pantrag_fisi Projektantrag: Schwachstellenmanagement - Vulnerability Scanner

[fisili]

Freunde der Informatik

jetzt ist es auch bei mir langsam soweit, die Prüfung naht und der Projektantrag muss abgegeben werden.
Ich hab echt lange überlegt was ich mache und jetzt hab ich was cooles gefunden, dass sich auch in meinem Betrieb umsetzen lässt.

Evaluieren will ich OpenVAS, Nessus und Nexpose. Ich weiß noch nicht was ich auswähle. OpenVAS eventuell, weil es frei verfügbar ist. Bei den anderen will ich mal nachfragen, ob man als "Student" eine längere Testversion bekommen kann (die bieten nur 7 bzw. 14 Tage Test an, das ist mir zuwenig).

Ich würde mich sehr freuen, wenn Ihr Euch das mal anschaut und mit Kritik nicht spart !
Die Anlagen muss ich mir auch noch überlegen (irgendwie doof, dass man im Vorfeld schon wissen soll, was man beifügt)

-->

Thema der Projektarbeit

 

Evaluierung, Installation und Test eines Schwachstellen-Management-Systems (Vulnerability Management) zur Überwachung, Analyse und Dokumentation von Software- und Netzwerkschwachstellen

Geplanter Bearbeitungszeitraum

 

06.04 – 14.04

Projektumfeld

 

Das Universitätsklinikum XXXXX ist ein Krankenhaus der höchsten Versorgungsstufe. Es arbeiten mehr als 3.400 Mitarbeiter, Ärzte, Krankenschwestern, Pfleger sowie Angestellte der Verwaltung dort. Die Einrichtung gliedert sich in 21 Kliniken und 17 Institute.

 

Alle Klinikbereiche werden vom Dezernat IT betreut, das eine umfangreiche heterogene IT-Landschaft mit vielen Servern und mehr als 4.500 Endgeräten betreibt und bereitstellt.

Das Dezernat IT gliedert sich weiter in die Unterbereiche Projektmanagement, Service, Infrastruktur und Anwendungsbetreuung.

Die Abteilung IT-Infrastruktur betreut eine Vielzahl von Server mit verschiedenen Betriebssystemen (Win2000 bis Windows Server 2012 R2, versch. Linux-Server) und stellt das Netzwerk (Kabelgebunden und WLan) bereit. Ein Großteil dieser Server ist bereits über VMWare virtualisiert, es gibt aber auch noch dedizierte Server. Weiterhin wird aktuell eine Citrix-Serverfarm zum Betrieb von Thin-Clients aufgebaut und ständig erweitert.

System und Betriebssicherheit der IT-Systeme ist eines der wichtigsten Themen, da nahezu alle Bereiche des Klinikums von der IT-Infrastruktur abhängig sind. Durch geeignete Maßnahmen, wie z.B. Firewall, Spam-Mail-Erkennung, Intrusion-Detection-Systemen, Virenchecker usw. wird die  IT-Sicherheit gewährleistet.

Projektbeschreibung

 

Ziel dieses Projektes ist die Netzwerk- und Systemsicherheit durch den Einsatz eines Schwachstellen-Management-Systems (Vulnerability Management, Vulnerbility Scanner) weiter zu verbessern.

Das Schwachstellen-Management-System soll Server und Geräte der IT-Infrastruktur regelmäßig auf bekannte Sicherheitslücken oder Misskonfigurationen testen und entsprechend das Risiko bewerten. Die Ergebnisse und Maßnahmen soll das System nachvollziehbar dokumentieren und archivieren.

Durch eine Marksichtung ist eine geeignete Software zu evaluieren.
Die gewählte Software wird testweise auf einer virtuellen Maschine installiert und innerhalb eines Testnetzwerkes an verschiedenen Systemen getestet.

Die Vorgehensweise bei der Installation und die Ergebnisse des Testscans werden dokumentiert. Die verantwortlichen Mitarbeiter der Abteilung Infrastruktur erhalten am Ende des Projekts eine Einführung in das neue System als Präsentation.

Auftraggeber ist die Abteilung Infrastruktur des Dezernates IT der Universitätsklinik XXXXXX. Leiter der Abteilung ist Herr XXXX

Projektphasen mit Zeitplanung in Stunden

 

1.      Projektplanung                  (9)

1.1.   Ist-Analyse                                                                                       (1)

1.2.   Soll-Konzept                                                                                    (1)

1.3.   Informationsbeschaffung und Evaluierung geeigneter Software      (4)

1.4.   Kostenanalyse und Auswahl                                                            (1)

1.5.   Planung der Installation, Konfiguration und des Funktionstests       (2)

 

 

2.      Projektdurchführung         (13)

2.1.   Vorbereitung virtuelle Maschine                                                      (1)

2.2.   Installation der gewählten Software                                                 (3)

2.3.   Grundkonfiguration der Software                                                    (2)

2.4.   Konfiguration von Scans und Alarmen                                             (1)

2.5.   Behebung von Fehlern und Problemen                                          (2)

2.6.   Einrichten einer virtuellen Testumgebung                                        (2)

2.7.   Testen der Scans innerhalb des Testnetzwerks                                (2)

 

 

3.      Projektabschluss               (13)

3.1.   Dokumentation der Installation                                                        (1)

3.2.   Dokumentation der Testscans                                                         (1)      

3.3.   Ergebnisanalyse und Fazit                                                               (1)

3.4.   Erstellen der Projektdokumentation                                                 (7)

3.5.   Erstellen der Präsentation                                                                (2)

3.6.   Präsentation der Ergebnisse für die Abteilung Infrastruktur             (1)

Gesamt: 35 Stunden

[fisili]

Oh ich hab vergessen zu sagen: Fachinformatiker Systemintegration

[mapr]

Hallo,

der Antrag liest sich für mich so gut.

Seit wann wir die Erstellung der Präsi mit angegeben, wäre mir neu?
Ich würde diese zwei Stunden wo anders einbauen.
Oder ist das eine interne Präsi?

[fisili]

Vielen Dank erstmal,

ja da soll noch eine interne Präsentation stattfinden.
Aber du hast recht, ich werde den Zeitplan nochmal etwas verändern ... Vielleicht nur 1h für die Präsi und die Stunde noch in der Durchführung unterbringen ...

Bearbeitet 28. Januar 2017 von fisili

[charmanta]

eine Stunde für das Sollkonzept ist mir bei dem Thema zu wenig ( das ist ein Verbesserungsvorschlag, kein Veto ).

Das Thema schreit nach einem Pflichtenheft ... und das schreibst Du nicht in einer Stunde

[fisili]

Ja ... 1 Stunde für das Sollkonzept ist wirklich etwas wenig...
Die interne Präsentation ist vielleicht zu viel des Guten ... Ist auch optional.
Ich denke ich werde die 3 Stunden lieber noch auf das Sollkonzept und in die Ausführung fließen lassen ...

[licklake]

Grundsätzlich finde ich den Antrag super und auch das Thema ist sehr gut geeignet!

Ein für die IHK wichtiger Punkt fehlt aus meiner Sicht allerdings noch:

Wie sieht es mit der Wirtschaftlichkeit des Projekts aus?

Du hast bereits die Kostenanalyse in deiner Zeitplanung mit drinnen, das ist schon mal top. Vielleicht bringst du in einem Satz noch mit ein warum ihr das nun (mit einem neuen Tool?) machen wollt, bzw. wie sich das auf die Kosten auswirkt. Sind zuvor Pentests von (teuren) externen Firmen gemacht worden, die dadurch (vielleicht) abgelöst werden können? Müssen Lizenzen von alten Tools verlängert werden? Können damit Risiken minimiert werden um so hohe Schadenssummen im Worst Case zu vermeiden?

Bearbeitet 31. Januar 2017 von licklake

[fisili]

Danke, dass ist ein guter Tip. Ich werde mal gucken, ob ich da noch was in den Umfeldtext rein schreibe.
Allerdings muss ich mir ja für die Projektarbeit auch noch ein bißchen was "übrig" behalten

Dazu kommt, dass dieses Thema eigentlich sehr umfangreich ist und vielleicht in Gänze betrachtet auch zu Fett ist für die 35 Stunden.

Einen Pentest wird man mit solchen Systemen eher nicht ablösen, aber man kann natürlich sein Patchmanagement dadurch verbessern und überwachen. Oft ergeben sich ja Lücken aus dem Zusammenhang, den so ein Schwachstellenscan nicht sieht (oder nicht sehen kann). Aber es hilft sich die Spielkinder vom Hals zu halten

 

Ja Prima ! Ich danke Euch allen für die Mühe, ich denke ich werden die Woche noch vergehen lassen und dann die Finale Version in Richtung IHK schicken !

Viele Grüße von der Ostseeküste !

 

[fisili]

Ich hab doch noch eine Frage. In dem Antragsformular von der IHK Rostock gibt es ein Feld "Geplante Dokumentation".

Wie detailiert muss das sein ? Muss ich jetzt schon wissen, was für Anlagen ich beifüge ?

In meinem Fall würde ich schreiben: Projektdokumentation gedruckt im Schnellhefter, Dokumentation Installation, Dokumentation Testscans

Die Projektdokumentation wird aber sicher noch Anlagen haben (z.B. aus der Ist-Anaylse oder eine Funktionsmatrix)

VulnerabilitySystem-Antrag-IHK_leer.pdf

Bearbeitet 3. Februar 2017 von fisili