Unterstützung für die Risiko-Analyse

Das bieten Security-Assessment-Tools

25.11.2013 von Oliver Schonschek
Risikoanalysen fallen vielen Unternehmen schwer. Security-Assessment-Tools können helfen, sollten aber mit Bedacht ausgewählt werden.

Wesentliche Probleme bei der Entwicklung von IT-Sicherheitsrichtlinien sind die Aktualität und Vollständigkeit. Um aktuelle Policies für alle relevanten Bereiche der IT-Sicherheit erstellen zu können, müssen Unternehmen ihre tatsächlichen, aktuellen Risiken kennen und bewerten. Für diese wichtige Arbeit aber fehlen oft Zeit und Budget, wie beispielsweise die Kaspersky-Studie "Global Corporate IT Security Risks: 2013" herausfand.

Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern.
Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind.
Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren.
Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren.
Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.

Unterstützung finden Unternehmen durch zumeist kostenlose Security-Assessment-Tools - das sind in aller Regel Online-Dienste, die auf unterschiedlichen Wegen bei der Ermittlung von Schwachstellen und Risiken in der IT helfen.

Die Tools unterscheiden sich allerdings stark im Leistungsumfang und in der konkreten Hilfestellung. Im Folgenden werden deshalb mehrere Beispiele für Security-Assessment-Werkzeuge untersucht und Empfehlungen gegeben, was bei der Auswahl und Verwendung generell zu beachten ist.

1. Mit dem Browser fängt es an

Zu den Security-Assessment-Tools gehören auch Browser-Tests, die Nutzer im Internet ausführen können, um Schwachstellen im Browser oder in Browsererweiterungen aufzuspüren. Dadurch werden Risiken im Bereich Browsersicherheit und der Bedarf für entsprechende Browser-Richtlinien sichtbar.
Foto: Deutsches Sicherheitsnetz e.V.

Wesentliche Bedrohungen für die IT-Sicherheit kommen aus dem Internet. Ein klassischer Angriffsweg besteht darin, Schwachstellen von Browsern und Browser-Erweiterungen auszunutzen. Es verwundert nicht, dass gerade für die Prüfung der Browser-Sicherheit zahlreiche Assessment-Tools existieren.

Beispiele sind der Browsercheck des Deutschen Sicherheitsnetz e.V., der Qualys BrowserCheck,Rapid7 BrowserScan und der Browser- und Plugincheck des Anti-Botnet Beratungszentrums. Diese und vergleichbare Browser-Tests richten sich an den einzelnen Internetnutzer und bieten Hinweise zur Aktualisierung von Browser und Plug-Ins.

Schon ein einfacher Plugin-Check im Firefox liefert Hinweise zum Sicherheitsstatus des Browsers.
Foto: Oliver Schonschek / Screenshot Mozilla Firefox

Aussagen zu möglichen Risiken auf Unternehmensebene sind möglich, wenn ein einheitlicher Browser und eine einheitliche Plug-In-Ausstattung vorgeschrieben sind. In diese Richtlinie sollte dann auch die regelmäßige oder automatische Aktualisierung des Browsers und der Erweiterungen aufgenommen werden.

Zudem bietet beispielsweise Qualys eine Business-Version für Browser-Tests an, die zentral gesteuert und ausgewertet werden kann. Administratoren erhalten so mittels Dashboard einen Überblick über die bestehende Browser- und Plug-In-Sicherheit.

2. Websites im Blick

Online-Risiken zu begegnen bedeutet auch, die eigene Website in den Blick zu nehmen. Ob diese verseucht und für Besucher zur Gefahr werden kann, zeigt zum Beispiel der Website-Test der Initiative-S. Wer ganze Web-Applikationen einem Sicherheitstest unterziehen möchte, kann das unter anderem mit dem Veracode Web Application Testing Tool tun.

