Softwareversionen als Schlüssel zu mehr Cyber-Sicherheit

Identifizierung von Produktversionen für die Bewertung des Release- & Patch-Status und die Erkennung von veröffentlichten IT-Schwachstellen

In diesem Blogpost zeigen wir zwei mögliche Varianten zur Ermittlung von Softwareproduktversionen auf Hosts in der IT-Landschaft. Diese Varianten sind ein wichtiger Bestandteil der Cybersicherheitsbewertung, insbesondere zur Beurteilung des Produktlebenszyklus (Release- & Patch-Strategie) und zur Identifikation von IT-Schwachstellen.

Variante 1: Installierter Software

Die einfachste und naheliegendste Variante ist die Abfrage der Paketmanager (Unix, Linux, MacOS) oder der Softwareinventarisierung (Windows) der Betriebssysteme, um herauszufinden, welche Produkte auf dem Host installiert wurden.

In der folgenden Abbildung ist ein Beispiel abgebildet, wie Versio.io die Daten in der Plattform zur Verfügung stellt. Für jedes installierte Produkt gibt es Informationen zum Hersteller, dem Produktnamen, der eingesetzten Version sowie weiterer Metadaten.

Variante 2: Ausgeführter Prozesse des Betriebssystems

Eine komplexere Variante ist es kontinuierlich alle laufenden Prozesse auf einem Betriebssystem zu erkennen und anschließend deren Version abzufragen. Unter Windows ist es leicht den Hersteller, das Produkt und die Version über die in Windows verfügbaren Prozessinformation abzufragen. In Linux-basierten Betriebssystemen gibt es keinen Standard und somit ist die Versionsermittlung etwas kniffliger, da unterschiedlichste Ermittlungsverfahren notwendig sind. Anbei einige Möglichkeiten, wie Versionsangaben erfasst werden und ein Beispiel, wie ein Prozess inkl. der Versionserkennung in Versio.io abgebildet sind:

Abfragekommando: java --version
Umgebungsvariable: JAVA_VERSION=21.0.5
Zeile in einer Info- oder Konfigurationsdatei: version: 21.0.5
Verzeichnisnamen: /opt/openjdk21.0.5/bin/java

Vergleich der Varianten

Beide Varianten haben Vor- und Nachteile, welche in folgender Tabelle noch einmal adressiert werden:

	Installierte Softwareprodukte	Ausgeführte Betriebssystemprozesse
Qualitative Bewertung	Durch die Abfrage der Packetmanager bzw. des Softwareinventars können alle installierten Softwareprodukte inkl. der Version ermittelt werden. Die Versionsangabe entspricht der Benennung durch den Hersteller.	Für alle ausgeführten Betriebssystemprozesse kann das Softwareprodukt und die Version unabhängig von der Bereitstellungsart (Installation oder manuell entpackte Anwendung/Binary) ermittelt werden (siehe dazu Beschreibung der Variant 2). Die Produkt- und Versionsermittlung schließt Drittanbieter-Komponenten ein (bspw. Frameworks oder Bibliotheken), wenn die technischen Voraussetzungen dies ermöglichen (bspw. Java oder Node.js Anwendungen).
Versio.io Importer	Host installed software (agentenbasiert und agentenlos)	Host process (agentenbasiert)
Aufwand/Kosten	gering	hoch

Tabelle: Gegenüberstellung der Varianten zur Ermittlung von Softwareversionen

Empfehlung

Die beiden aufgezeigten Varianten zur Ermittlung von Softwareversionen können je nach Kundenanforderungen einzeln oder auch kombiniert eingesetzt werden. Für die unterschiedlichen Aufgabenbereich in der IT gilt allgemein folgende Empfehlung:

Desktop/Endgeräte Management = Installierte Software
Server Management = Installierte Software und/oder Betriebssystemprozesse

Generell empfehlen wir Kunden mit der Variante der installierten Softwareprodukten zu starten. Mit geringen Aufwänden und Kosten lässt sich der Großteil der Softwareversionen ermitteln und mit der Release & Patch Status sowie IT-Schwachstellen Bewertung ein hoher Grad an Cybersicherheit erreichen.

Für eine 100% Transparenz und geschäfts- und IT-kritische Host-Infrastrukturen, wie bspw. Kern- oder Online-Anwendungen, empfehlen wir die Erweiterung der Versionserkennung auf Basis der ausgeführten Betriebssystemprozesse.

Ausblick Cybersicherheitsbewertung

Die Versionserkennung ist die Voraussetzung für die Bewertung des Lebenszyklus des Produktes und der Erkennung von vorhandenen IT-Schwachstellen. Bewertung und Erkennung werden in Versio.io vollautomatisiert unterstützt.

Folgende Strategien stehen für die Bewertung des Lebenszyklus anhand der Produktversionen zur Verfügung:

Handelt es sich um eine stabile Version?
Wird das aktuellste Release eingesetzt?
Wird die neuste Version des Releases verwendet?
Wird eine Long-Term-Support Version eingesetzt (LTS)?
Wird die aktuellste Long-Term-Support Version verwendet?
Verfügt die eingesetzt Version noch über Kundenservice (Support) durch den Hersteller?
Verfügt die eingesetzt Version noch über Wartung (Maintenance) durch den Hersteller?

Zusätzlich prüft Versio.io, ob für die ermittelte Produktversion eine Schwachstelle bekannt ist. Dafür werden veröffentlichte Schwachstellen-von unterschiedlichen Anbietern unterstützt (bspw. NVD, Red Hat, GitGHub etc.) sowie Meldungen (Advisories) von Produktherstellern (z.B. Juniper, Cisco, Palo Alto etc.).

Damit ergibt sich für jede erkannte Produktversion eine Cybersicherheitsbewertung mit entsprechenden Detailinformationen und Verweisen zu den Informationsquellen. Des weiteren gibt Versio.io eine Empfehlung, zu welcher Produktversion ein Update/Upgrade durchgeführt werden soll, um wieder einen Compliance Status hinsichtlich der Cybersicherheit zu erreichen. Folgende Abbildung zeigt eine solche Bewertung der Softwareversion für das Produkt Acrobat Reader an: