Mit VUM („Vulnerabilitäts-Management“, also Schwachstellen-Management) gibt es nun einen integrierten Schwachstellenscanner für Aagons Client-Verwaltungslösung ACMP. LANline untersuchte im Praxistest, was das Scanwerkzeug leistet und welchen Vorteil die Integration der Einzelkomponenten im Vergleich zu einer eigenständigen Lösung bietet.

Aagon hat den Open-Source-Schwachstellenscanner Ovaldi, der üblicherweise nur XML-Dateien als Ergebnis generiert, unter dem Namen VUM in die Management-Suite ACMP integriert und mit Zusatzdaten angereichert. Basis der Untersuchung ist das CVE-Verzeichnis (Common Vulnerabilities and Exposures). Im Gegensatz zu einem einfachen WSUS-Scan führt CVE auch eine große Anzahl von Nicht-Microsoft-Produkten. Die vom Scanner gesammelten Daten interpretiert ACMP; so kann der Administrator nach Sichtung der Informationstexte entsprechende Gegenmaßnahmen auf den Weg bringen, beispielsweise über die Aagon-eigenen Client Commands.

ACMP ist ein modular aufgebautes Client-Lifecycle-Management-System für die Aufgabenstellungen der täglichen IT-Administration. Für den Einsatz des Schwachstellen-Managements ist das Modul ACMP Inventory erforderlich. Zur Inventarisierung verteilt die Software eine Agentenkomponente auf jeden Client-Computer. Dieser Agent hält die Kommunikation zwischen dem lokalen Computer und dem ACMP-Server aufrecht und liefert in einstellbaren Intervallen Inventurinformationen an den ACMP-Server. Mehr als 150 Hardwaredaten und sämtliche Detailinformationen von Windows stehen dem Administrator so zur Verfügung. Ein alternativer Scanner, der sogenannte „One Scan Client“, bietet sich an, sofern der Administrator keine dauerhafte Installation eines Scanners wünscht. Dieser wird lediglich einmal auf dem Zielrechner gestartet und übermittelt dann Informationen an den ACMP-Server. ACMP baut dazu auf Standardprotokolle wie WMI (Windows Management Instrumentation) und SNMP (Simple Network Management Protocol).

Zu zahlreichen Schwachstellen findet der Administrator weiterführende Informationen in der Beschreibung sowie Links zur Problemlösung.

Für das Schwachstellen-Management gibt es keine separaten oder eigenständigen Installationsdateien. Das Modul wird über den „Active Update“-Vorgang in ACMP automatisch installiert und per Lizenzschlüssel freigeschaltet. Erlischt die Gültigkeit der Lizenz, verliert das Modul jedoch nicht automatisch seine Funktionalität. Updates für die CVE-Basis sind jedoch an eine gültige Lizenz gebunden. Direkt nach der Installation ist der Scanner zunächst deaktiviert. Das Freischalten ist durch einen Klick im „Agentenplaner“ im Abschnitt „Client Management“ zügig erledigt. Alle Client-Systeme, die nach Schwachstellen suchen, benötigen Zugriff auf ein File Repository, das den Inhalt der Definitionsdatei speichert.

Problemlose Einrichtung

Die ACMP-Client-Software aktiviert den Schwachstellenscan gemäß den vom Administrator gewählten Einträgen im Zeitplaner. Der Scheduler ermöglicht dabei alle Zeitvarianten mit dynamischen oder festen Zeitpunkten, aber auch ein bestimmtes Datum für den Start der Agentensoftware oder auch „So bald wie möglich“. In der Anfangsphase will der Administrator sicher zügig Ergebnisse sehen. Langfristig handelt es sich beim Schwachstellenscan jedoch nicht um eine Tätigkeit wie die Aktualisierung der Antiviren-Pattern, stündliche Untersuchungen sind also kaum vonnöten. Hier empfiehlt sich eher ein Wochen- oder Tagesrhythmus.

