8
Vulnerability und Patchmanagement - Erfahrungen
Hallo!
Ich suche gerade nach einer Lösung, um das Patchmanagement und Vulnerability-Management der Clients zu lösen.
Es wäre toll, ihr könntet mich an euren Erfahrungen teilhaben.
Es geht um ca. 200 Endpoints + 100 Server. Viel Windows, aber auch Linux.
Getestet habe ich:
- Manageengine Vulnerability Manager Plus
+ Kann Windows und Linux
+ Brauchbare Abdeckung für Patches - auch Third Party, Bios, etc.
- Hohe CPU-Last auf dem Client (Agent)
- SEHR wenig Debug-Informationen
- Action1
+ Preiswert
+ Gute Abdeckung an Third-Party-Paketen
o Wenig Debugging-Info
- keine Linuxunterstützung
- PDQ Deploy-Inventory
+ Sehr übersichtlich
+ kein Agent
- muss mit einem Vulnerabilityscanner kombiniert werden - Funktion fehlt
- keine Linuxunterstützung
- Treiber+Bios nur "händisch"
- Connectsecure
+ Preiswert
+ Windows + Linuxunterstützung
+ Gute API
- Kein Patchmanagement (reiner Scanner)
- Hakelig (immer wieder Bugs beim Test)
Was würdet ihr euch noch anschauen?
Grüße
Phil
Ich suche gerade nach einer Lösung, um das Patchmanagement und Vulnerability-Management der Clients zu lösen.
Es wäre toll, ihr könntet mich an euren Erfahrungen teilhaben.
Es geht um ca. 200 Endpoints + 100 Server. Viel Windows, aber auch Linux.
Getestet habe ich:
- Manageengine Vulnerability Manager Plus
+ Kann Windows und Linux
+ Brauchbare Abdeckung für Patches - auch Third Party, Bios, etc.
- Hohe CPU-Last auf dem Client (Agent)
- SEHR wenig Debug-Informationen
- Action1
+ Preiswert
+ Gute Abdeckung an Third-Party-Paketen
o Wenig Debugging-Info
- keine Linuxunterstützung
- PDQ Deploy-Inventory
+ Sehr übersichtlich
+ kein Agent
- muss mit einem Vulnerabilityscanner kombiniert werden - Funktion fehlt
- keine Linuxunterstützung
- Treiber+Bios nur "händisch"
- Connectsecure
+ Preiswert
+ Windows + Linuxunterstützung
+ Gute API
- Kein Patchmanagement (reiner Scanner)
- Hakelig (immer wieder Bugs beim Test)
Was würdet ihr euch noch anschauen?
Grüße
Phil
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671373
Url: https://administrator.de/forum/vulnerability-und-patchmanagement-erfahrungen-671373.html
Ausgedruckt am: 19.02.2025 um 04:02 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Schau dir ACMP von Aagon an.
Schau dir ACMP von Aagon an.
Das mit dem Vulnerability Management ist immer so eine Sache..
Kommen wir zu Windows:
Hier gibt es monatlich 1 Update, da braucht man nur eine Software die einem die Build Nummer anzeigt und kann dadrauf regieren
Linux:
Hier kommt es sehr spezifisch auf die Distribution an
Die Software sollte im besten Fall die Offiziellen Files der Hersteller verwenden
Zum Beispiel Redhat:
https://security.access.redhat.com/data/oval/v2/
oder Debian:
https://www.debian.org/security/oval/
Damit hat man erst einmal nur die das Betriebssystem abgedeckt
Dann kommen aber auch noch 3rd Party Produkte hinzu
Dazu benötigt man im besten Fall sowas wie Nessus/Tenable/ oder openVAS
Hierfür brtaucht man ein ganzes Team was ständig auf dem laufenden ist, schwierige Aufgabe für die meisten Hersteller
Auch kann man sich dann an Offizielle Datenbanken bedienen wie zum Beispiel:
https://nvd.nist.gov/vuln
Das alles muss der Hersteller abdecken, des weiteren müssten die Scans auch funktionieren damit man nicht tausende von False Positives hat
Oft schon gesehen, teure Software, scannt Redhat
gibt 15000 Vulnerable Dateien aus, nur weil die nicht die Offziellen RedHat OVAL nehmen und von Backports noch nie etwas gehört haben
erstaunlicher Weise habe ich gute Erfahrungen mit Windows Defender for Endpoint gemacht
die können aber nur ganz wenige 3rd Party libraries scannen
wie openssl
python
ect. finde grade den Link zu der Doku nicht
Vorteil an Scanner wie Nessus/ openVAS oder auch Defender for Endpoint
Die zeigen auch Fehlkonfigurationen an, wie zum Beispiel, wenn man Registry Einträge nicht gesetzt hat auf einem DomainController oder so
Da sind auch gute Informationen meist dabei weil es gibt Microsoft Updates, die auch einen Registry Key benötigen damit die Härtung greift
Dann darf man nicht vergessen, was tut man da eigentlich?
