Beschleunigte Schwachstellenerkennung und Reaktionsmaßnahmen für AWS – mit Tenable Cloud Security Agentless Assessment

In diesem Blog-Artikel erfahren Sie, wie Sie das Scannen auf Software-Schwachstellen und Fehlkonfigurationen in der Cloud mit unserer neuesten Discovery-Funktion für Cloud-Sicherheit – Tenable.cs Agentless Assessment – verbessern können.

Bisher erfolgte Schwachstellen-Scanning in der Cloud über netzwerkbasierte Scanner wie Nessus oder über einen agentenbasierten Ansatz mit Nessus Agents. Für Sicherheitsfachkräfte, die schnelle, umfassende und präzise Schwachstellen-Scans durchführen möchten, hinter denen weltweit erstklassige Schwachstellenforschung steht, ist Tenable seit Jahren der Goldstandard. Als sich unsere Kunden einfachere Möglichkeiten wünschten, ihre Nessus-Scans in der Cloud zu konfigurieren und zu verwalten, veröffentlichten wir im Jahr 2020 Tenable.io Frictionless Assessment. Dies war unser erster Schritt zur Transformation von Nessus, um das Produkt stärker auf die Cloud auszurichten.

Das heute vorgestellte Tenable.cs Agentless Assessment für Amazon Web Services (AWS) baut auf der wegweisenden Grundlage von Tenable.io Frictionless Assessment auf und erweitert diese vollständig, um eine wirklich nahtlose, cloud-native Scanning-Lösung bereitzustellen.

Der Versuch, klassische Konzepte des Schwachstellen-Managements auf Cloud-Workloads anzuwenden, insbesondere auf kurzlebige Workloads, stellt Sicherheitsexperten in der Cloud vor ein häufiges Problem. Durch automatische Skalierung können Cloud-Instanzen hoch- und heruntergefahren werden, was bedeutet, dass Assets, die bewertet werden müssen, im Rahmen von herkömmlichen Scan-Zeitfenstern übersehen werden könnten. Das Verwalten von Zugangsdaten für Dienstkonten, die zu Scanning-Zwecken vorgesehen sind, ist in der Cloud überaus mühsam. Und unterschiedliche Teams dazu zu bringen, Endgeräte-Agents zu standardisieren und einzusetzen oder einfach durch das Sicherheitsteam genehmigte Images zu verwenden, kann eine Herausforderung darstellen. Doch Not macht erfinderisch, heißt es oft, und mit Tenable.cs Agentless Assessment wollten wir von Beginn an eine einzigartige Technologie entwickeln, die diese Hindernisse überwindet.

Dass die Beseitigung von Hindernissen, die den Zeitaufwand zur Erkennung und Erfassung von Schwachstellen erhöhen, im Allgemeinen erheblichen Einfluss auf das Ausmaß des Risikos für ein Unternehmen hat, liegt auf der Hand. Agentless Assessment zielt darauf ab, die Fähigkeiten von Sicherheitsteams zu verbessern, damit sie sich einen vollständigen Einblick in Cloud-Konfigurationen verschaffen und umfassende Schwachstellenbewertungen schnell und effizient durchführen können. Dadurch sind unsere Kunden besser in der Lage, diese Risiken schneller zu senken.

Agentless Assessment und Live Results für AWS

Mit Tenable.cs Agentless Assessment für AWS können Cloud-Sicherheitsteams das volle Potenzial von Nessus zur Bewertung von Schwachstellen und Fehlkonfigurationen nutzen, ohne dass Scanner oder Agents installiert, Zugangsdaten auf Ziel-Hosts konfiguriert oder Scan-Richtlinien eingerichtet werden müssen. Mithilfe eines proprietären Ansatzes sind Benutzer in der Lage, das Onboarding ihrer Cloud-Konten binnen weniger Minuten durchzuführen und sämtliche Assets auf Software-Schwachstellen und auf Fehlkonfigurationen in der Cloud-Sicherheitsaufstellung zu scannen – ohne Auswirkungen auf die Computing-Geschwindigkeit oder -Kosten. Durch die Geschwindigkeit, mit der wir Daten sammeln können, und unseren ereignisorientierten Ansatz kann Tenable deutlich besser sicherstellen, dass sich unsere Kunden auf die von uns bereitgestellten Schwachstelleninformationen verlassen können. Dabei helfen wir Cloud-Sicherheitsteams und Entwicklern, Sicherheitsmängel schnell zu identifizieren, und bieten umsetzbare Empfehlungen zu deren Behebung.

