Die Zeiten, in denen Angreifer Attacken lediglich über manipulierte Word-Makros durchführten, sind längst vorbei. Im Trend liegen Drive-By-Attacken, die den Browser, ein verwundbares Plug-in oder eine bekannte Schwachstelle in einem installierten Programm attackieren. Den meisten Angriffen gemein ist, dass sie größtenteils auf bekannte Schwachstellen setzen, für welche die Hersteller in den meisten Fällen bereits neue Programmversionen bereitstellen. Allerdings wird es in dem Wust der installierten Programme schnell unübersichtlich, welche Updates auf welchem System bereits eingespielt sind und wo sich noch gefährdete Programme befinden.
Der Sicherheitsanbieter Secunia will diesem Problem mit seinem Corporate Software Inspector eine passende Lösung entgegensetzen. Die Software, kurz CSI, überprüft die auf einem Computer installierten Programme auf Schwachstellen. Anders als die kostenlose Einzelplatzvariante Personal Software Inspectors (PSI) wird Secunia CSI zentral im Netzwerk installiert und kann alle Endpunkte im Netz von einer Stelle aus im Blick behalten. Nach erfolgreicher Überprüfung liefert CSI zu jedem PC eine Übersicht, welche Programme in welcher Version darauf installiert sind, und überprüft, ob es bereits eine aktuellere Variante gibt.
In der fünften Generation der Lösung kommen allerdings einige Neuerungen hinzu. Nicht nur das Design ist komplett überarbeitet, Secunia CSI kann nun neben Windows-PCs auch Mac-OS-X-Systeme unter die Lupe nehmen. Außerdem wurde die Integration in den WSUS, Microsofts Patch Management System, deutlich verbessert. Beispielsweise kann Secunia CSI nun über das Secunia Patch System eigene Pakete mithilfe des WSUS zur Verfügung stellen.
Installation und Funktionsweise
Der Secunia Corporate Software Inspector ist ein reines Windows-Programm. Glücklicherweise benötigt das Tool aber keine Serverumgebung, jedes Windows ab XP wird als Unterbau akzeptiert. Dazu muss der Internet Explorer mindestens in Version 7 installiert sein. Im Test kombinierten wir den CSI 5.0 mit dem IE9, auch hier kam es zu keinerlei Problemen. Neben dem eigentlichen Download des Programms benötigt man noch ein Konto bei Secunia. An dieses ist auch die Lizenz zum CSI geknüpft. Nach der Installation meldet man sich mit diesem Konto und dem entsprechenden Passwort bei der Software an; ist dies erfolgreich, kann man das Programm nutzen.
Die Software selbst sammelt generische Informationen zu allen installierten Programmen und gleicht diese Liste mit einer zentralen Datenbank bei Secunia ab. Der Hersteller verspricht dabei, dass keinerlei persönliche Daten erhoben und übertragen werden, sondern lediglich allgemein verfügbare Meta-Informationen der jeweiligen Programme ausgelesen, übertragen und verarbeitet werden. Details zu diesem Vorgang finden sich in diesem PDF-Dokument. Die Meta-Daten werden anschließend mit der Datenbank von Secunia abgeglichen, und der CSI erhält eine Liste mit erkannten Programmen, deren aktueller Versionsnummer und der Information, ob ein Update verfügbar ist.
Auswahl der Scan-Optionen
Die zentrale Installation des Secunia CSI kann Clients auf drei Arten überprüfen. Für fest im Netzwerk installierte PCs empfiehlt sich die Agent-Less-Lösung. Dabei greift CSI direkt auf den PC zu, scannt ihn über das Netzwerk und wertet die Informationen lokal aus. Der Vorteil ist, dass hierzu keine Software auf dem System installiert werden muss, zumindest solange folgende Voraussetzungen erfüllt sind:
-
Die Ports 139/TCP und 445/TCP müssen in der Firewall des Systems geöffnet sein und eingehenden Traffic zulassen.
-
Die Dateifreigabe an sich muss aktiviert sein, die Windows-Funktionen Einfache Freigabe müssen aber deaktiviert sein.
-
Auf dem System muss der Windows Update Agent in Version 2.0 oder höher installiert sein.
-
Der Nutzer, in dessen Rechtekontext Secunia CSI gestartet wurde, muss administrative Rechte auf dem Zielsystem besitzen.
-
Folgende Windows-Dienste müssen auf dem Zielsystem gestartet sein: Arbeitsstationsdienst, COM+-Ereignissystem, Remote-Registrierung und Server.
Sind diese Voraussetzungen alle erfüllt, lässt sich ein Scan des Systems in CSI über die Option "Remote Scanning Via CSI - Quick Scan" durchführen. Wahlweise kann man eine ganze IP-Range oder einzelne Clients überprüfen.
Die zweite Option beinhaltet die Installation eines Agenten auf dem Zielsystem. Das ist zudem die einzige Möglichkeit, wie man auch MacOS-X-Systeme in CSI einbinden kann. Die Agenten sind speziell an eine CSI-Konsole gekoppelt, die notwendigen Programme lassen sich über den Punkt "Scanning Via Local Agents - Download Local Agent" herunterladen, die entsprechende Datei nennt sich csia.exe.
Unter Windows wird der lokale Agent über eine Kommandozeile mit administrativen Rechten und dem Befehl csia.exe -i installiert. Über den zusätzlichen Schalter -L kann man bereits während der Installation den ersten Scan anstoßen. Eine Meldung in der Konsole informiert über den Fortgang der Installation. Ist der Dienst erfolgreich gestartet und kann mit dem Internet Kontakt aufnehmen, dauert es etwa 20 Minuten, bis der jeweilige PC in der CSI-Konsole sichtbar wird. Für die Internetverbindung muss in der Firewall der SSL-Port 443/TCP freigegeben sein.
Unter Mac OS X ist die Installation ein wenig komplizierter. Was auf den ersten Blick irritiert: Auch hier benötigt man den Windows-Client, dieser wird über das Terminal als Dienst eingerichtet. Den Download findet man, wie beim Windows-Agenten, in der CSI-Konsole. Im Terminal von Mac OS wechselt man mit su root in den Root-Modus. Unter Umständen muss man zunächst ein Root-Passwort mittels sudo passwd root definieren. Anschließend sollte der Befehl ./csia -i -L den Dienst unter MacOS X installieren und starten.
Eine Sonderform sind die Netzwerkagenten. Diese eignen sich vor allem für große Installationen, die mehrere Netzwerke umspannen. Ein jeder Netzwerkagent kann die jeweils lokalen Agenten steuern und deren Ergebnisse über die Secunia-Site zurück zur zentralen CSI-Installation senden.
Die dritte Möglichkeit ist die Integration von Secunia PSI. Der Personal Software Inspector greift im Grunde auf die gleiche Datenbank zu wie CSI. Da liegt es nahe, beide Programme zu verknüpfen. In CSI erledigt man dies, indem man eine sogenannte Link-ID erstellt. Mithilfe dieser ID identifiziert sich die Desktop-Software anschließend gegenüber dem CSI. Die Link-ID kann man von Hand in bereits installierte Versionen des PSI eintragen, oder man lädt eine entsprechend angepasste Version direkt aus dem CSI.
Im Test schlug der Agent-Less-Scan immer wieder fehl, die agentenbasierte Variante arbeitet dagegen einwandfrei. Die Nutzer merken nichts von den installierten Clients, während eines Scans erscheint weder eine Benachrichtigung im System Tray noch ein Scan-Fenster. Bemerkenswerte Leistungseinbußen im Laufe des Tests konnten wir auf den Clients nicht feststellen.
Scans auswerten und Berichte abrufen
Das Herzstück von Secunia CSI sind die Auswertungen der einzelnen Scans. Jeder erfolgreiche Scan eines Clients taucht automatisch in der Übersicht von CSI auf. Zu jedem Scan lässt sich ein Bericht aufrufen. Die erste Seite bietet einen allgemeinen Überblick über den jeweiligen Endpunkt und ein Kuchendiagramm mit den Informationen zu den jeweiligen Programmen.
Die wirklich wichtigen Informationen liefert aber der Reiter Scan Result. Dieser listet alle gefundenen und identifizierten Programme sowie die installierte Version auf. Wirklich interessant sind aber die Daten in den Spalten State, SAID und Criticality. State zeigt an, ob das jeweilige Programm sicher ist, ob es Updates gibt oder ob der Lebenszyklus bereits am Ende ist. Die SAID ist eine Seucnia-interne ID, die direkt zur Übersichtsseite des jeweiligen Tools führt. Hier sammelt Secunia alle bekannten Meldungen, die mit dem jeweiligen Status zusammenhängen. Criticality schließlich liefert eine Einschätzung darüber, wie gefährlich die jeweiligen ungepatchten Programme für die Systemsicherheit sind.
Alle am System angemeldeten Clients erscheinen im Unterpunkt Results. Admins können sich hier einen schnellen Überblick über die Hosts und deren durchschnittliche Sicherheitsbewertung verschaffen. Bei größeren Installationen lässt sich die Übersicht weiter einschränken.
Berichte erstellen
Neben den normalen Scan-Ergebnissen kann CSI auch ausführliche Berichte erstellen, wahlweise manuell oder in festgelegten Intervallen. Die Berichte werden automatisch an die in CSI hinterlegte E-Mail-Adresse geschickt. Die Berichte sind zwar auf Englisch, dafür aber umfangreich. Legt man einen neuen Bericht an, kann man zahlreiche Optionen anpassen. Praktischerweise erstellt der Bericht auch ein Executive Summary am Beginn des Berichtes. Dieser basiert auf einfachen Textbausteinen, fasst aber die Ergebnisse gut zusammen.
Updates bereitstellen
Secunia CSI kann aber noch mehr als veraltete Programme aufspüren. Die Software bietet die Möglichkeit, Updates für die aufgefundenen Oldies zu verteilen. Voraussetzung dafür ist allerdings, dass im Netzwerk ein Patch-Management wie Windows Server Update Services oder System Center Configuration Manager installiert ist. CSI kann Updates im Secunia Package System zusammenstellen und diese anschließend über den WSUS an alle angeschlossenen und kompatiblen Endpunkte ausrollen.
Für bekanntere Programme, etwa Adobe AIR, Flash oder Java, bietet CSI direkt die passenden Updates an. Alternativ kann der Administrator auch eigene Programme paketieren und über das Patch-System ausrollen. Zudem sieht man in der Übersicht, wie viele Agenten auf den Hosts installiert sind.
Praktischerweise kann man dieses Menü auch gleich nutzen, um den CSI-Agenten mithilfe des Patch-Systems an alle angeschlossenen Endpunkte auszurollen.
Fazit
Secunia CSI ist eine praktische Erweiterung in der Sicherheitsarchitektur. Veraltete Programme bieten eine konstante Angriffsfläche und schlüpfen oftmals bei den Kontrollen durch. Wie beim PSI ist es teilweise überraschend, wie viele Programme die Secunia-Lösung in einer normalen Windows-Installation findet. Im Test arbeitet Secunia CSI einwandfrei, vor allem in Kombination mit Agenten erhält man einen guten Überblick über den Status der jeweiligen Systeme.
Besonders die Integration von Mac OS X gefiel im Test. Macs tauchen inzwischen wieder häufiger in Unternehmen auf und passen oftmals nicht in etablierte Update- und Patch-Lösungen. Mit dem Secunia CSI erhält man zumindest eine praktische Übersicht über die auf den jeweiligen Systemen installierten Programme und kann Nutzer auf neue Updates hinweisen.
Secunia lässt sich CSI nach den benötigten Client-Lizenzen bezahlen. Der Preis starte ab etwa 2000 Euro für CSI Small Business, darin sind bis zu 100 Client-Lizenzen enthalten. Die normale CSI-Lösung bringt bis zu 400 Lizenzen mit und kostet etwa 6000 Euro. Bis zu 1000 Lizenzen schlagen mit 12.000 Euro zu Buche; wer mehr benötigt, kann die Enterprise-Version ab 24.000 Euro kaufen.
Mittlerweile bietet Secunia den Corporate Software Inspector 6.0 als Beta-Version zum kostenlosen Test an. (mje)