Unterstützung für die Risiko-Analyse
Das bieten Security-Assessment-Tools
3. Systemanalyse auf Knopfdruck
Neue IT-Risiken können zum Beispiel dann auftreten, wenn eine neue Software installiert wurde, die auch potenziell neue Angriffsflächen bietet. Ebenso entstehen Sicherheitslücken durch fehlende Patches und falsche Sicherheitskonfigurationen. Security-Assessment-Tools wie Windows Attack Surface untersuchen den Einfluss einer Installation auf das Betriebssystem, indem das Windows-System vor und nach der Installation verglichen wird.
Der Microsoft Baseline Security Analyzer unterstützt Administratoren dabei, Windows-Systeme nach fehlerhaften Sicherheitseinstellungen und fehlenden Sicherheits-Updates zu durchsuchen.
4. Der Fehler steckt im Quellcode
Sicherheitslücken beginnen in aller Regel damit, dass bei der Softwareentwicklung eine Sicherheitsfunktion vergessen oder ein Programmfehler begangen wurde. Ein SecuritySecurity Assessment auf Basis des Programm-Codes bietet zum Beispiel HP Fortify on Demand, wobei der Nutzer die Tests startet und die Resultate der auswertenden Sicherheitsexperten innerhalb einer definierten Zeitspanne erhält. Veracode bietet eine Reihe von Code-Assessments - darunter die Veracode Static Analysis. Alles zu Security auf CIO.de
Solche Assessments richten sich an Entwickler und interne Tester und zeigen, an welchen Stellen der Quellcode noch verwundbar ist. Sie können eine wichtige Ergänzung der internen Qualitätssicherung darstellen und den Bedarf an neuen oder geänderten Entwicklungsrichtlinien aufzeigen.
5. Den Nutzer nicht vergessen
Ein wesentliches Sicherheitsrisiko stellen Nutzer dar, die die Sicherheitsrichtlinien nicht kennen oder nicht umsetzen - ob unwissentlich oder vorsätzlich. Zumindest gegen ersteres können Tools helfen. Ein entsprechendes Angebot kommt zum Beispiel von SANS: CyberTalent Assessments - Wissenstests, die für Beschäftigte wie für Bewerber und Dienstleister gleichermaßen geeignet sind. Auch das Microsoft Security Assessment Tool bietet einen Fragenbereich, bei dem die Mitarbeiter, ihre Awareness und die für sie geplanten Schulungen im Fokus stehen.
6. Befragung statt Angriff
Security-Assessment-Tools unterscheiden sich nicht nur in der Zielgruppe, sondern auch darin, wie sie den Sicherheitsstatus im Unternehmen ermitteln, ob sie einen Fragenkatalog dazu anbieten, die Antworten auswerten und ob sie sogar einen Angriff simulieren.
Eine Befragung im Bereich IT-Sicherheit bieten zum Beispiel das Oracle Enterprise Data Security Assessment, das IT Security Assessment Tool der Aberdeen Group, der DsiN-Sicherheitscheck und das Microsoft Security Assessment Tool mit Fragen aus den Themenbereichen Infrastruktursicherheit, Anwendungssicherheit, Betriebssicherheit und Mitarbeitersicherheit. Im Anschluss an die Beantwortung liefern die Tools eine Auswertung mit technisch-organisatorischen Handlungsempfehlungen im Bereich IT-Sicherheit.
Ebenfalls eine Befragung zur IT-Sicherheit mit anschließender Auswertung bietet RiskRater. Teilnehmende Unternehmen erhalten ein Benchmarking darüber, wie das eigene Unternehmen seine IT-Sicherheit im Vergleich zu anderen Teilnehmern im Griff hat.
Trend Micro bietet verschiedene Assessment-Tools, die Befragungen und Auswertungen für die Bereiche Internetsicherheit, Cloud-Sicherheit und mobile Sicherheit vornehmen. Fragen und Auswertungen speziell im Bereich Mobile Security bietet auch das Tool Secure Mobility Hot Zone von Mobile Work Exchange. Von HPHP gibt es eine Befragung als Assessment-Tool zum Thema Sicheres Drucken. Alles zu HP auf CIO.de