Projektidee: Evaluierung und Implementierung einer Testumgebung für Schwachstellenmanagement - Vulnerability Management Tool

[BatmanEnjoyer]

 

Hi zusammen,

ich bin gerade dabei, meinen Projektantrag für die Abschlussprüfung als FISI zu erstellen, und hätte gerne euren Input, ob mein vorgeschlagenes Projekt genehmigt werden könnte.

Kurz zu unserem Unternehmen: Wir sind ein Weltweites Softwareunternehmen und haben in unserer eigenen Applikation / Software ein System Monitoring integriert.
Dieses Monitoring überwacht den Status der Systemkomponenten, z.B. ob eine Partition ausgefallen ist, keine Verbindung zur Datenbank besteht, der Speicher voll läuft oder bestimmte Dienste nicht mehr laufen und vieles mehr.

Mein Projektvorschlag ist, eine Testumgebung zu evaluieren und zu implementieren, die an ein Vulnerability Management Tool angebunden wird.

Tools, die ich in Betracht ziehe, sind z.B. Qualys, OpenVAS GVM, Nessus oder Clair. Der Hintergrundgedanke ist, dass unser aktuelles System Monitoring zwar interne Komponenten überwacht, jedoch keine potenziellen Sicherheitslücken wie Schwachstellen in externen Datenbanken, Log4j, Windows-Schwachstellen (CVEs) oder Oracle Java berücksichtigt uvm.

Besonders wichtig ist dabei, dass Third-Party-Software, die oft unsicher oder bereits EOL (End of Life) ist, in zukünftigen Versionen unserer Software nicht mehr eingebunden oder genutzt wird, um so die Sicherheit und Zukunftsfähigkeit (Future-Proofing) zu gewährleisten. Sonst entstehen zig weitere Tickets über Schwachstellen...(-> Amortisation..? )

Meine Frage an euch: Glaubt ihr, dass ein solches Projekt von der IHK genehmigt wird?

Ich habe ein ähnliches Projekt in diesem Forum gesehen -> https://www.fachinformatiker.de/topic/156321-projektantrag-schwachstellenmanagement-vulnerability-scanner/

Der Inhalt wäre ungefähr ähnlich...nur das bei fisili es konkret um die Interne IT-Infrastruktur ging...

Wichtig zu erwähnen ist es, dass dies kein Arbeitsauftrag von meiner Firma ist und ich selber drauf gekommen bin, es aber meine erste Ausbildung ist und ich absolut keinen plan habe wie ich das am besten beschreibe, ohne das es so klingt das es von meiner Firma gestellt wird...es heißt ja immer das es Komplex sein muss und eigenständig.

Falls ihr noch weitere Informationen benötigt, lasst es mich bitte wissen. Ich bin nicht oft in Foren unterwegs, daher bin ich für jede Unterstützung dankbar.

Vielen Dank im Voraus für eure Hilfe! 

 

[charmanta]

vor 2 Stunden schrieb BatmanEnjoyer:

Der Hintergrundgedanke ist, dass unser aktuelles System Monitoring zwar interne Komponenten überwacht, jedoch keine potenziellen Sicherheitslücken wie Schwachstellen in externen Datenbanken, Log4j, Windows-Schwachstellen (CVEs) oder Oracle Java berücksichtigt uvm.

Das ist immer so. Grundsätzlich gut möglich

 

Bearbeitet 19. August von charmanta

[BatmanEnjoyer]

vor 37 Minuten schrieb charmanta:

Das ist immer so. Grundsätzlich gut möglich

 

Hallo Charmanta,

vielen Dank für die Rückmeldung. Bezüglich der vorherigen Nachricht: Soll ich trotzdem nach den Unterschieden schauen, oder ist das jetzt irrelevant? Wie wahrscheinlich ist es, dass mein Projekt angenommen wird? Ich werde den Projektantrag ausarbeiten und dann hier einstellen. Darauf kann man dann besser aufbauen.

 

[charmanta]

ich denke allein durch den Titel ist klar dass Du den Unterschied kennst. Solltest Du dann aber in der Arbeit weiter ausformulieren