Codename: Sylt
Veröffentlichung: 12.10.2016
Ab sofort stehen verinice und verinice.PRO in Version 1.13 zum Download zur Verfügung; der Bezug von verinice ist ab dieser Version nur noch über den verinice.SHOP möglich.
ACHTUNG: Als Administrator eines verinice.PRO Servers beachten Sie bitte den Sicherheitshinweis am Ende dieser Release Notes!
Link-Table-Reports: Der In-Memory-Abfrageassistent
Mit dem neuen Abfrageassistenten erstellen Sie Ihre eigenen Abfragen direkt aus verinice heraus. Sie brauchen eine Liste aller Grundschutzmaßnahmen mit Bausteinen und Zielobjekten? Kein Problem. Oder eine Übersicht aller Assets mit Risikoszenarien und den jeweils Verantwortlichen? Ebenfalls mit wenigen Klicks erstellt.
Für jedes Objekt können Sie genau festlegen, welche Felder Sie in welcher Reihenfolge ausgeben möchten.
Alle Abfragen können im CSV-Format direkt nach Excel oder LibreOffice Calc übertragen und dort weiter bearbeitet werden. Mit den vertrauten Mechanismen Ihrer Tabellenverarbeitung können Sie somit alle Berichte sortieren, filtern und für die Verwendung von Charts benutzen.
Das Beste dabei: Sämtliche Abfragen – auch über komplexe Verknüpfungsstrukturen und tausende Objekte – werden rasend schnell und meist in wenigen Sekunden abgearbeitet.
Erreicht wird dies über eine eigens für diesen Zweck geschaffene, von verinice intern verwendete Abfragesprache: Die "verinice Query Language" (VQL). Auf Basis der Benutzereingaben erzeugt der Abfrageassistent zunächst eine passende VQL-Abfrage. Diese wird in ein Graphenmodell überführt, das nur diejenigen Teile der Datenbank in den Speicher lädt, die für die Beantwortung der Abfrage benötigt werden. Dort wird dann die Ergebnistabelle komplett mit Hilfe der In-Memory-Repräsentation der Datenbank erzeugt und ausgegeben.
Neuerungen im Datenschutz
Das verinice.TEAM hat alle Felder für die Pflege der Verarbeitungsübersicht in verinice überarbeitet und an die aktuelle Gesetzeslage sowie an die zu erwartenden Änderungen durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) angepasst.
In Kürze veröffentlichen wir passend dazu auch eine Beispieldatenbank mit wertvollen Inhalten für die Pflege der Verarbeitungsübersicht sowie der technisch-organisatorischen Maßnahmen.
Mehr Sicherheit
An gleich mehreren Stellen haben wir zusätzliche Sicherheitsmaßnahmen eingeführt.
Verschlüsselte Datenbankexporte im VNA-Format enthalten nun einen individuellen Salt um Wörterbuchattacken zu erschweren. Bislang kam für mehrere Dateien derselbe Salt zum Einsatz. VNA-Dateien der V 1.13 sind dadurch nicht mehr abwärtskompatibel zu Vorgängerversionen. Konkret heißt das: Ein mit verinice 1.13 erstellter, verschlüsselter Export lässt sich mit verinice 1.12 nicht mehr einlesen.
Die Erzeugung von Reports findet nun in einer Sandbox statt, so dass mögliche Aktionen während der Reporterzeugung einschränkt sind. Falls Sie selbst erstellte Reports verwenden, die gegen die nun strengeren Sicherheitsbeschränkungen verstoßen, können Sie diesen Mechanismus in den Einstellungen abschalten. Da Report-Templates potentiell schädlichen Programmcode enthalten können (ähnlich zu Word-Dateien mit Makros), sollten Sie in jedem Fall Report-Templates nur aus vertrauenswürdigen Quellen verwenden.
verinice.PRO hat eine zusätzliche Sicherheitsschicht erhalten, welche die Verwendung von Services mit dem Profil des Nutzers abgleicht und ggf. unberechtigte Zugriffe auf Programmfunktionen untersagt.