Wir testeten die Software unter Windows Server 2016, Windows 10 und Windows 8.1 und konnten im Rahmen unserer Betrachtung keinerlei besondere Auffälligkeiten feststellen. Der Scanner analysierte die Maschinen zu den anvisierten Zeitpunkten und lieferte verlässliche und nachvollziehbare Ergebnisse. Ein Scanvorgang von Ovaldi geht allerdings mit einer spürbaren Systemlast einher. In unseren Tests nutzte der Scanner stets einen der verfügbaren Cores komplett für seine Untersuchung. Auf älteren Servern und Client-Rechnern mit wenigen Kernen kann es also zu spürbaren Verzögerungen kommen.

Die Anzahl gefundener Lücken war im Test erschreckend: Auf einem nicht aktualisierten Test-PC mit Windows 8.1, älterem Open-Office-Paket, Firefox und einem in die Jahre gekommenen Adobe Acrobat Reader ermittelte VUM mehr als 1.000 Sicherheitslücken. Allein durch Updates für Microsoft Windows und eine Aktualisierung von Firefox sank die Anzahl der Lücken schon auf unter 100. Dieses Ergebnis erreichten wir bereits, ohne überhaupt die erweiterten Fähigkeiten von ACMP für die Softwareverteilung zu nutzen.

Aagons Vulnerabilitäts-Management (VUM), basierend auf dem Open-Source-Scanner Ovaldi, ist komplett in die ACMP Management Suite integriert.

Die CVE-Liste kommt mit einem Scoring-Wert. Dieser hilft dem Administrator, die Relevanz einer Lücke einzuschätzen. Eine Risikobewertung mit zehn Punkten sollte bei Administratoren und IT-Sicherheitsexperten sofortiges Handeln auslösen, während ein Wert von fünf oder weniger auf ein mittleres oder geringes Risiko hinweist. VUM stellt die Daten in Kuchen- und Balkengrafiken mit selbsterklärendem Farbsystem dar. Das Programm bietet Drilldowns bis in die Client-Detaildaten. In der tabellarischen Auflistung der Risiken findet der Administrator neben der Bezeichnung, der CVE-ID und dem Punktwert auch die Anzahl der betroffenen Clients. Bewaffnet mit diesen Informationen kann er einen Plan erarbeiten, welche Risiken zunächst zu mindern sind. Praktischerweise stehen in den CVE-Dialogen häufig konkrete Handlungsanweisungen, wie man die jeweilige Lücke schließt.

Automation und ihre Grenzen

Client Commands sind das Herzstück zur Automation in ACMP. Softwareverteilung, Änderungen in der Konfiguration oder Dateioperationen führt der IT-Verantwortliche über diese Kommandofolgen aus. Hinter den Client Commands steckt eine recht einfach zu erlernende Skriptsprache, die der Administrator in einem grafischen Editor „zusammengeklickt“. Eine Integration oder ein Aufruf bereits vorhandener Skripte, beispielsweise von Delphi-, Java- oder VBScript-Kommandos, ist ebenfalls möglich.

Client Commands

Mit Client Commands kann der Administrator zum Beispiel die automatische Aktualisierung von Mozilla Firefox auf Zielrechnern realisieren. Mit einer zweiten Struktur in ACMP erreicht er einen komplett automatischen Ablauf: Container. Dabei handelt es sich um die Ergebnisse frei definierbarer dynamischer Abfragen. Beispielsweise kann der Benutzer des Schwachstellen-Managements mit einem Mausklick einen Container anlegen, der alle Clients enthält, die eine Lücke mit einer bestimmten CVE-ID aufweisen. Praktischerweise sind Container dynamisch – taucht in ein paar Wochen wieder ein System mit der Lücke auf, greift die Regel auch dann.

