ComputerBase
Aktuelles

Wulnerabiliy Management

Status
Für weitere Antworten geschlossen.
I

ITninja

Cadet 1st Year
Registriert
Apr. 2019
Beiträge
12
Hallo Zusammen,

Ich bin dabei in das Projekt Wulnerability Management einsteigen zu wollen.
Hat wer Erfahrungen damit?
Was erwartet mich alles..ich weiß dass es viel administatives mit sich bringt?
Wäre für jeden dankbar wer mit mir einsatzweise seine gemachte Erfahrung teilen möchte.

Danke

BG
ITninja
 
Vulnerability Management ist kein Projekt, es ist eigentlich genau das Gegenteil davon.

Da es um (Software-) Schwachstellen geht, hängt es sehr vom jeweiligen Umfeld ab, was genau gemacht wird. Letztendlich ist das Ziel die Schließung/Entfernung von Schwachstellen, die ausgenutzt werden können, um unberechtigt auf schützenswerte Daten zuzugreifen. Von der Inventarisierung über Penetrationstests zu Schadensregulierung ist da sehr viel dabei.
Was genau heißt also "einsteigen"? Beruflich, als persönliche Weiterbildung, Hobby, ...?
 
  • Gefällt mir
Reaktionen: ITninja und FranzvonAssisi
Lese ich das richtig?
Du @ITninja willst 50.000 Clients "managen"?
Warum schreibst Du das nicht auch hier?

Abgesehen davon ist das ein strammes Vorhaben vor Ostern. ;)

BFF
 
Zuletzt bearbeitet: (Typo)
  • Gefällt mir
Reaktionen: konkretor, ReignInBlo0d und BalthasarBux
Hallo,

Ich arbeite in einem sehr großem Unternehmen...das kommt auf uns zu...

Bitte nur kommentieren wenn du mit mir deine Erfahrungen teilen möchtest!!!!!

BG
Ergänzung ()

BFF schrieb:
Kann nix ueber dieses Projekt "Wulnerability Management" finden. ;)

Meist Du eventuell "Vulnerability Management"? Das ist kein Projekt.

Wenn Du Dich persoenlich damit beschaeftigen willst, fang hier an.
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Tools/OpenVAS/OpenVAS_node.html

BFF
Zum Vergrößern anklicken....

Hallo,

Ich suche Leute die sich damit bereits beschäftigen....

BG
 
Vernünftiges und brauchbares Vulnerability Management ist bei weitem viel mehr als nur 1337-hax0r-Kali oder openVAS.
Das suchen nach Schwachstellen und regelmäßige Pentests sind da nur ein kleiner Teil.
Um gefundene oder bekannte Schwachstellen zu fixen muss man idR wissen, was man alles hat > asset management/inventory.
Daraus ergibt sich ein Patchmanagement.
Was übersehen wurde oder unsichere Config wird dann durch Scanner und Pentests gefunden.
Des Weiteren gibt es das SecDev Hardening Framework (https://dev-sec.io/) und haufenweise andere security best practices für alle möglichen Betriebssysteme und Anwendungen als auch sonstiger Infrastruktur wie Router, Switche, Firewalls, Server-Management-Ports (ipmi, ilo, idrac, etc).
Gesetzte Härtungsmaßnahmen sollten überwacht werden auf Einhaltung (entweder durch regelmäßige Umsetzung per "Zwang", z.B. per GPOs oder Puppet o.ä.) oder Monitoringlösungen.

All dies muss regelmäßig angepasst werden denn IT ist ja nicht in Beton gegossen und stets im Wandel.

Die ganzen Kali-Hax0r übersehen dabei leider oft, dass die meisten Securityprobleme heute größtenteils durch Configfehler oder Vergesslichkeiten entstehen. Die letzten Audits die ich mitbekam oder begleitet habe kamen mit shodan, google, bing und curl aus ;)
Die meisten gefundenen Treffer bei einem OpenVAS sind nicht geänderte Standardkennwörter oder veraltete Software.

edit: Wem das alles nicht reicht, schafft sich dann noch ein SIEM an. Da kannst zentral Logs sammeln und korrelieren, Anomalien erkennen (nachdem du wochenlang die false-positives heraus gefiltert hast und eine vernünftige Baseline des Hintergrundrauschens des Netzwerks erstellt hast), regelmäßig die Ergebnisse von Vulnerability Scans einsehen wo sich im besten Fall nach einiger Anfangszeit eine sinkende Anzahl Incidents ergeben sollte.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: abcddcba, sebbolein, ITninja und 2 andere
Naja du musst ein bisschen mehr Infos geben?! Bzw. kann dir da niemand wirklich helfen hier im Forum, weil es echt dämlich wäre, wenn du jetzt hier die (IT-)Struktur der Firma preisgibst - dann hat der Hacker nur noch die Hälfte der Arbeit zu tun :D

Vulnerability Management zählt zum Risikomanagement.