Verknüpfungen zwischen Grundschutz- und ISM-View
Per Drag-and-Drop lassen sich nun zwischen Objekten des Grundschutzmodells und des ISM-Modells Verknüpfungen anlegen, soweit die entsprechende Verknüpfung im Datenmodell definiert ist. So kann man nun zum Beispiel zu Grundschutz-Maßnahmen die zugehörige Richtlinie im ISM-View als Objekt anlegen, das tatsächliche PDF-Dokument als Dateianhang hinzufügen und die Richtlinie mit sämtlichen zugehörigen Grundschutzmaßnahmen verknüpfen.
Fehlende Verknüpfungsmöglichkeiten lassen sich wie immer individuell als Customizing der in XML festgelegten Objektdefinitionen hinzufügen.
Benutzerdefinierte Bausteine: Drag-and-Drop
In benutzerdefinierte Bausteine können jetzt Maßnahmen und Gefährdungen aus dem IT-Grundschutzkatalog einfach per Drag-and-Drop hinzugefügt werden.
Risikoanalysen: Kopieren-und-Einfügen
Risikoanalysen im IT-Grundschutz lassen sich jetzt einfach über Kopieren und Einfügen duplizieren. Dabei wird nicht nur das Endergebnis kopiert sondern auch sämtliche Zwischenschritte des Risikoanalyse-Wizards.
So lassen sich bestehende Risikoanalysen nun schnell als Grundlage für ähnliche Zielobjekte wiederverwenden. Nach wie vor besteht die mit verinice 1.12 eingeführte Möglichkeit, Risikoanalysen über den VNA-Export zu kopieren und auch an Kollegen zu verschicken.
GSTOOL-Import
Kleinere Verbesserungen im GSTOOL-Import: Die ID und Kapitelnummer von Gefährdungen aus benutzerdefinierten Bausteinen sowie die Kritikalitätsstufen von Netzverbindungen werden nun stets korrekt eingelesen.
Suchansicht: Drag-and-Drop
Objekte in Suchergebnissen können nun direkt per Drag-and-Drop zum Anlegen von Verknüpfungen verwendet werden. Die Mehrfachselektion wird dabei natürlich unterstützt. So können Sie z.B. zunächst nach Szenarien zum Thema "Compliance" suchen und alle relevanten Szenarien auf einmal mit dem passenden Asset verknüpfen.
Kopieren von Dateianhängen bei Objekten
Wahlweise können nun beim Kopieren von Objekten auch alle Dateianhänge kopiert werden. Dieses Verhalten können Sie über die Einstellungen nach Wunsch festlegen.
verinice.PRO: KIX4OTRS Anbindung
In Zusammenarbeit mit der C.A.P.E. IT GmbH hat das verinice.TEAM zusätzliche Datenfelder in verinice vorgesehen, die für eine Kopplung zwischen verinice.PRO und KIX4OTRS verwendet werden können.
Durch eine Anbindung des ISMS-Tools verinice an das Service-Management-Tool KIX4OTRS lassen sich Anforderungen an eine Workflow-Integration abbilden. So können etwa OTRS-Tickets um Informationen zur Bearbeitung von verinice-Objekten angereichert werden. Bei erfolgreicher Bearbeitung eines Tickets lassen sich die veränderten Informationen direkt in der verinice-Datenbank speichern.
