann also bei der Verteilung von Updates mehrere Zielsysteme gleichzeitig bedienen, etwa Microsoft Intune und HCL BigFix. Die Listenansichten unter "Manage Patches / Flexera Package System (SPS)" und "Manage Patches / Vendor Patch Module" entsprechen der Anzeige im Webfrontend. Sie zeigten uns nur die Updates, die für unsere Umgebung relevant waren. Unterstützt durch einen Assistenten konnten wir aus der Liste heraus für jedes aufgeführte Update manuell ein Paket erstellen und zur Verteilung in der nachgelagerten Lösung publizieren.
Alternativ zur manuellen Arbeit erstellten wir ein Patch-Template. Es handelt sich dabei um ein Grundgerüst für Updates, das wir mit Parametern dazu versahen, wann der Publisher automatisch ein Update veröffentlichen soll. Für ein konkretes Produkt, wie etwa Chrome oder Firefox, konnten wir dies an die Bedingung knüpfen, dass eine Schwachstelle der vorherigen Version eine bestimmte Kritikalität oder einen CVSS-Score überschreitet. Sobald SVM eine diesen Regeln entsprechende Sicherheitslücke fand, erzeugte der Patch Publisher automatisch ein passendes Paket in der Softwareverteilung.
Fazit
Durch Scans, deren Ergebnisse und die Berichte erkennen Admins mit dem Software Vulnerability Manager die kritischsten Lücken und können gezielt dagegen vorgehen. Dabei dient die Einstufung nach CVSS als Orientierung. Noch detaillierte Informationen liefert das optionale Threat Intelligence Module. SVM legt den Fokus vor allem auf die Windows-Welt, gefolgt von macOS. Linux-Anwender profitieren nur, wenn sie auf Red Hat setzen. Hier vermissten wir offiziellen Support für weitere Distributionen.
Noch mehr Zeit sparen Admins, wenn sie anstelle manueller Gegenmaßnahmen den Patch Publisher verwenden. Der kümmert sich mit dem ebenfalls optionalen Vendor Patch Module nicht nur um Sicherheits-, sondern auch um Funktionsupdates – hier ebenfalls primär für Endpunkte unter Windows und unter der Voraussetzung, dass die eingesetzte Softwareverteilung kompatibel ist. Bereits im grundlegenden Umfang und auch ohne Patch Publisher leistet SVM aber bereits äußerst nützliche Dienste beim Erkennen von Schwachstellen und Priorisieren von Gegenmaßnahmen.
(ln)
Scanergebnisse | 8 |
Threat Intelligence | 8 |
Berichte | 7 |
Patch Publisher | 7 |
Linux-Support | 5 |
|
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/
|
|