Lückenlose IT-Transparenz erfordert Kontext zu Geschäftsrisiken

Ein vollständiger, kontinuierlich aktualisierter und detaillierter Überblick über sämtliche IT-Assets ist für Sicherheitsteams eines der am schwierigsten zu erreichenden Ziele. Hierzu muss zunächst geklärt werden, was der Begriff „Transparenz“ tatsächlich bedeutet. Es geht dabei um mehr, als einfach nur zu ermitteln, was vorhanden ist, und zu wissen, welche Herausforderungen bewältigt werden müssen.

Ein Blick auf den Ausgangspunkt sämtlicher Frameworks oder Best Practices für Informationssicherheit der letzten 20 Jahre zeigt, dass die Anfangsphase stets mit „Erfassen“, „Identifizieren“, „Verstehen“ oder einer Abwandlung davon in Zusammenhang steht. Im Grunde genommen bringen all diese Begriffe zum Ausdruck, dass wir nur das schützen können, von dem wir auch wissen, dass es existiert. Oder noch deutlicher: Erst wenn wir wissen, was wir haben, können wir sinnvolle Entscheidungen darüber treffen, wie und wo wir unsere Umgebungen schützen müssen. Ein umfassender Überblick darüber, welche Assets Teil unserer Gesamtinfrastruktur sind, ist der entscheidende grundlegende Baustein jedes erfolgreichen Sicherheitsprogramms.

Obwohl dies weithin akzeptiert und anerkannt ist, werden Ihnen die meisten Sicherheitsfachkräfte bestätigen, dass es immer noch unglaublich schwierig ist, diesen Zustand der vollständigen Transparenz zu erreichen. Sicherheitsteams implementieren eine Vielzahl von Tools und verbringen viel Zeit mit der Integration von Datenbeständen aus Asset-Management-Systemen und anderen potenziellen Sources of Truth. Und dennoch werden nur wenige mit Überzeugung von sich behaupten können, ihre Umgebung wirklich zu verstehen. Woran liegt das? Zum größten Teil an zwei wichtigen Überlegungen, die außer Acht gelassen werden, wenn Unternehmen versuchen, ihre Umgebung zu verstehen:

• Suchen und identifizieren Sie tatsächlich all Ihre Assets oder nur diejenigen, die Sie zu kennen glauben?
• Verstehen Sie den Kontext von Assets in Bezug auf Sicherheitsergebnisse, Risiken sowie Auswirkungen auf Ihr Unternehmen?

Vollständige Transparenz zu erreichen bedeutet in erster Linie, alle technischen Assets in Ihrer Umgebung zu identifizieren und zu bewerten – nicht nur die „einfachen“, die den meisten IT- und Sicherheitsteams vertraut sind. Mit Servern, Workstations, Geräten der Netzwerkinfrastruktur und anderen traditionellen IT-Geräten zu beginnen, ist überaus sinnvoll. Doch es kommt nur allzu häufig vor, dass andere Assets übersehen oder ganz vergessen werden. Was ist sonst noch vorhanden? Gehen Sie der Frage nach, ob Ihr Team die folgenden Assets identifiziert:

• Datenbanken
• Webanwendungen
• OT-, ICS-, SCADA- und industrielle IoT-Geräte
• Cloud-Infrastruktur
• Virtualisierungsplattformen
• Container
• Services zur Cloud-Orchestrierung
• IaC-Konfigurationen (Infrastructure as Code)
• Active Directory/Zugangsdaten/Gruppen
• Öffentlich zugängliche Hosts/Hostnamen/Datensätze

Die Liste ließe sich beliebig fortführen. Auch wenn es möglicherweise als zu schwierig angesehen wird, diese Art von Assets zu identifizieren, so sind sie doch für die meisten Unternehmen von entscheidender Bedeutung. Sie sind durch Cyberangriffe gefährdet, und wenn sie kompromittiert werden, wirkt sich dies auf das finanzielle Wohl und den Ruf des Unternehmens aus. Wenn Sicherheitsteams einen bedeutenden ersten Schritt in Richtung verbesserter Transparenz und eines umfassenderen Verständnisses der Umgebung machen möchten, müssen sie neben den traditionellen Assets, die uns allen bereits vertraut sind, auch all diese Assets in den Griff bekommen. 

Genau aus diesem Grund hat Tenable die auf unserer Plattform verfügbaren Tools kontinuierlich erweitert, sodass Assets wie diese sicher und ordnungsgemäß identifiziert und die entsprechenden Daten an einem zentralen Ort zusammengeführt werden können. Zur Identifizierung von Schwachstellen und anderen Sicherheitsrisiken muss es zunächst möglich sein, das jeweilige Ziel zu identifizieren und zu verstehen. Mit diesem Maß an Transparenz sind Unternehmen besser in der Lage nachzuvollziehen, wo die größten Risiken in ihrer Umgebung vorliegen, und können dann zu den notwendigen Schritten übergehen, um Risiken dort zu mindern, wo es am wichtigsten ist.