Meistens setzt du Software dafür ein. Bekannte Firmen sind z.B. Symantec & Accenture.

Der erste große Schritt ist meistens Nutzer aufzuklären, zu schulen (-> Social Engineering).

Lg
 
  • Gefällt mir
Reaktionen: ITninja
Und dann was tun? Deine Arbeit machen? Mit Dir hier per Chat eine Loesung suchen fuer irgendwas? Was?
Warum kommt das jetzt erst auf Euch zu? Habt ihr bisher nix gemacht?

Wenn Du noch nix von dem was Du tun willst gemacht hast, beschaeftige Dich damit. Greif Dir passende Unterlagen und arbeite Dich ein. Bei 50K Clients gehe ich davon aus, das Du nicht der Einzige bist der da mitmacht. Setzt Euch zusammen. Nimm den Datenschuetzer und die Arbeitnehmervertreter mit dazu.

@snaxilian hat es schon geschrieben, es ist einiges mehr was dazu gehoert.
Spart mir das tippen. Danke. :)

@ITninja lies mal die Antworten in Deinem anderen Thread.

BFF
 
  • Gefällt mir
Reaktionen: snaxilian
BFF schrieb:
Lese ich das richtig?
Du @ITninja willst 50.000 Clients "managen"?
Warum schreibst Du das nicht auch hier?

Abgesehen davon ist das ein strammes Vorhaben vor Ostern. ;)

BFF
Zum Vergrößern anklicken....
snaxilian schrieb:
Vernünftiges und brauchbares Vulnerability Management ist bei weitem viel mehr als nur 1337-hax0r-Kali oder openVAS.
Das suchen nach Schwachstellen und regelmäßige Pentests sind da nur ein kleiner Teil.
Um gefundene oder bekannte Schwachstellen zu fixen muss man idR wissen, was man alles hat > asset management/inventory.
Daraus ergibt sich ein Patchmanagement.
Was übersehen wurde oder unsichere Config wird dann durch Scanner und Pentests gefunden.
Des Weiteren gibt es das SecDev Hardening Framework (https://dev-sec.io/) und haufenweise andere security best practices für alle möglichen Betriebssysteme und Anwendungen als auch sonstiger Infrastruktur wie Router, Switche, Firewalls, Server-Management-Ports (ipmi, ilo, idrac, etc).
Gesetzte Härtungsmaßnahmen sollten überwacht werden auf Einhaltung (entweder durch regelmäßige Umsetzung per "Zwang", z.B. per GPOs oder Puppet o.ä.) oder Monitoringlösungen.

All dies muss regelmäßig angepasst werden denn IT ist ja nicht in Beton gegossen und stets im Wandel.

Die ganzen Kali-Hax0r übersehen dabei leider oft, dass die meisten Securityprobleme heute größtenteils durch Configfehler oder Vergesslichkeiten entstehen. Die letzten Audits die ich mitbekam oder begleitet habe kamen mit shodan, google, bing und curl aus ;)
Die meisten gefundenen Treffer bei einem OpenVAS sind nicht geänderte Standardkennwörter oder veraltete Software.

edit: Wem das alles nicht reicht, schafft sich dann noch ein SIEM an. Da kannst zentral Logs sammeln und korrelieren, Anomalien erkennen (nachdem du wochenlang die false-positives heraus gefiltert hast und eine vernünftige Baseline des Hintergrundrauschens des Netzwerks erstellt hast), regelmäßig die Ergebnisse von Vulnerability Scans einsehen wo sich im besten Fall nach einiger Anfangszeit eine sinkende Anzahl Incidents ergeben sollte.
Zum Vergrößern anklicken....
Hi Snaxilian,
Danke erstmal für deine Antwort.
Genau das alles habe ich mir vorgestellt.
Das hast du sehr schön beschrieben.
Es kann es keiner von uns einschätzen wss die eingesetzte Software ud wieviel an incidents melden wird.
Danke dir
BG
 
BFF schrieb:
Und dann was tun? Deine Arbeit machen? Mit Dir hier per Chat eine Loesung suchen fuer irgendwas? Was?
Warum kommt das jetzt erst auf Euch zu? Habt ihr bisher nix gemacht?

Wenn Du noch nix von dem was Du tun willst gemacht hast, beschaeftige Dich damit. Greif Dir passende Unterlagen und arbeite Dich ein. Bei 50K Clients gehe ich davon aus, das Du nicht der Einzige bist der da mitmacht. Setzt Euch zusammen. Nimm den Datenschuetzer und die Arbeitnehmervertreter mit dazu.

@snaxilian hat es schon geschrieben, es ist einiges mehr was dazu gehoert.
Spart mir das tippen. Danke. :)

@ITninja lies mal die Antworten in Deinem anderen Thread.