Man sucht nach installierte Software, welche BEKANNTE Sicherheitslücken hat .... und was ist mit den noch unbekannten?
Woher will man wirklich wissen, wenn ein Hersteller ein neues Update bereitstellt, aber gar kein CVE angemeldet hat das, dass neue Update nicht doch sicherheitsrelevant ist
Weil wenn ein Hersteller intern eine Sicherheitslücke findet, wird der wohl kaum freiwillig ein CVE anmelden ( kommt wirklich vor )
also benötigt man auch eine sehr gute Übersicht über alle installierte Software und muss dann irgendwie an die Information kommen, da gibt es ein Update für
Nur mal so ein paar Inspirationen zum Vulnerability und Patchmanagement
Action1 und ConnectSecure noch nie verwendet, Manageengine kann ich nicht empfehlen, alleine schon deren CVE Sammlung ist erstaunlich, die Software scheint grottig zu sein und traust du denen zu das oben alles genannte richtig umzusetzen?
https://www.cvedetails.com/vendor/9841/Zohocorp.html
Kommen wir zu Windows:
Hier gibt es monatlich 1 Update, da braucht man nur eine Software die einem die Build Nummer anzeigt und kann dadrauf regieren
Linux:
Hier kommt es sehr spezifisch auf die Distribution an
Die Software sollte im besten Fall die Offiziellen Files der Hersteller verwenden
Zum Beispiel Redhat:
https://security.access.redhat.com/data/oval/v2/
oder Debian:
https://www.debian.org/security/oval/
Damit hat man erst einmal nur die das Betriebssystem abgedeckt
Dann kommen aber auch noch 3rd Party Produkte hinzu
Dazu benötigt man im besten Fall sowas wie Nessus/Tenable/ oder openVAS
Hierfür brtaucht man ein ganzes Team was ständig auf dem laufenden ist, schwierige Aufgabe für die meisten Hersteller
Auch kann man sich dann an Offizielle Datenbanken bedienen wie zum Beispiel:
https://nvd.nist.gov/vuln
Das alles muss der Hersteller abdecken, des weiteren müssten die Scans auch funktionieren damit man nicht tausende von False Positives hat
Oft schon gesehen, teure Software, scannt Redhat
gibt 15000 Vulnerable Dateien aus, nur weil die nicht die Offziellen RedHat OVAL nehmen und von Backports noch nie etwas gehört haben
erstaunlicher Weise habe ich gute Erfahrungen mit Windows Defender for Endpoint gemacht
die können aber nur ganz wenige 3rd Party libraries scannen
wie openssl
python
ect. finde grade den Link zu der Doku nicht
Vorteil an Scanner wie Nessus/ openVAS oder auch Defender for Endpoint
Die zeigen auch Fehlkonfigurationen an, wie zum Beispiel, wenn man Registry Einträge nicht gesetzt hat auf einem DomainController oder so
Da sind auch gute Informationen meist dabei weil es gibt Microsoft Updates, die auch einen Registry Key benötigen damit die Härtung greift
Dann darf man nicht vergessen, was tut man da eigentlich?