Einige Unternehmen sind vielleicht schon so weit, dass sie die Asset-Inventarisierung sehr gut beherrschen und gut nachvollziehen können, wie ihre Umgebung aussieht. Doch dies ist ein weiterer Punkt, an dem das Vorhaben zu scheitern droht. Viele verschiedenartige Daten, die in der Regel auf diverse Repositorys verteilt sind, bedeuten für Sicherheitsteams viel Aufwand bei der Datentransformation. Und das nicht nur, um Informationen zwecks besserer Analyse an einem Ort zusammenzuführen. Sicherheitsteams müssen auch Wege finden, die gesammelten Informationen zu normalisieren. Schließlich hat nicht jedes Asset eine IP-Adresse oder einen Hostnamen. Code-Repositorys haben nicht dieselben Identifizierungsmerkmale wie eine Container-Instanz. Webanwendungen könnten anhand des Domänennamens oder der URL identifizierbar sein, doch eine industrielle speicherprogrammierbare Steuerung (SPS) ist unter Umständen nicht einmal mit einem bekannten Netzwerk verbunden. 

Und nicht nur die elementaren Identifizierungsmerkmale von Assets sind vielfältig und komplex. Schwachstellen oder Sicherheitsergebnisse jedweder Art sind – in Abhängigkeit des jeweiligen Assets – genauso unterschiedlich und grundverschieden. Ein Server kann eine leicht zu identifizierende Schwachstelle aufweisen, der eine CVE-Kennung zugewiesen ist. Doch für eine IaC-Fehlkonfiguration gibt es überhaupt kein standardmäßiges Identifizierungsmerkmal. Bei Schwachstellen in Webanwendungen, wie etwa SQL Injection- und Cross-Site-Scripting-Schwachstellen, handelt es sich eher um Techniken als um spezifische, konsistent identifizierbare Schwachstellen in Betriebssystemen. Und in der Welt von Active Directory sind zugrunde liegende Sicherheitsprobleme auf Kompromittierungen zurückzuführen, die die Art und Weise betreffen, wie AD funktioniert und Zugangsdaten im gesamten Unternehmen validiert. Dies lässt sich nicht einfach mit einem fehlenden Patch beheben. 

Angenommen, Ihr Sicherheitsteam hat die Aufgabe, den Risiken innerhalb der Umgebung auf den Grund zu gehen und zu entscheiden, was wo genau als Erstes zu entschärfen ist: Wo würden Sie überhaupt ansetzen, wenn Sie bei Ihrer Betrachtung nicht Gleiches mit Gleichem vergleichen können? Konkret vergleicht man bei verschiedenartigen Daten dieser Art nicht einmal Äpfel mit Birnen, sondern vielmehr Äpfel mit Raumschiffen, Pinguinen und Adjektiven. Den Kontext von Assets und der entsprechenden Sicherheitsergebnisse zu verstehen, ist von entscheidender Bedeutung. Zunächst müssen wir all diese Informationen zusammentragen und so normalisieren, dass es eine konsistente und messbare Möglichkeit gibt, das mit jedem einzelnen Fund verbundene Risiko für das Unternehmen nachzuvollziehen. Dann können wir dazu übergehen, die verschiedenen Risikofaktoren miteinander in Beziehung zu setzen, und nach bestem Ermessen bestimmen, wo das größte Risiko für das Unternehmen besteht, wie hoch das Risiko ist und was zu dessen Eindämmung getan werden muss. Das Sammeln von Daten ist schon schwierig genug. Doch selbst wenn Sie diesen Teil meistern, werden Sie es nicht weit bringen, wenn Sie sich nicht auf die wirklich wichtigen Dinge konzentrieren können. Sie werden mit einer Vielzahl von Spreadsheets und Datenbanken überhäuft, die Sie bewältigen müssen, während Sie sich weiterhin die Frage stellen, wo Sie überhaupt anfangen sollen.

Möchten Sie weitere Anleitungen für Ihre Sicherheitsstrategie? Lesen Sie den Rückblick auf die Bedrohungslandschaft 2021 von Tenable, der eine umfassende Analyse der Bedrohungslandschaft des letzten Jahres bietet, die Sicherheitsexperten nutzen können, um ihre Sicherheit jetzt zu verbessern. Sehen Sie sich außerdem dieses Webinar an: „Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First.“