BFF
Zum Vergrößern anklicken....
Hi,
klar dass ich mich damit bereits beschätige..und 50 andere noch...und es mir klar und will hier die it security nicht neu erfinden. Allerdings verstehe ich nicht warum du so viele Fragen stellst!
Möchte nur Erfahrungen teilen.

BG
Ergänzung ()

Danke euch allen,
Bin für jeden Kommentar dankar.
Schöne Ostern noch
BG
 
Zuletzt bearbeitet:
ITninja schrieb:
Allerdings verstehe ich nicht warum du so viele Fragen stellst!
Möchte nur Erfahrungen teilen.
Zum Vergrößern anklicken....

Weil das kein triviales Thema ist und wie schon gesagt wurde von mehr als einer Handvoll Aspekten abhängt.
Zum anderen willst Du doch Erfahrungen sammeln, weil du zum Teilen keine eigenen hast.

Sorry, wenn das OT daherkommt, aber für solche systemkritischen Dinge geben Unternehmen nicht umsonst viel Geld aus für eine eigene IT-Abteilung bzw externe Firmen, um das durchzuführen.
Was soll das Forum eigentlich noch alles kostenlos machen, das komplette BSI ersetzen?
 
Fuer mich unklar warum in der Firma dafuer nicht Menschen mit Kernkompetenz auf dem Gebiet dann eingestellt werden, oder man externe Firmen beauftragt, die im Idealfall dann auch Schulung von in-house Personal anbieten. Aber gut, kostet wohl Geld und man spart evtl. nicht immer am richtigen Ende. Hat jeder von uns sicherlich schon erlebt.
Dann viel Erfolg mit diesem komplexen aber auch spannenden Thema!
 
  • Gefällt mir
Reaktionen: Fragger911
Und das ist kein Hausaufgabenforum.
Hier fragt ja auch keiner: "Was ist Quantenmechanik? Ich würde gerne dozieren."...
Du musst dich nicht wundern.
(Das war erneut keine Erfahrung, sorry, aber alles hier bisher geschriebene ist nicht ganz falsch.)
Ein Schwachstellenmanagement (mit dem viele Bereiche zu tun haben) beschreibt den Prozess von Entweder dem Entdecken einer Schwachstelle oder dem gemeldet bekommen einer Schwachstelle (z.B. vom BSI) bis hin zum Umgang damit.
Dazu sind viele Dinge zu bedenken. Ist die Schwachstelle gravierend? Wie gravierend für uns? Hat der potentielle fix einen negativen Impact auf meine business applications? (Beispiel wäre hier ein stark ausgelasteter DB-Server und Spectre/Meltdown-"fixes".)
Ist der negative impact auf meine application finanziell gravierender als der worst case, d.h. ein Ausnutzen der Schwachstelle?
(Denn es geht hier um Geschäftsprozessprioritäten!!! Das beantwortet sich für einen Provider, der Daten vorhält, komplett anders als für eine Hotline! Beim Einen sollte die Datensicherheit ganz oben stehen, beim Anderen vermutlich die Diensteverfügbarkeit!)
Ist der Fix kompatibel zu meiner Landschaft? Geht danach etwas komplett nicht mehr? Gibts ein Rollback-Szenario? Wenn ja, wie lange bis zum desaster recovery?
Ich kann noch hunderte derartige Abwägungen in den Raum werfen, die sich alleine auf ein CISCO-NETZWERKKOMPONENTEN-Schwachstellenmanagement beziehen... Da stecken Erfahrungen in den Fragen.
Aber ganz ehrlich... Das lernt man nicht mal so. Da braucht man Leute, die wissen was sie machen in ihrem Bereich. Und viele bei der Clientmenge...
Ich bin echt entrüstet.
Und jetzt... bin ich raus.
 
Zuletzt bearbeitet: (Deutsch und so...)
  • Gefällt mir
Reaktionen: snaxilian, Bob.Dig, Fragger911 und 2 andere
den bock zum gärtner gemacht? ich drück‘ dir die daumen!
 
  • Gefällt mir
Reaktionen: Bob.Dig
Fragger911 schrieb:
Weil das kein triviales Thema ist und wie schon gesagt wurde von mehr als einer Handvoll Aspekten abhängt.
Zum anderen willst Du doch Erfahrungen sammeln, weil du zum Teilen keine eigenen hast.

