Bachelor Thesis: Automatisierte Vulnerability Scans basierend auf einer CMDB

Aufgrund steigender Schwachstellen geraten Systeme, die eine automatisierte Entdeckung ermöglichen, in den Fokus von Unternehmen. Gleichzeitig werden in einer oder mehreren Configuration Management Database (kurz: CMDB) dem Unternehmen bekannte Geräte geführt. Was liegt hier nun näher, als die beiden Systeme zu verbinden um Synergien zu erhalten?

Bevor automatisiert gescannt werden kann, sollte nun durch Automatismen sichergestellt werden, dass die Daten aus der CMDB den aktuellen Stand abbilden. Durch eine auf dem neusten Stand gehaltene CMDB kann so nicht nur beispielsweise ein Input für den Schwachstellenscanner geliefert werden, sondern auch andere Prozesse aus dem ITIL (IT-Infrastructure Library) Umfeld profitieren. ITIL ist eine Sammlung an Best-Practises für den effizienten und effektiven Betrieb von IT-Infrastrukturen.

CMDB Schwachstellen-Scanner Schaubild

Um eine aktuelle Datenbasis aus dem Netzwerk zu erhalten, kann ein Network Access Control-System (kurz: NAC) eingesetzt werden. Dieses kontrolliert den Zugang zu einem abgesicherten Netzwerk und trifft auf Grundlage verschiedenster verfügbarer Daten beispielsweise von Firewalls, Antivirenprogrammen und weiteren Sicherheitslösungen eine Entscheidung, ob einem Endgerät oder Server der Zugang zu ausgewählten Ressourcen gewährt werden soll. Genaueres kann im Trusted-Network-Conntect-Standard nachgelesen werden, der durch die Trusted Computing Group 2012 veröffentlicht wurde.

Abgleich mit der CMDB

Da wir nun eine aktuelle Datenbasis haben, ist es nun möglich, diese mit der CMDB abzugleichen und zu aktualisieren. Ebenfalls können in der CMDB Parameter hinterlegt werden, die ein mögliches Scanintervall, Zeitpunkt für den Scan oder andere Parameter enthalten. Dabei muss beachtet werden, dass der Aufbau der einzelnen Configuration Items (kurz: CIs) in der CMDB nicht zu komplex konstruiert werden, da sich dies sonst negativ auf die Wartbarkeit auswirkt. CIs umfassen alle Komponenten, die an der Bereitstellung eines Dienstes beteiligt sind.

Nun können die einzelnen Server oder Systeme, die über CIs abgebildet werden, Systemverantwortlichen zugeordnet werden, um zielgerichtete Schwachstellenberichte zu ermöglichen. Somit ist ein wiederkehrendes Scannen mit möglichst wenigen manuellen Eingriffen realisierbar.

Wie wirkt sich die Einführung eines automatisierten Scans auf die Systeme aus?

Der Einsatz eines automatischen Schwachstellenscanners in Kombination mit einem NAC– und CMDB-System steigert unweigerlich die Komplexität des Gesamtsystems, was besonders dann gilt, wenn diese Systeme untereinander verknüpft werden. Zudem müssen die in dem Konzept genutzten Systeme in gleicher Ausführung vorhanden sein, was die nötige Infrastruktur voraussetzt. Die Umsetzung eines Konzepts, welches geordnet Scanvorgänge nach Schwachstellen ermöglicht, konnte umgesetzt werden. Jedoch ist hier zu beachten, dass die Umsetzung inklusive Abstraktion in der CMDB mit einem Verlust an Steuerungs- und Konfigurationsmöglichkeiten des Scanners einhergeht.

Ein ähnlicher Ansatz, welcher durch das ITZBund geplant ist, zeigt vergleichbare Überlegungen bezüglich Verlinkung der Daten aus der CMDB mit einem Vulnerability Scanner. Dort wurde die Problematik einer starken Segmentierung eines Netzwerkes als Problem für den automatisierten Scan identifiziert. Des Weiteren hat der ITZBund organisatorische Herausforderungen, wie eine eingeschränkte Akzeptanz der Beteiligten, entdeckt.

Fazit

Abschließend kann gesagt werden, dass ein solches Konzept den großen Vorteil bietet, Systeme automatisch auf Schwachstellen untersuchen zu können, jedoch auch negative Aspekte damit einher gehen, wie die gesteigerte Komplexität.


Bei der TO können Studenten neben einem Praktikum oder einer Werkstudententätigkeit auch Abschlussarbeiten schreiben. In Zusammenarbeit mit unseren Spezialisten und der Hochschule werden dabei zukunftsweisende Themen an der Schnittstelle von Theorie und Praxis behandelt. Die spannenden Forschungsergebnisse dieser Arbeiten teilen wir in unserem Blog.
Weitere Informationen: DEINE ZUKUNFT – Studenten – Abschlussarbeit

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *