Schwachstellen-Management via Cloud
Rapid7 insightVM
Das Marktschwergewicht Rapid7 stellt seine Lösungen als Module bereit, die Unternehmen zusätzlich zu ihrer Endpoint Security oder ihren Patch-Services nutzen können. Das umfangreiche Modul insightVM konzentriert sich auf das Schwachstellen-Management. Es bringt eine Menge Schnittstellen zu weiteren Modulen mit, etwa zu insightIDR für die Auswertung von Sicherheitsverstössen oder insightAppSec für den Sicherheitstest von Webanwendungen.
Via Endpoint Agent sammelt insightVM alle Informationen aus der gesamten IT-Infrastruktur und anderen Devices, die keine Installation von Agents zulassen wie IoT- oder Industrie-Geräte. Aber auch Cloud-Plattformen in AWS oder Azure sowie eine interne virtuelle Infrastruktur werden erfasst, gescannt und analysiert.
Alle gesammelten Daten laufen in dem für Security-Teams frei definierbaren Dashboard zusammen. Diese webbasierte Konsole lässt sich für alle Mitarbeiter je nach Technikverständnis definieren. So hat das Sicherheits-Team alle einzelnen Warnungen im Blick, während das Vorstandsmitglied nur den Gesamtzustand sieht.
Das Dashboard zeigt die gefundenen Schwachstellen an, bewertet sie mit den üblichen CVSS-Werten (Common Vulnerability Scoring System) und dokumentiert den weiteren Verlauf automatisch. Die gefährlichen oder kritischen Schwachstellen stehen somit immer gleich im Vordergrund. Bereits identifizierte Sicherheitslücken lassen sich auch bei neu auftretenden Quellen, etwa Clients oder Servern im Netzwerk, automatisiert schliessen. Das Auswertungssystem schlägt nach einem Fund auch das Vorgehen vor, um das Problem so schnell wie möglich zu beheben. Ist das einmal nicht möglich, lässt sich eine Kompensationskontrolle setzen, die mit dem Network-Access Control-System (NAC), Firewalls und Endpoint-Detection-and-Response-Tools kommuniziert.
In der Regel gibt es bereits nach kurzer Zeit einen Patch des Betriebssystem-Anbieters beziehungsweise der Software- und Hardware-Hersteller. Weniger kritische Lücken fasst das System zusammen und schlägt eine automatisierte Abarbeitung vor. Somit können Hunderte einfache, gleiche Lücken im Netzwerk mit einem Klick gefixt werden. In einem Forschungsprojekt namens Project Sonar sucht Rapid7 das Internet ständig nach neuen Sicherheitslücken ab und wertet Attacken aus. Die Erkenntnisse daraus fliessen dann auch gleich in insightVM ein.
Über interne Regeln lassen sich Sicherheitsziele definieren. So darf die Bearbeitungszeit für Schwachstellen bei Produktions-Servern nur 24 Stunden betragen. Auf diese Weise können definierte Service-Level-Vereinbarungen eingehalten und auch dokumentiert werden.