Schwachstellen Management
Allgemeines
Das Schwachstellen Management ist eine Softwarelösung, die es Ihnen ermöglicht, automatisch zuvor definierte Sicherheitslücken zu erkennen. Aufgrund der zunehmenden Bedrohungen im Internet, veraltete und nicht aktualisierten Programme vereint das Schwachstellen Management all diese Punkte und bietet eine zentrale Verwaltung an, den Problemen zuvorzukommen: Gefundene Schwachstellen in Ihrem Netzwerk werden übersichtlich gelistet und dargestellt und erlauben zusätzlich den Einblick in die einzelnen Clients, die von den Sicherheitslücken betroffen sind.
Das Schwachstellen Management ist vollständig in ACMP integriert und durchläuft dabei wesentlich drei Schritte: Der ACMP Server muss zunächst die Schwachstellendefinitionsdatei herunterladen bzw. aktualisieren. Anschließend muss der Schwachstellen Scanner auf dem Client laufen. Sobald der Scan gelaufen ist, werden die Funde an den ACMP Server übermittelt und stehen Ihnen zur weiteren Auswertung in ACMP zur Verfügung.
Die Einträge werden tabellarisch, in einem Grid, für Sie zusammengefasst. Dort finden Sie diverse Informationen zu der Schwachstelle (CVE ID und Bezeichnung), sowie den jeweiligen Schweregrad und wie viele Clients von der Sicherheitslücke betroffen sind.
Sehen Sie Handlungsbedarf für die Beseitigung der gefundenen Schwachstellen, können Sie nun dynamische Container erstellen, die dann mittels eines Client Commands, einer Windows Update Collection oder eines Managed Software Updates an die betroffenen Clients gesendet werden können. Alternativ dazu können Sie die gewünschte Aktion auch direkt an die betroffenen Clients schicken. Das Ziel des Schwachstellen Managements ist es, Ihnen mögliche Sicherheitslücken aufzuweisen, damit diese beseitigt werden können.
Was ist eine Schwachstelle?
Im ACMP-Kontext ist von einer Schwachstelle die Rede, wenn es sich um eine bekannte und öffentlich dokumentierte Sicherheitslücke innerhalb einer Soft- oder Hardware handelt. Die Datengrundlage basiert dabei auf dem CVE-System (Common Vulnerabilities and Exposures), welches sich nach dem US-amerikanischen Standard richtet und weltweit üblich ist. Die hier genannten Schwachstellen sind nach einem klaren Namensschema aufgebaut: Es setzt sich aus dem Präfix „CVE“, dem Jahr und der ID zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“).
Aufbau des Schwachstellen Managements
Das Plugin Schwachstellen Management besteht aus verschiedenen Reitern, angefangen mit dem Dashboard, in dem Sie relevante Informationen über die Schwachstellen in Ihrem Unternehmen übersichtlich zusammengefasst einsehen können (siehe „Das Dashboard im Schwachstellen Management). Im Reiter entdeckte Schwachstellen werden Ihnen sämtliche Sicherheitslücken aufgelistet, die auf mindestens einem Client in Ihrer Umgebung entdeckt wurden. Unter den global ausgeschlossenen Ausschlüssen finden Sie Schwachstellen, die gesamt (für alle bereits bekannten Funde und auch mögliche zukünftige) ausgeschlossen wurden. Dies betrifft die gesamte Schwachstelle. Lokale Ausschlüsse werden nur explizit für die selektierten Clients ausgeschlossen und nicht für alle.