Ebenso interessant ist für viele Anwender eine Übertragung von Configuration Items aus KIX4OTRS in die verinice Asset-Datenbank. Für konkrete Integrationsprojekte stehen Ihnen SerNet und C.A.P.E IT gern mit Rat und Tat zur Seite.
verinice.PRO: Einfachere Konfiguration für Greenbone GSM
Die Anbindung von verinice.PRO an die Schwachstellen-Scanner von Greenbone / OpenVAS ist mit verinice 1.13 einfacher und nun Bestandteil der normalen Konfigurationsdatei. Genauere Hinweise finden Sie in der Update-Anleitung für verinice.PRO.
verinice.PRO: Neuer REST-Webservice
Über eine neue REST-Schnittstelle ist es nun für Entwickler möglich, Daten vom verinice.PRO-Server über das Netzwerk programmatisch auszulesen. Dadurch werden vielfältige neue Möglichkeiten zur Integration von verinice.PRO an andere Software-Tools geschaffen. Selbstverständlich unterliegen sämtliche Anfragen auch über diese neue Schnittstelle den bestehenden Authentifizierungs- und Autorisierungsmechanismen.
verinice.PRO: AD-/LDAP-Anmeldung für Nutzergruppen
Die Anbindung an Verzeichnisdienste für die Nutzeranmeldung unterstützt jetzt auch die kombinierte Abfrage von Accounts in unterschiedlichen Gruppen.
Komfort-Verbesserungen
Das verinice.TEAM hat für verinice 1.13 wieder über 100 Fehler behoben und kleinere Verbesserungsvorschläge unserer Anwender umgesetzt. Viele davon steigern den Anwendungskomfort. U.a. haben wir im Account-Gruppen-View einen Button ergänzt, der nun auch von dort das direkte Bearbeiten von Accounts ermöglicht. Außerdem haben wir die Sortierung deutscher Umlaute in der Baumdarstellung sowie im Reporting verbessert. Die ISM-Risikoanalyse trägt jetzt korrekte Werte in alle Objekte ein, selbst wenn der ausführende Nutzer keine Schreibrechte auf verknüpften Objekten besitzt.
Sicherheitshinweis für verinice.PRO Administratoren
In bisherigen verinice-Versionen enthielt das Profil "Scope-only-admin" standardmäßig die Berechtigungen zum Ändern von Nutzerprofilen und Account-Einstellungen. Dadurch konnte ein Administrator, der auf einen bestimmten Scope beschränkt war, sich selbst weitere Rechte vergeben und damit seinen Zugriff erweitern.
Ab V 1.13 enthält das o.g. Standardprofil diese Berechtigungen sowie fünf weitere nicht mehr. Falls Sie das Profil ohne es zu veränderen benutzen, werden diese Änderungen automatisch aktiv. Falls Sie das Profil selbst bearbeitet haben, müssen Sie die entsprechenden Aktionen von Hand entfernen, soweit nicht bereits geschehen.
Die entfernten Aktionen sind:
- Account-Einstellungen bearbeiten
- Berechtigungsprofile bearbeiten
- GSTOOL: Notizen-Import
- GSTOOL-Import
- LDAP-Import
- Alle Aufgaben anzeigen
Geänderte Property-Dateien
Einfache Konfiguration des Greenbone Security Manager (GSM) Imports
- veriniceserver/WEB-INF/veriniceserver-plain.properties[-default|local]
- Neu: veriniceserver.gsmGenerator.enabled=false
- Neu: veriniceserver.gsmGenerator.cron=0 5 3 * * ?
- Die auskommentierten und veralteten MySQL JDBC Properties wurden entfernt
Verschiedene Erweiterungen, z.B. Datenschutz und KIX
- SNCA.xml, snca-messages.properties, snca-messages_de.properties
Absicherung der Services auf dem Server
- veriniceserver/WEB-INF/web.xml
ElasticSearch-Konfiguration
- veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_de.json
- veriniceserver/WEB-INF/classes/sernet/verinice/search/analysis_en.json
- veriniceserver/WEB-INF/classes/sernet/verinice/search/mapping.json
Rechteprofile
- veriniceserver/WEB-INF/verinice-auth-default.xml
LDAP-Authentifizierung
- veriniceserver/WEB-INF/verinice-ldap.properties
de
Support
Status
Shop