Viele Probleme kann der Administrator recht einfach lösen. Heißt eine Sicherheitslückengruppe beispielsweise „A use-after-free vulnerability in Adobe Flash Player 28.0.0.137 and earlier versions – CVE-2018-4877“, liegt die Lösung auf der Hand. Die Installation eines neueren Flash-Players oder die komplette Deinstallation der gemeinhin als unsicher verschrienen Browser-Erweiterung würde die Lücke schließen.

Problematischer sind in der Praxis Meldungen wie CVE-2017-5448, „Out-of-bounds write in ClearKeyDecryptor“, denn dann ist zunächst festzustellen, welche Programme überhaupt von der Schwachstelle betroffen sind. Hier gilt es für den Administrator, Detektivarbeit zu leisten und möglicherweise über Referenzsysteme im Ausschlussverfahren zu arbeiten. Möglicherweise fällt den Entwicklern in Zukunft noch eine Variante ein, bei der das Drilldown bis zum Programm oder zur DLL-Datei selbst führt. Der weiterführende Link zu einer Schwachstelle hilft dem Administrator zumindest beim adäquaten Lösungsansatz.

Zudem können Lücken auftreten, die der Administrator nicht schließen kann, etwa weil ein Hersteller kein Update (mehr) zur Verfügung stellt oder eine veraltete Software im Tagesbetrieb nicht ersetzbar ist. In diesen Fällen könnte sich der Administrator daran gewöhnen, dass die Software immer den Hinweis „große Gefahr“ im Dashboard bringt. Mit wenigen Mausklicks kann er jedoch selektierte Schwachstellen für einzelne Computer oder Server ausschließen oder gar einen globalen Ausschluss definieren. VUM listet diese Ausschlüsse in Übersichtsregistern auf, dort kann man sie auch wieder deaktivieren.

Berichtswesen und Preis

ACMP verwendet eine integrierte Reporting Engine, die den Suchergebnissen eine gute Optik verleiht und aus den reinen Daten und Zahlen der Inventarisierung und des Schwachstellen-Managements Tabellen und verständliche Diagramme erzeugt. Der Report-Designer gibt dem Administrator oder IT-Security-Beauftragten ausreichende Anpassungsmöglichkeiten. Wie bei allen Programmen der ACMP-Suite liefert Aagon einige Auswertungen als Vorlage mit. Ausgestattet mit einer Kuchengrafik und einer Liste mit Computernamen, Gesamtschwachstellenzahl, Zeitstempel und höchstem Risikograd ist schon mit einigen Mausklicks eine Basisauswertung möglich. Wer mehr Details wünscht, beispielsweise mit einer Auflistung der Applikationen, muss dies in Handarbeit vorbereiten.

Der Ovaldi-Scanner erzeugt bei seiner Untersuchung eine deutliche Systemlast.

Gemeinsam mit dem notwendigen Inventory-Programm liegt der Preis für 250 VUM-Lizenzen bei rund 3.000 Euro. Eine automatisierte Reaktion auf Funde erfordert das Zusammenspiel mit dem Programm Desktop Automation. Dies summiert sich auf knapp 10.000 Euro zuzüglich Wartungskosten für 250 Lizenzen.

Wer auf der Suche nach einer integrierten Schwachstellenanalyse für die Windows-Plattform in Zusammenspiel mit einer leistungsfähigen Automationslösung ist, sollte sich ACMP mit VUM einmal näher anschauen. Sicherheitsüberprüfungen von Unix-, macOS- oder Linux-Maschinen sind mit der Lösung jedoch nicht möglich.

Schwachstellenanalyse und automatisierte Reaktion

Das Reporting, das Dashboard mit Drilldown-Möglichkeit und die Integration der CVE-basierten Handlungsempfehlungen unterstreichen ein insgesamt positives Ergebnis. Aagon verstärkte übrigens unlängst seine Aktivitäten im Bereich Security und stellte zudem eine integrierte Management-Konsole für die Antivirenlösung von Avira vor.

Firmen-Info
Aagon

Tel.: 02921/789200

Web: www.aagon.de