Wenn eine neue Schwachstellenerkennung in unserem Vulnerability Research Feed veröffentlicht wird, sind Sicherheitsteams mit Tenable.cs Live Results zudem in der Lage, potenzielle Schwachstellen in ihrem vorhandenen, bereits erfassten Bestand zu identifizieren, ohne einen neuen Scan durchführen zu müssen. Durch diese nahezu in Echtzeit erfolgende Erkennung und unseren einzigartigen Ansatz zur Schwachstellenbewertung können Benutzer die mittlere Zeit bis zur Behebung (Mean Time to Remediate, MTTR) von Problemen senken. Das Ergebnis: Teams wird kritische Datensicherheit geboten, die sie benötigen, um fundierte Entscheidungen zur Priorisierung ihrer Behebungsmaßnahmen zu treffen.

Zu den weiteren Vorteilen von Tenable.cs Agentless Assessment zählen:

• Unkomplizierte Bereitstellung: Agentless Assessment ist API-gesteuert, wodurch die Bereitstellung zum Kinderspiel wird. Es gibt nur einen einzigen Integrationspunkt: eine schreibgeschützte Rolle zur Prüfung auf Fehlkonfigurationen und Schwachstellen – in einem Durchlauf.
• 2-in-1-Lösung: Mit einem einzigen Tool kann auf Schwachstellen und Cloud-Infrastruktur-Konfigurationen gescannt werden.
• Begrenzter Scan-Overhead: Es gibt keine Agents, die bereitgestellt oder eingebunden werden müssen, keine Scanvorlagen und auch keine zu definierenden Richtlinien. Daten fließen einfach in Tenable.cs hinein.
• Goldstandard in Sachen Schwachstellenerkennung: Die Feeds für Schwachstellen und Bedrohungen von Tenable Research, auf die Tausende von Unternehmen aus aller Welt vertrauen, werden auch von Agentless Assessment verwendet.
• Beständige Gewissheit bei Schwachstellen: Wenn neue Schwachstellen identifiziert und entsprechende Erkennungen erstellt werden, scannt und bewertet die Tenable.cs Live Results-Funktion alle gespeicherten Bestandslisten sofort erneut – anhand des aktuellsten Schwachstellen-Feeds.
• Sicherheit: Die Scans erfolgen schreibgeschützt, es sind keinerlei Schreibrechte notwendig.
• Flexibilität: Das Tool ermöglicht es Benutzern, kontinuierlich ereignisorientierte SaaS-Scans (Software-as-a-Service), zeitlich geplante Scans oder einfach manuelle Scans auf Ad-hoc-Basis durchzuführen.

Darüber hinaus können Cloud-Sicherheitsteams mit Tenable.cs Agentless Assessment ganz einfach sicherstellen, dass AWS-Cloud-Workloads richtig konfiguriert sind. Hierzu stehen vorgefertigte Richtlinienvorlagen zur Verfügung, um Risiken während der Laufzeit zu erkennen, wie etwa:

• Identitätsbasierte Risiken (z. B. Administratoren mit übermäßigen Berechtigungen)
• Unsichere Speicherkonfiguration oder Zugriffsaktivitäten (z. B. weit offene und/oder unverschlüsselte S3-Buckets [Amazon Simple Storage Service] in AWS usw.)
• Unsichere Erstellung und Löschung von Instanzen
• Unsichere Netzwerkkonfigurationen und -aktivitäten
• Und viele weitere mehr…