Sorry, wenn das OT daherkommt, aber für solche systemkritischen Dinge geben Unternehmen nicht umsonst viel Geld aus für eine eigene IT-Abteilung bzw externe Firmen, um das durchzuführen.
Was soll das Forum eigentlich noch alles kostenlos machen, das komplette BSI ersetzen?
Zum Vergrößern anklicken....
Morgen...warum beurteilst du? du hast keine Ahnung wer ich bin uns was ich mache?
Dieses Forum ist lustig....jede will mitschreiben auch wenn es keinen Wert zum Thema..sags mir mal wie kann ich solche wie dich vom Kommentieren sperren. Du belästigst mich nur
Ergänzung ()

Merle schrieb:
Und das ist kein Hausaufgabenforum.
Hier fragt ja auch keiner: "Was ist Quantenmechanik? Ich würde gerne dozieren."...
Du musst dich nicht wundern.
(Das war erneut keine Erfahrung, sorry, aber alles hier bisher geschriebene ist nicht ganz falsch.)
Ein Schwachstellenmanagement (mit dem viele Bereiche zu tun haben) beschreibt den Prozess von Entweder dem Entdecken einer Schwachstelle oder dem gemeldet bekommen einer Schwachstelle (z.B. vom BSI) bis hin zum Umgang damit.
Dazu sind viele Dinge zu bedenken. Ist die Schwachstelle gravierend? Wie gravierend für uns? Hat der potentielle fix einen negativen Impact auf meine business applications? (Beispiel wäre hier ein stark ausgelasteter DB-Server und Spectre/Meltdown-"fixes".)
Ist der negative impact auf meine application finanziell gravierender als der worst case, d.h. ein Ausnutzen der Schwachstelle?
(Denn es geht hier um Geschäftsprozessprioritäten!!! Das beantwortet sich für einen Provider, der Daten vorhält, komplett anders als für eine Hotline! Beim Einen sollte die Datensicherheit ganz oben stehen, beim Anderen vermutlich die Diensteverfügbarkeit!)
Ist der Fix kompatibel zu meiner Landschaft? Geht danach etwas komplett nicht mehr? Gibts ein Rollback-Szenario? Wenn ja, wie lange bis zum desaster recovery?
Ich kann noch hunderte derartige Abwägungen in den Raum werfen, die sich alleine auf ein CISCO-NETZWERKKOMPONENTEN-Schwachstellenmanagement beziehen... Da stecken Erfahrungen in den Fragen.
Aber ganz ehrlich... Das lernt man nicht mal so. Da braucht man Leute, die wissen was sie machen in ihrem Bereich. Und viele bei der Clientmenge...
Ich bin echt entrüstet.
Und jetzt... bin ich raus.
Zum Vergrößern anklicken....
Danke...allerdings warum können die Leute in diesem Forum nicht ohne einer negativen Ladung sprechen...mit deinem Kommentar hast du Negatives entladen.

So was erlebte ich noch nie...keiner zwingt dich dazu...
 
Zuletzt bearbeitet:
Der Grund ist dem Post zu entnehmen... Und deinem Anspruch ggü. Forenmitgliedern. Wir sind keine angestellten hier. Und dein Ton, die Meinungen der Leute wegwischen zu wollen und eine fachliche Beratung zu erwarten, dieses entitlement, löst das vielleicht auch mit aus ;)
Wenn man so beraten werden möchte braucht man kein Forum, sondern einen Dienstleister.
Dem kann man sagen: "Ist mir latte, ob du denkst ich bin nicht qualifiziert. Mach deinen Job und berate mich."
Wenn du es nach der Ausführung nicht verstanden hast ist es so oder so nicht sinnig, weiter zu diskutieren.
 
  • Gefällt mir
Reaktionen: BalthasarBux, BFF, krsp13 und 2 andere
Hab eine ganz normale Frage gestellt..und wollte mich nur mit den anderen IT Security ninjas hier austauschen. Aber die Tanten wolle über das Leben reden....das verstehe ich nicht..
 
Deine Frage hinterlässt den eindeutigen Eindruck,dass du von Tuten und Blasen keine Ahnung hast.


Also sag uns doch mal deinen Hintergrund und deinen aktuellen Stand.

Was machst du genau beruflich?

Wieso sollst du so ein "Projekt" managen aber fragst dafür in einem Computerforum nach?
 
  • Gefällt mir
Reaktionen: BFF, Bob.Dig und Fragger911
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

K
Memtest86 wegen stop code Memory Management
Antworten
17
Aufrufe
434
eYc
eYc
Frank
News Matter 1.4 startet: Bessere Interoperabilität und Management von Solar und Wärmepumpen
Antworten
8
Aufrufe
1.250
riloka
R
M
IronWolf Health Management ohne NAS auslesen
Antworten
2
Aufrufe
343
Banned
Banned
Rikotto
Monitor Management bei 3 Monitoren
Antworten
7
Aufrufe
840
Rikotto
Rikotto
IchbinbeiCB
Kubernetes Management mit k9s cli aufm Windows
Antworten
4
Aufrufe
845
IchbinbeiCB
IchbinbeiCB
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz