Nach oben

Zuverlässige Sicherheitsüberprüfungen

Sicherheitsüberprüfungen sind ein gängiges Verfahren, das verwendet wird, um den Sicherheitsstatus eines Systems oder einer Anwendung zu bewerten. Überprüfungen können viele Formen annehmen, von automatisierten Scans, die eine Vielzahl von Regeln oder Fehlerbedingungen testen, über Werkzeuge, die APIs unscharf machen, indem sie absichtlich zufällige oder bösartige Eingaben zur Suche nach Schwachstellen bereitstellen, bis hin zu aktiven Maßnahmen wie Penetrationstests, die von Teams von Fachleuten durchgeführt werden.

Die Sicherheitsüberprüfung kann für eine bestimmte Anwendung durchgeführt werden, z. B. für eine Anwendung, die mit einem ArcGIS SDK erstellt wurde oder als eingebettete ArcGIS-App enthalten ist. Sie kann aber auch auf ein ganzes System angewendet werden, wobei so viele verschiedene Überprüfungsarten und -ansätze verwendet werden, wie es zu überprüfende Systeme gibt. Viele Sicherheitsüberprüfungen führen zu einer gemeldeten Anzahl von Problemen, deren Schweregrad von gering oder informativ bis hin zu hoch oder kritisch mit den entsprechenden Warnungen reicht und die entweder auf potenziell ausnutzbaren Situationen oder bekannten ausnutzbaren Sicherheitsrisiken beruhen. Die Bewertung, was ein geringes oder ein hohes Risiko darstellt, ist oft sehr subjektiv und kann von der Überprüfungsumgebung oder vom Anbieter der Services abhängen oder auf einer externen Risikobewertung wie einem CVSS-Wert (Common Vulnerability Scoring System) basieren. In jedem Fall muss das anfängliche Risiko gegen die Möglichkeit eines Exploits abgewogen werden, der mit der Zugänglichkeit des Systems zu tun hat, ob die betroffene Software den Anforderungen der Endbenutzer ausgesetzt ist und ob sie in einer Weise verwendet oder implementiert wird, die das System anfällig für das identifizierte Problem macht.

ArcGIS basiert auf einer Vielzahl von Bibliotheken von Drittanbietern und stellt eine Reihe von APIs und Endpunkten zur Verfügung, die von Esri entwickelt wurden. Es kommt häufig vor, dass Sicherheitsüberprüfungen zu potenziellen Problemen führen, die von der Organisation überprüft und verifiziert werden müssen, um ihr Ausnutzungspotenzial und ihre Relevanz zu bewerten, bevor sie zur Überprüfung und Bearbeitung an Esri übermittelt werden. Bei einer Überprüfung, bei der eine Schwachstelle an einem administrativen Endpunkt von ArcGIS Server erkannt wird, wird beispielsweise unter Umständen nicht berücksichtigt, dass die administrativen Endpunkte in dieser Umgebung für Endbenutzer nicht verfügbar gemacht werden (z. B. durch Deaktivieren des Administratorzugriffs in ArcGIS Web Adaptor), sodass das Ergebnis als falsch positiv angesehen werden kann, da es keinen realistischen Exploit für dieses Problem gibt.

Empfehlungen

Beachten Sie die folgenden wichtigen Hinweise und Empfehlungen im Zusammenhang mit Sicherheitsüberprüfungen:

  • Stellen Sie vor dem Ausführen einer automatisierten Überprüfung sicher, dass Ihr System so konfiguriert wurde, dass es den Sicherheitsempfehlungen von Esri entspricht. Dies kann mit dem Werkzeug ArcGIS Security and Privacy Advisor oder gemäß den Empfehlungen der Werkzeuge serverScan.py und portalScan.py erfolgen. Weitere Informationen zum Schützen einer Konfiguration finden Sie im ArcGIS Trust Center.
  • Aktive Penetrationstests (oder Pentests) von ArcGIS Online sind im Rahmen des Esri Master License Agreement nicht zulässig. Wenden Sie sich an Ihr Esri Account Team, um weitere Fragen zu Sicherheitstests für ArcGIS Online zu erhalten.
  • Sicherheitsüberprüfungsberichte sollten Sie zunächst mit dem Sicherheitsteam Ihrer Organisation sichten, um sich einen Überblick darüber zu verschaffen, welcher Schweregrad am besorgniserregendsten ist und ob es sich bei diesen Problemen um wirklich besorgniserregende Probleme oder potenzielle Fehlalarme oder wirklich ausnutzbare Sicherheitsrisiken handelt.
  • Bei vielen Open-Source-Softwarebibliotheken oder -Modulen werden Sicherheitsprobleme durch Patches oder neue Versionen behoben. Beachten Sie jedoch, dass ein manuelles Upgrade einer internen Komponente von ArcGIS dazu führt, dass Ihr System nicht mehr unterstützt und möglicherweise instabil wird. Die einzige ordnungsgemäße Behebung eines solchen Problems besteht entweder in der Anwendung eines Patch oder einer neuen Softwareversion von Esri, mit der die Komponente oder Bibliothek eines Drittanbieters aktualisiert wird. Esri überprüft aktiv öffentlich angekündigte Probleme und setzt mit jeder Version Aktualisierungen für Komponenten von Drittanbietern ein, um diese Risiken zu minimieren.

Weitere Ressourcen zum Thema Sicherheitsüberprüfung finden Sie im Dokument ArcGIS Vulnerability Scanning Guidance im ArcGIS Trust Center (für den Zugriff ist eine ArcGIS-Anmeldung erforderlich).

Top