{"id":2462,"date":"2020-07-06T07:00:00","date_gmt":"2020-07-06T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2462"},"modified":"2020-07-27T07:26:35","modified_gmt":"2020-07-27T05:26:35","slug":"schwachstellen-management-mit-red-hat-insights","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/schwachstellen-management-mit-red-hat-insights\/","title":{"rendered":"Schwachstellen-Management mit Red Hat Insights"},"content":{"rendered":"\n

Nach der Einf\u00fchrung in Red Hat Insights<\/a> und dem Blick auf den Advisor<\/a> nehme ich in diesem Artikel das Schwachstellen-Management von Insights unter die Lupe.<\/p>\n\n\n\n

\"shows-rh-insights-dashboard\"<\/a>
Bild 1: \u00dcbersicht im Insights Dashboard<\/figcaption><\/figure>\n\n\n\n

Bereits das Dasboard zeigt eine Box namens Vulnerability. Bild 1 zeigt, dass wir offensichtlich von 13 Schwachstellen betroffen sind. Diese sehen wir uns jetzt n\u00e4her an. Dies geht wie \u00fcblich \u00fcber den Link in der Box oder im Men\u00fc am linken Rand.<\/p>\n\n\n\n

In der Vulnerability-Ansicht erwartet uns die gewohnte tabellarische Ansicht (vgl. Bild 2). Hier werden CVEs mit ihrer ID, dem Datum der Ver\u00f6ffentlichung, einer Bewertung des Impacts, dem CVSS base score und der Anzahl der betroffenen Systeme aufgef\u00fchrt. Dar\u00fcber hinaus hat man die M\u00f6glichkeit ein Business Risk und einen Status f\u00fcr ausgew\u00e4hlte oder alle CVEs zu vergeben (siehe gelbe Markierung in Bild 2).<\/p>\n\n\n\n

\"rh-insights-vulnerability-view\"<\/a>
Bild 2: \u00dcbersicht gefundener Schwachstellen mit Angabe von Impact, CVSS score und betroffener Systeme<\/figcaption><\/figure>\n\n\n\n

W\u00e4hrend man mit dem Business Risk festlegt, wie hoch man das Risiko einsch\u00e4tzt (vgl. Bild 3), hinterlegt man beim Status, wie mit der Behandlung der Schwachstelle(n) verfahren wird (siehe Bild 4).<\/p>\n\n\n\n

\"edit-vulnerability-business-risk\"<\/a>
Bild 3: Bewertung des Business Risk<\/figcaption><\/figure>\n\n\n\n
\"rh-insights-edit-vulnerability-status\"<\/a>
Bild 4: Mit Hilfe des Status kann der Bearbeitungsstand dokumentiert werden.<\/figcaption><\/figure>\n\n\n\n

Wie im Advisor erh\u00e4lt man auch hier zu jeder CVE-ID eine Detailansicht mit Beschreibung des CVE, Bewertung und \u00dcbersicht der Angriffsvektoren (siehe Bild 5), sowie Verweisen zur Wissensdatenbank von Red Hat, wo ausf\u00fchrliche Informationen rund um den CVE und existierende Erratas zu finden sind.<\/p>\n\n\n\n

\"rh-insights-cve-view-details\"<\/a>
Bild 5: Detailansicht eines ausgew\u00e4hlten CVE<\/figcaption><\/figure>\n\n\n\n

Bewertung des Schwachstellen-Managements<\/h2>\n\n\n\n

Stand heute betreiben wir kein aktives Schwachstellen-Management. Um ein gewisses Niveau an Sicherheit zu gew\u00e4hrleisten, nutzen wir ein Patchmanagement f\u00fcr RHEL<\/a>, welches ich aus Bordmitteln unter Nutzung der Ansible Engine entwickelt habe. Dieses sorgt daf\u00fcr, dass verf\u00fcgbare Red Hat Security Advisories einmal im Monat auf allen RHEL-Systemen zwangsinstalliert werden, sofern diese noch fehlen.<\/p>\n\n\n\n

Diesem Patch-Management ist es zu verdanken, dass auf den 13 angebundenen Testsystemen auch insgesamt nur 13 Schwachstellen gefunden wurden und darunter keine mit einem Score >= 8 gewesen ist.<\/p>\n\n\n\n

Unter den im Dashboard aufgef\u00fchrten Systemen waren Systeme einer Testinfrastruktur, die nicht an das zentrale Patchmanagement angebunden sind und nur unregelm\u00e4\u00dfig gepatcht werden. Insights hat mir hier vor Augen gef\u00fchrt, dass das Risiko viel zu gro\u00df ist, dass diese Systeme einfach vergessen werden. Deshalb wurden diese Hosts nun auch umgehend mit ins Patchmanagement aufgenommen.<\/p>\n\n\n\n

Deutlich interessanter finde ich, dass mich Insights auf die CVE-2018-12126<\/a>, CVE-2018-12127<\/a>, CVE-2018-12130<\/a> und CVE-2019-11091<\/a> aufmerksam gemacht hat.<\/p>\n\n\n\n

Diese Schwachstellen haben gemeinsam, dass sie sich nicht einfach durch die Installation eines Updates schlie\u00dfen lassen. Da es sich um virtuelle Maschinen (VM) auf einem vSphere-Cluster handelt ist eine Kombination von Ma\u00dfnahmen erforderlich, um die Schwachstellen zu mitigieren.<\/p>\n\n\n\n

In diesem konkreten Fall m\u00fcssen die betroffenen VMs lediglich einmal Aus- und wieder Eingeschaltet werden, da ein Teil der Mitigation in vSphere bereits vorhanden war. Dadurch werden neue CPU-Funktionen an das Gast-Betriebssystem propagiert und die Mitigation ist abgeschlossen.<\/p>\n\n\n\n

Leider muss ich eingestehen, dass diese Schwachstellen ohne Insights noch lange Zeit unentdeckt geblieben w\u00e4ren.<\/p>\n\n\n\n

Nun muss ich davon ausgehen, dass in unserer Umgebung noch weitere verwundbare Systeme existieren. Da ich diese nicht an Insights anbinden darf, werde ich diese mit einem von Red Hat bereitgestellten Skript<\/a> ausfindig machen. Das Red Hat eben solche Skripte zur Verf\u00fcgung stellt, um sich auch ohne Insights wirksam selbst helfen zu k\u00f6nnen, sch\u00e4tze ich an Red Hat sehr. Es gibt da drau\u00dfen noch einige Unternehmen, die diesem Beispiel ruhig folgen d\u00fcrfen.<\/p>\n\n\n\n

Pers\u00f6nlich halte ich aktives Schwachstellen-Management f\u00fcr sinnvoll. Nur durch kontinuierliche Kontrolle k\u00f6nnen Schwachstellen gefunden, bewertet und entsprechend behandelt werden. Gleichzeitig dient es der \u00dcberpr\u00fcfung, ob bzw. wie bereits getroffene Ma\u00dfnahmen zur strukturellen Verbesserung des Sicherheits-Niveaus (z.B. ein Patchmanagement<\/a>) wirken.<\/p>\n\n\n\n

\"\"
Bild 6: Alle erkannten Schwachstellen wurden geschlossen<\/figcaption><\/figure>\n\n\n\n

Bild 6 zeigt, dass gegenw\u00e4rtig keine offenen Schwachstellen mehr existieren. Dies sollte stets das Ziel sein.<\/p>\n\n\n\n

Mir selbst hat der Test des Schwachstellen-Managements Freude bereitet und die gefundenen Schwachstellen konnten innerhalb kurzer Zeit geschlossen werden.<\/p>\n\n\n\n

Der n\u00e4chste Artikel dieser Reihe wird sich dem Compliance-Service widmen.<\/p>\n\n\n\n

\n

Artikel aus dieser Serie<\/h2>\n\n\n\n
  1. Einf\u00fchrung in Red Hat Insights<\/a><\/li>
  2. Erkundung von Red Hat Insights — Advisor<\/a><\/li>
  3. Schwachstellen-Management mit Red Hat Insights<\/a><\/li>
  4. Red Hat Insights — Compliance<\/a><\/li>
  5. Red Hat Insights — Patch and Drift<\/a><\/li>
  6. Pers\u00f6nliche Bewertung von Red Hat Insights<\/a><\/li><\/ol>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

    Nach der Einf\u00fchrung in Red Hat Insights und dem Blick auf den Advisor nehme ich in diesem Artikel das Schwachstellen-Management von Insights unter die Lupe. Bereits das Dasboard zeigt eine Box namens Vulnerability. Bild 1 zeigt, dass wir offensichtlich von 13 Schwachstellen betroffen sind. Diese sehen wir uns jetzt n\u00e4her an. Dies geht wie \u00fcblich [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[52],"tags":[581,430,305,419,584,583],"class_list":["post-2462","post","type-post","status-publish","format-standard","hentry","category-cloud-dienste","tag-insights","tag-osbn","tag-planet","tag-red-hat","tag-schwachstellen-management","tag-vulnerability"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2462"}],"version-history":[{"count":12,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2462\/revisions"}],"predecessor-version":[{"id":2565,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2462\/revisions\/2565"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}