Man sucht nach installierte Software, welche BEKANNTE Sicherheitslücken hat .... und was ist mit den noch unbekannten?
Woher will man wirklich wissen, wenn ein Hersteller ein neues Update bereitstellt, aber gar kein CVE angemeldet hat das, dass neue Update nicht doch sicherheitsrelevant ist
Weil wenn ein Hersteller intern eine Sicherheitslücke findet, wird der wohl kaum freiwillig ein CVE anmelden ( kommt wirklich vor )
also benötigt man auch eine sehr gute Übersicht über alle installierte Software und muss dann irgendwie an die Information kommen, da gibt es ein Update für
Nur mal so ein paar Inspirationen zum Vulnerability und Patchmanagement
Action1 und ConnectSecure noch nie verwendet, Manageengine kann ich nicht empfehlen, alleine schon deren CVE Sammlung ist erstaunlich, die Software scheint grottig zu sein und traust du denen zu das oben alles genannte richtig umzusetzen?
https://www.cvedetails.com/vendor/9841/Zohocorp.html
- Action1
o Wenig Debugging-Info
Nutze Action1, was genau fehlt dir an debugging-infos?
o Wenig Debugging-Info
Nutze Action1, was genau fehlt dir an debugging-infos?
Moin,
Wie die Betrieb Teams die Lücken schließen, ist deren Bier. Ob mit ACMP, WSUS, manuell, etc. ist deren Herausforderung. Da wird es gerade bei 3rd Party Anwendungen meistens drauf hinaus laufen. Wir versuchen in der Tat mit ACMP und Custom Packages 99% abzudecken.
Gruß
Dani
Was würdet ihr euch noch anschauen?
wir haben bei uns PVM technisch und organisatorisch getrennt. D.h. für das PVM an sich nutzen wir Vulcan. Dies wertet die Daten welche Microsoft Defender, Tenable, etc. kommen aus und bereitet die Informationen auf. So können die verschiedenen Teams die gefunden Fakten bewerten, auswerten und Maßnahmen an die Teams weiter leiten. Ggf. aber auch die gefunden Lücken als False Positive markieren.Wie die Betrieb Teams die Lücken schließen, ist deren Bier. Ob mit ACMP, WSUS, manuell, etc. ist deren Herausforderung. Da wird es gerade bei 3rd Party Anwendungen meistens drauf hinaus laufen. Wir versuchen in der Tat mit ACMP und Custom Packages 99% abzudecken.
Gruß
Dani
Sofern es "nur" um "Vulnerability und Patchmanagement" geht, empfehle ich Action1. Die Jungs sind auf zack. Linux ist auf der Roadmap und wird dieses Jahr dazukommen. Das Ganze ist bis 200 Endpoints kostenlos. Die Inbetriebnahme ist schlank und sehr schnell gemacht. Einfach super.
Zitat von @Essiess:
Sofern es "nur" um "Vulnerability und Patchmanagement" geht, empfehle ich Action1. Die Jungs sind auf zack. Linux ist auf der Roadmap und wird dieses Jahr dazukommen. Das Ganze ist bis 200 Endpoints kostenlos. Die Inbetriebnahme ist schlank und sehr schnell gemacht. Einfach super.
Sofern es "nur" um "Vulnerability und Patchmanagement" geht, empfehle ich Action1. Die Jungs sind auf zack. Linux ist auf der Roadmap und wird dieses Jahr dazukommen. Das Ganze ist bis 200 Endpoints kostenlos. Die Inbetriebnahme ist schlank und sehr schnell gemacht. Einfach super.
kann Action1 dann in meiner LOB App erkennen das es ein vulnerable openssl nutzt?
Frage einmal direkt in der Community (Reddit) oder im nächsten Webinar (Q&A). Es gibt ständig welche.
Das Ganze ist bis 200 Endpoints kostenlos.
Ich nutze es auch und frage mich "wie lange". Klar, sie sagen "forever", aber wenn die Firma irgendwann verkauft wird, könnte ich mir vorstellen, dass es damit vorbei ist. Und die Lizenzen über den kostenlosen 200 sind jetzt schon nicht günstig.
