Dienstleistungen: Konfigurationsreview
Ziel
Identifikation von fehlerhaften und ineffizienten Einstellungen in etablierten Konfigurationen.
Ausgangslage
Der Kunde stellt uns sämtliche Konfigurationen des zu untersuchenden Systems sowie optional entsprechende Dokumentationen (Benutzer-Handbuch, Hardening-Guides, etc.) zur Verfügung.
Vorgehen
Die Umsetzung basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Beitrag Modell zur Umsetzung von Config Reviews dokumentiert wurde:
- Parsing: Dissektieren der einzelnen Attribute der Konfiguration und der jeweiligen Einstellungen.
- Bewertung: Bewerten und gewichten der einzelnen Konfigurationsmöglichkeiten und ihrer Einstellungen.
- Auditing: Ausmachen ineffizienter und fehlerhafter Konfigurationseinstellungen.
Resultat
Der Kunde erhält in einem Dokument alle gefundenen Schwächen der untersuchten Konfigurationen. In einer tabellarischen Auflistung werden die jeweiligen Mängel dargelegt. Ein jeder Eintrag enthält eine Risikoeinstufung, eine technische Beschreibung des Problems sowie Empfehlungen bezüglich Gegenmassnahmen.
Vor-/Nachteile
Die Konfigurationseinstellungen bilden unter anderem die Grundlage des Funktionsverhaltens einer Lösung. Durch eine Config Review können entsprechend zentrale Punkte, die bei einer netzwerkbasierten Prüfung nur mit hohem Aufwand erahnt werden konnten, zweifelsfrei ausgemacht werden. Derlei Überprüfungen werden sodann gerne komplementär zu klassischen Netzwerkscans und Penetration Tests eingesetzt.
Beispielreferenz
Configuration Review Reverse Proxy: Eine Schweizer Grossbank schützt die exponierten Dienste (nahezu 1’000 Stück) mit einem granular konfigurierten Reverse-Proxy. Durch eigens durch uns angefertigte Parsing-Module sind wir in der Lage die enorme Datenmenge einzulesen. Dank unseres datenbankbasierten Ansatzes können wir sodann eine moderierte Bewertung der Konfigurationseinstellungen vornehmen. Zudem können Simulationen und Planspiele, mit denen sich Änderungen und ihre Auswirkungen unmittelbar erkennen lassen, umgesetzt werden. Viele Kunden wünschen sich, so wie das erwähnte Finanzinstitut auch, eine regelmässige Querprüfung der aktuellen Konfigurationseinstellungen. Delta- und Trendanalysen sind für uns kein Problem.