Vorbereitungen für die Arbeiten im Schwachstellen Management
Um das Schwachstellen Management in Betrieb zu nehmen, sind ein paar Vorbereitungen erforderlich:
Vorkonfigurationen
| Gültige Lizenz | Stellen Sie sicher, dass Sie über eine gültige Lizenz für das Schwachstellen Management verfügen. Diese benötigen Sie auch, wenn Sie das Modul testen. Die Lizenz kann über den Vertriebsansprechpartner angefordert bzw. freigeschaltet werden. |
| Schwachstellen Scanner aktivieren | Standardmäßig ist der Schwachstellen Scanner bei der Inbetriebnahme von ACMP deaktiviert und muss daher aktiviert werden. Die Aktivierung des Scanners sollte generell im Agentenplaner (Client Management > Agentenplaner) durchgeführt werden, damit alle Clients gescannt werden. Navigieren Sie zu dem Bereich der Console und wählen Sie für das Betriebssystem Windows den Job Schwachstellen Scanner aus und öffnen Sie die Startbedingungen über einen Doppelklick. Setzen Sie einen Haken in der Checkbox Aktiviert und ändern Sie nach Bedarf die Startbedingung (Standard: Startintervall: einmal täglich). Alternativ dazu kann der Schwachstellen Scanner über die Abfrageverwaltung auch manuell für einzelne Clients ausgeführt werden.
Bedenken Sie, dass die Ausführung des Schwachstellen Scanners zu Last auf Ihren Systemen führt. Stellen Sie die Startbedingungen daher so ein, dass der Scanner nicht zu Zeiten mit einer generell hohen Belastung ausgeführt wird |
| Zugriff auf ein File Repository | Es ist außerdem erforderlich, dass die Clients, die nach Schwachstellen durchsucht werden sollen, Zugriff auf ein File Repository benötigen, welches den Inhalt der „Schwachstellendefinitionsdateien“ hat. Diese Dateien sind dafür verantwortlich, dass neue Sicherheitslücken in Ihrem System erkannt werden und die Liste synchronisiert wird. Stellen Sie zudem sicher, dass der ACMP Server mit dem Internet verbunden ist, um die Aktualisierungen herunterladen zu können. Überprüfen Sie hierfür die Freigabe der notwendigen URLs, um auf die Ressourcen zugreifen zu können. |
Achtung: Berechtigungen verteilen
Um für spätere Arbeiten im Schwachstellen Management vorbereitet zu sein, sollten Sie bereits vorab einmal die Berechtigungen der Benutzer überprüfen, ob diese korrekt sind. Öffnen Sie dafür die Berechtigungen der jeweiligen Benutzergruppe oder des Benutzers in der Benutzerverwaltung (System > Benutzerverwaltung). Navigieren Sie dafür zu der Wizardseite „Rechte des Benutzers“ > Security > Schwachstellen Management und setzen Sie die nötigen Haken in den Checkboxen. Um sämtliche Funktionen des Plugins nutzen zu können, sollten Sie also die Rechte vollständig vergeben (z.B. um später Schwachstellen auszuschließen oder diesen Ausschluss wieder rückgängig zu machen).
Nötige Berechtigungen für das Schwachstellen Management verteilen
Nachdem Sie die nötigen Vorarbeiten getätigt haben, können Sie mit der eigentlichen Arbeit beginnen. Navigieren Sie in das Schwachstellen Management (Security > Schwachstellen Management) und stellen Sie zunächst sicher, dass die Definitionsdateien aktuell sind. Klicken Sie dafür in der Ribbonleiste auf 
Schwachstellendefinitionsdatei aktualisieren. Die geplante Serveraufgabe wird in Kürze gestartet. Den Stand des Jobs können Sie direkt im Dashboard, im Widget Downloadstatistik, einsehen. Andernfalls liegen noch keine Daten vor und die Widgets bleiben leer.
Allgemeiner Hinweis zur Dauer des Downloads der Definitionsdatei: Je nach Auslastung des ACMP Servers sowie des SQL Servers kann das Aktualisieren der Definitionsdatei längere Zeit in Anspruch nehmen. Führen Sie während dieser Zeit einen Schwachstellen Scan durch, wird dieser in einem Fehler enden. Empfehlung: Prüfen Sie beim ersten Aktualisieren der Definitionsdatei im Taskmanager die CPU-Last des ACMP Server Dienstes und des SQL Server Dienst. Wenn die Auslastung beider Prozesse sich wieder normalisiert hat, sind die Definitionen vollständig aktualisiert.
Das Dashboard im Schwachstellen Management
Das Dashboard im Schwachstellen Management besteht aus mehreren Widgets, die Ihnen gesammelt wichtige Informationen auf einem Blick liefern. Die Widgets sind standardmäßig folgende:
- Downloadstatistiken
- Alle Clients gruppiert nach Schweregrad
- Clients mit den meisten Schwachstellen
- Häufigste Schwachstellen
- Schwachstellen mit der höchsten Bewertung
Tipp: Wollen Sie Änderungen an der Darstellung oder Positionierung der Widgets vornehmen, können Sie dies anhand der dazugehörigen Anleitung erledigen.
Sind die Widgets bisher noch nicht mit Daten gefüllt, müssen Sie dafür ggf. die oben erwähnten, notwendigen Vorkehrungen noch treffen.
Übersicht der Widgets im Schwachstellen Management Dashboard
| Widget | Beschreibung |
| Downloadstatistiken | Die Downloadstatistiken im Schwachstellen Management bieten Ihnen Informationen dazu, wann das letzte Mal nach Updates gesucht wurde und wann der letzte Download der Definitionsdatei war. Bei der Suche nach Updates können nach der Zeitangabe unterschiedliche Statusmeldungen gelistet sein (z.B. „OK“, „Neuste Schwachstellendefinitionsdateien wurden bereits heruntergeladen“), die auch ggf. auf eine Fehlermeldung hindeuten können. Dies kann zum Beispiel dann der Fall sein, wenn der Server nicht erreicht wurde und deshalb keine neue Datei eingespielt werden konnte. Klicken Sie dann nochmals in der Ribbonleiste auf Schwachstellendefinitionsdatei aktualisieren und warten Sie das neue Ergebnis hierzu ab. Beachten Sie, dass nur eine Datei heruntergeladen wird, sollte eine neue Version verfügbar sein. Anhand der festgelegten Startbedingung in den geplanten Serveraufgaben (System > Einstellungen > ACMP Server > Geplante Serveraufgaben) wird die Datei aktualisiert (Default: Starte alle fünf Stunden). Stoßen Sie während der Arbeitszeit manuell den Download an und es wird Ihnen die Meldung „Neuste Schwachstellendefinitionsdateien wurden bereits heruntergeladen“ angezeigt, so gab es noch keine Änderungen in der Datei und Sie sind auf dem neusten Stand. Wird dagegen eine Datei im Laufe des Tages auf dem Update Server aktualisiert, wird sie mit dem nächsten Download neu eingespielt. |
| Alle Clients gruppiert nach Schweregrad | In diesem Widget werden Ihnen alle Clients, gruppiert nach den gefundenen Schweregraden, angezeigt. Sie können sich diese Angaben detailliert in einer Abfrage anzeigen lassen. Im Widget selbst werden die Ergebnisse in Form eines Tortendiagramms präsentiert. Die nebenliegende Legende zeigt farblich an, welche höchste Sicherheitslücke auf dem Client gefunden wurde und welche Gewichtung sie hat (siehe auch " |
| Clients mit den meisten Schwachstellen | Das Widget zeigt die Clients mit den meisten Schwachstellen an. Möchten Sie sich mehr Informationen und Details dazu ausgeben lassen, können Sie unten in der rechten Ecke auf Details in Abfrage anzeigen klicken. Die Abfrage öffnet sich in einem neuen Fenster. Wenn Sie in dem Balkendiagramm auf den Client klicken, können Sie von dort aus auch sich die individuellen Client Details anzeigen lassen. Dort bekommen Sie in dem Reiter Entdeckte Schwachstellen die individuell aufgelisteten Schwachstellen inklusive aller Details angezeigt. |
| Häufigste Schwachstellen | In diesem Widget sieht man die Schwachstellen, die in der gescannten Umgebung am häufigsten vorkommen. Die Ergebnisse hierzu werden anhand ihrer Häufigkeit gesammelt und tabellarisch angezeigt. Wie auch in den anderen Bereichen des Dashboards können Sie sich auch hier die Details dazu in einer Abfrage anzeigen lassen. |
| Schwachstellen mit der höchsten Bewertung | Das Widget zeigt Ihnen die Schwachstellen, sortiert nach der höchsten (CVSS) Bewertung, an. Standardmäßig erfolgt die Sortierung von hoch nach niedrig. Die Grid-Einträge lassen sich beliebig filtern, sortieren und gruppieren (siehe auch Kapitel Aufbau eines Grids in ACMP). Rufen Sie über Details in Abfrage anzeigen mehr Informationen zu den Ergebnissen auf. |
Eigenschaften der Felder im Schwachstellen Grid
Nachfolgend finden Sie die jeweiligen Erklärungen und Bedeutungen zu den Feldern, die Ihnen die Informationen im Grid zu den Schwachstellen zusammenfassen.