Verwendung von Agentless Assessment für AWS

Schritt 1: Onboarding all Ihrer AWS-Konten in wenigen Minuten durchführen 

Die ersten Schritte sind ganz einfach und schnell erledigt. Sie benötigen nichts weiter als eine schreibgeschützte Rolle, die über unsere mitgelieferte CloudFormation-Vorlage ganz einfach bereitgestellt werden kann. Für AWS-Umgebungen mit mehreren Konten stellen wir ein CloudFormation StackSet zur Verfügung, das die erforderliche Rolle in allen dazugehörigen untergeordneten Konten automatisch bereitstellt.

Quelle: Tenable, August 2022

Schritt 2: Snapshots von AWS Elastic Block Store (EBS) erstellen

Dieser Schritt zählt zu den Grundvoraussetzungen, da der Agentless Assessment-Prozess installierte Paketdaten aus EC2-Storage-Snapshots (Elastic Compute Cloud) ausliest. Sie können Snapshots manuell erstellen oder den Prozess mithilfe des AWS Data Lifecycle Manager (DLM) automatisieren. Auch wenn Snapshots manuell erstellt werden können, empfiehlt Tenable, diesen Prozess zu automatisieren. Weitere Orientierungshilfen finden Sie hier:

• Manuelles Erstellen von EBS-Snapshots
• Automatisieren der EBS-Snapshot-Erstellung mit AWS DLM

Quelle: Tenable, August 2022

Schritt 3: Agentless Assessment-Scans starten

Wenn Sie Agentless Assessment nutzen, gibt es keine Scanvorlagen, die konfiguriert werden müssen. Und da Sie die Rolle schon bereitgestellt haben, müssen Sie auch keine Zugangsdaten einrichten. Erstellen Sie ein neues Tenable.cs AWS-Projekt, wählen Sie „EC2“ als den zu scannenden AWS-Service aus und starten Sie den Scan bei Bedarf oder anhand eines Zeitplans. An diesem Punkt fließen Daten einfach in Tenable.cs hinein und Schwachstellen werden innerhalb des einheitlichen „Findings“-Workspace aufgeführt.

Quelle: Tenable, August 2022

Schritt 4: Aktuellen Einblick in all Ihre Cloud-Assets gewinnen – in einer einfach durchsuchbaren Ansicht

Während Daten in Tenable.cs hineinfließen, können Benutzer vorhandene Funktionalitäten verwenden, um Schwachstellen für die Behebung zu priorisieren. Agentless Assessment nutzt denselben großartigen Schwachstellen-Feed von Tenable Research, sodass Benutzer zur erweiterten Risikopriorisierung sofort auf das Vulnerability Priority Rating zugreifen können. An dieser Stelle kommen zudem die Vorteile von Live Results ins Spiel: Da Daten jetzt in Tenable.cs hineinfließen, wird der bereits erfasste Bestand anhand neuer Schwachstellen-Checks evaluiert.

Quelle: Tenable, August 2022

Wie geht es weiter?

Bestehende Tenable-Kunden können jetzt frühzeitig Zugang zu Tenable.cs Agentless Assessment für AWS erhalten. Die allgemeine Verfügbarkeit der neuen Funktionalität ist für Ende September geplant. Tenable geht davon aus, Agentless Assessment für Microsoft Azure und Google Cloud Platform (GCP) im 4. Quartal zu veröffentlichen – neben zusätzlichen Erweiterungen für Container-Sicherheit.

Mehr erfahren

• Blog lesen: Wir stellen vor: Tenable Cloud Security mit Agentless Assessment und Live Results
• Nehmen Sie am Webinar teil: Was ist neu in Tenable Cloud Security?
• Besuchen Sie die Tenable.cs-Produktseite: https://de.tenable.com/products/tenable-cs