Administratoren können die eigene Website auf typische Schwachstellen (siehe beispielsweise OWASP Top Ten Project) untersuchen und so testen, ob diese durch entsprechende Attacken gefährdet wäre. Ein Beispiel-Tool für Web-Administratoren ist Ratproxy. Solche Werkzeuge sollten aber nur Anwender mit genügend Erfahrung und ausschließlich für die eigene Website einsetzen.

3. Systemanalyse auf Knopfdruck

Neue IT-Risiken können zum Beispiel dann auftreten, wenn eine neue Software installiert wurde, die auch potenziell neue Angriffsflächen bietet. Ebenso entstehen Sicherheitslücken durch fehlende Patches und falsche Sicherheitskonfigurationen. Security-Assessment-Tools wie Windows Attack Surface untersuchen den Einfluss einer Installation auf das Betriebssystem, indem das Windows-System vor und nach der Installation verglichen wird.

Der Microsoft Baseline Security Analyzer unterstützt Administratoren dabei, Windows-Systeme nach fehlerhaften Sicherheitseinstellungen und fehlenden Sicherheits-Updates zu durchsuchen.

4. Der Fehler steckt im Quellcode

Sicherheitslücken beginnen in aller Regel damit, dass bei der Softwareentwicklung eine Sicherheitsfunktion vergessen oder ein Programmfehler begangen wurde. Ein Security Assessment auf Basis des Programm-Codes bietet zum Beispiel HP Fortify on Demand, wobei der Nutzer die Tests startet und die Resultate der auswertenden Sicherheitsexperten innerhalb einer definierten Zeitspanne erhält. Veracode bietet eine Reihe von Code-Assessments - darunter die Veracode Static Analysis.

Solche Assessments richten sich an Entwickler und interne Tester und zeigen, an welchen Stellen der Quellcode noch verwundbar ist. Sie können eine wichtige Ergänzung der internen Qualitätssicherung darstellen und den Bedarf an neuen oder geänderten Entwicklungsrichtlinien aufzeigen.

5. Den Nutzer nicht vergessen

Ein wesentliches Sicherheitsrisiko stellen Nutzer dar, die die Sicherheitsrichtlinien nicht kennen oder nicht umsetzen - ob unwissentlich oder vorsätzlich. Zumindest gegen ersteres können Tools helfen. Ein entsprechendes Angebot kommt zum Beispiel von SANS: CyberTalent Assessments - Wissenstests, die für Beschäftigte wie für Bewerber und Dienstleister gleichermaßen geeignet sind. Auch das Microsoft Security Assessment Tool bietet einen Fragenbereich, bei dem die Mitarbeiter, ihre Awareness und die für sie geplanten Schulungen im Fokus stehen.

6. Befragung statt Angriff

Security-Assessment-Tools unterscheiden sich nicht nur in der Zielgruppe, sondern auch darin, wie sie den Sicherheitsstatus im Unternehmen ermitteln, ob sie einen Fragenkatalog dazu anbieten, die Antworten auswerten und ob sie sogar einen Angriff simulieren.

Das Tool "Oracle Enterprise Data Security Assessment" hilft bei einer ersten Bewertung der eigenen Enterprise IT Security und bietet als Auswertung ein Scoring zu verschiedenen Security-Bereichen.
Foto: Oracle

Eine Befragung im Bereich IT-Sicherheit bieten zum Beispiel das Oracle Enterprise Data Security Assessment, das IT Security Assessment Tool der Aberdeen Group, der DsiN-Sicherheitscheck und das Microsoft Security Assessment Tool mit Fragen aus den Themenbereichen Infrastruktursicherheit, Anwendungssicherheit, Betriebssicherheit und Mitarbeitersicherheit. Im Anschluss an die Beantwortung liefern die Tools eine Auswertung mit technisch-organisatorischen Handlungsempfehlungen im Bereich IT-Sicherheit.

Die Aberdeen Group hat im Internet ein Security Assessment im Angebot, das sich speziell an KMU richtet. Die Auswertung vergleicht die Antworten des Teilnehmers mit denen anderer Teilnehmer und erlaubt so ein Benchmarking für bestimmte Bereich der IT-Sicherheit.
Foto: Aberdeen Group

Ebenfalls eine Befragung zur IT-Sicherheit mit anschließender Auswertung bietet RiskRater. Teilnehmende Unternehmen erhalten ein Benchmarking darüber, wie das eigene Unternehmen seine IT-Sicherheit im Vergleich zu anderen Teilnehmern im Griff hat.

Trend Micro bietet verschiedene Assessment-Tools, die Befragungen und Auswertungen für die Bereiche Internetsicherheit, Cloud-Sicherheit und mobile Sicherheit vornehmen. Fragen und Auswertungen speziell im Bereich Mobile Security bietet auch das Tool Secure Mobility Hot Zone von Mobile Work Exchange. Von HP gibt es eine Befragung als Assessment-Tool zum Thema Sicheres Drucken.

Fazit

Trend Micro bietet kostenlose Online-Assessments zu Cyber, Cloud und Mobile Security. Nutzer erhalten im Anschluss einen ausführlichen Risikobericht.
Foto: Trend Micro

Die zahlreichen Security-Assessment-Tools, die es auf dem IT-Sicherheitsmarkt bereits gibt, bieten durchaus wertvolle Hilfestellungen bei der Suche nach Risiken, für die es entsprechende IT-Sicherheitsrichtlinien geben sollte.

Allerdings sollten Unternehmen nicht vorschnell scheinbar nützliche Online-Dienste verwenden, um ihre IT nach Schwachstellen zu durchsuchen. Es sollte immer zuerst überprüft werden, wer der Anbieter ist, was mit den eingegebenen oder ermittelten Daten geschieht (Nutzungsbedingung, Datenschutzerklärung) und ob von dem (angeblichen) Sicherheitstool nicht selbst eine Bedrohung ausgeht. Statt eines hilfreichen System-Scans könnte der Online-Test schließlich auch Schadsoftware installieren oder nach vertraulichen Informationen suchen wollen.

Es ist ratsam, vor der Verwendung von Security-Assessment-Tools eine spezielle IT-Sicherheitsrichtlinie zum Umgang mit diesen Werkzeugen einzusetzen. Dazu gehören die erwähnte Prüfung von Impressum, Nutzungsbedingung und Datenschutzerklärung sowie eine Kontrolle, ob sich hinter dem Online-Dienst eine schadhafte Webseite verbirgt (beispielsweise durch Verwendung eines Link-Scanners). Auf keinen Fall sollten die eigenen Sicherheitslösungen deaktiviert werden, um angeblich den Sicherheitstest zu ermöglichen. Dann würde die Suche nach Risiken selbst zum gefährlichen Risiko.

Übersichtstabelle: Security Assessment Tools

Die folgende Tabelle zeigt nochmals die verschiedenen Typen von Security Assessment Tools und nennt entsprechende Beispiele.

Security Assessment Bereich

Beispiellösung

Browser-Assessment

Browsercheck des Deutschen Sicherheitsnetz e.V.

Qualys BrowserCheck

Rapid7 BrowserScan

Browser- und Plugincheck des Anti-Botnet Beratungszentrums

Web-Assessment

Webseiten-Test der Initiative-S

Veracode Web Application Testing Tool

Ratproxy

System-Assessment

Windows Attack Surface

Microsoft Baseline Security Analyzer

Code-Assessment

HP Fortify on Demand

Veracode Static Analysis

Nutzer-Assessment

SANS Institute CyberTalent Assessment

Microsoft Security Assessment Tool

Enterprise-Assessment

Oracle Enterprise Data Security Assessment

IT Security Assessment Tool der Aberdeen Group

DsiN-Sicherheitscheck

Microsoft Security Assessment Tool

RiskRater

Special-Interest-Assessment

Trend Micro Assessment-Tools (Cyber, Cloud, Mobile)

Secure Mobility Hot Zone

HP Print Security Assessment