Hinweis:
Beachten Sie, dass die Verfügbarkeit der Eigenschaften davon abhängig ist, in welchem Reiter Sie sich befinden (beispielsweise sind „Schwachstellen Ausschluss Beschreibung“ und „Schwachstellen Ausschluss Erstellung von“ nur in den Reitern global/lokal ausgeschlossene Schwachstellen vorhanden und nicht unter Entdeckte Schwachstellen).
| Eigenschaft | Beschreibung |
| CVE ID | Die CVE ID ist eine global vergebene Kennung einer Sicherheitslücke. Diese setzt sich aus dem Präfix „CVE“, dem Jahr, in dem die Sicherheitslücke entdeckt wurde, sowie der Identifikationsnummer zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“). |
| Bezeichnung | Die Bezeichnung gibt die offizielle Nennung der Schwachstelle an. Oftmals sind dort auch die betroffenen Versionen gelistet sowie nochmals die CVE ID. |
| CVSS Schweregrad | Der Schweregrad wird in vier Kategorien der Schwachstelle eingeordnet: "Kritisch", "Hoch", "Mittel" oder "Niedrig". Tipp: Sollte ein Schweregrad im Grid mit „nicht verfügbar“ betitelt werden, wurde noch keine Einordnung vorgenommen. Der Schweregrad kann noch nachträglich durch das System neu eingeordnet werden. „Informativ“ sind Sicherheitslücken, die einen Schweregrad von Null (0) haben. |
| Produktnamen | Der Produktname gibt das jeweilige Produkt an, unter dem die Schwachstelle fällt (z.B. SQLite, Microsoft SQL Server). |
| Veröffentlichungsdatum | Das Veröffentlichungsdatum gibt das Datum an, an dem die Schwachstelle publik gemacht wurde (Datum und Uhrzeit). |
| Schwachstellen Containerpfad | Gibt den Pfad zum Container einer Schwachstelle an, sofern dieser generell hinterlegt wurde. Der Benutzer hat die Möglichkeit direkt aus den Schwachstellen heraus einen Container zu erstellen. Über einen solchen Container kann ggf. eine Gegenmaßnahme (z.B. zum Verteilen von Updates) eingeleitet werden. |
| Anzahl betroffener Clients | Gibt die Anzahl der betroffenen Clients an, wie viele von der Schwachstelle betroffen sind. Die Eigenschaft steht synonym für „Betroffene Clients“. |
| Schwachstellen Ausschluss Beschreibung | Unter diesem Eintrag finden Sie die Begründung für den Ausschluss einer Sicherheitslücke. |
| Schwachstellen Ausschluss Erstellung von | Es wird der Ersteller, der die Schwachstelle ausgeschlossen hat, angegeben. |
| Schwachstellen Ausschluss Erstellungszeitpunkt | Hier wird der Erstellungszeitpunkt festgehalten, wann der Ausschluss der Sicherheitslücke erfolgte. |
| Computer Name | Gibt den Computernamen wieder, auf dem die Schwachstelle gefunden wurde. |