Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Lückenlose IT-Transparenz erfordert Kontext zu Geschäftsrisiken

Lückenlose IT-Transparenz erfordert Kontext zu Geschäftsrisiken

Ein vollständiger, kontinuierlich aktualisierter und detaillierter Überblick über sämtliche IT-Assets ist für Sicherheitsteams eines der am schwierigsten zu erreichenden Ziele. Hierzu muss zunächst geklärt werden, was der Begriff „Transparenz“ tatsächlich bedeutet. Es geht dabei um mehr, als einfach nur zu ermitteln, was vorhanden ist, und zu wissen, welche Herausforderungen bewältigt werden müssen.

Ein Blick auf den Ausgangspunkt sämtlicher Frameworks oder Best Practices für Informationssicherheit der letzten 20 Jahre zeigt, dass die Anfangsphase stets mit „Erfassen“, „Identifizieren“, „Verstehen“ oder einer Abwandlung davon in Zusammenhang steht. Im Grunde genommen bringen all diese Begriffe zum Ausdruck, dass wir nur das schützen können, von dem wir auch wissen, dass es existiert. Oder noch deutlicher: Erst wenn wir wissen, was wir haben, können wir sinnvolle Entscheidungen darüber treffen, wie und wo wir unsere Umgebungen schützen müssen. Ein umfassender Überblick darüber, welche Assets Teil unserer Gesamtinfrastruktur sind, ist der entscheidende grundlegende Baustein jedes erfolgreichen Sicherheitsprogramms.

Obwohl dies weithin akzeptiert und anerkannt ist, werden Ihnen die meisten Sicherheitsfachkräfte bestätigen, dass es immer noch unglaublich schwierig ist, diesen Zustand der vollständigen Transparenz zu erreichen. Sicherheitsteams implementieren eine Vielzahl von Tools und verbringen viel Zeit mit der Integration von Datenbeständen aus Asset-Management-Systemen und anderen potenziellen Sources of Truth. Und dennoch werden nur wenige mit Überzeugung von sich behaupten können, ihre Umgebung wirklich zu verstehen. Woran liegt das? Zum größten Teil an zwei wichtigen Überlegungen, die außer Acht gelassen werden, wenn Unternehmen versuchen, ihre Umgebung zu verstehen:

  • Suchen und identifizieren Sie tatsächlich all Ihre Assets oder nur diejenigen, die Sie zu kennen glauben?
  • Verstehen Sie den Kontext von Assets in Bezug auf Sicherheitsergebnisse, Risiken sowie Auswirkungen auf Ihr Unternehmen?

Vollständige Transparenz zu erreichen bedeutet in erster Linie, alle technischen Assets in Ihrer Umgebung zu identifizieren und zu bewerten – nicht nur die „einfachen“, die den meisten IT- und Sicherheitsteams vertraut sind. Mit Servern, Workstations, Geräten der Netzwerkinfrastruktur und anderen traditionellen IT-Geräten zu beginnen, ist überaus sinnvoll. Doch es kommt nur allzu häufig vor, dass andere Assets übersehen oder ganz vergessen werden. Was ist sonst noch vorhanden? Gehen Sie der Frage nach, ob Ihr Team die folgenden Assets identifiziert:

  • Datenbanken
  • Webanwendungen
  • OT-, ICS-, SCADA- und industrielle IoT-Geräte
  • Cloud-Infrastruktur
  • Virtualisierungsplattformen
  • Container
  • Services zur Cloud-Orchestrierung
  • IaC-Konfigurationen (Infrastructure as Code)
  • Active Directory/Zugangsdaten/Gruppen
  • Öffentlich zugängliche Hosts/Hostnamen/Datensätze

Die Liste ließe sich beliebig fortführen. Auch wenn es möglicherweise als zu schwierig angesehen wird, diese Art von Assets zu identifizieren, so sind sie doch für die meisten Unternehmen von entscheidender Bedeutung. Sie sind durch Cyberangriffe gefährdet, und wenn sie kompromittiert werden, wirkt sich dies auf das finanzielle Wohl und den Ruf des Unternehmens aus. Wenn Sicherheitsteams einen bedeutenden ersten Schritt in Richtung verbesserter Transparenz und eines umfassenderen Verständnisses der Umgebung machen möchten, müssen sie neben den traditionellen Assets, die uns allen bereits vertraut sind, auch all diese Assets in den Griff bekommen. 

Genau aus diesem Grund hat Tenable die auf unserer Plattform verfügbaren Tools kontinuierlich erweitert, sodass Assets wie diese sicher und ordnungsgemäß identifiziert und die entsprechenden Daten an einem zentralen Ort zusammengeführt werden können. Zur Identifizierung von Schwachstellen und anderen Sicherheitsrisiken muss es zunächst möglich sein, das jeweilige Ziel zu identifizieren und zu verstehen. Mit diesem Maß an Transparenz sind Unternehmen besser in der Lage nachzuvollziehen, wo die größten Risiken in ihrer Umgebung vorliegen, und können dann zu den notwendigen Schritten übergehen, um Risiken dort zu mindern, wo es am wichtigsten ist.

Einige Unternehmen sind vielleicht schon so weit, dass sie die Asset-Inventarisierung sehr gut beherrschen und gut nachvollziehen können, wie ihre Umgebung aussieht. Doch dies ist ein weiterer Punkt, an dem das Vorhaben zu scheitern droht. Viele verschiedenartige Daten, die in der Regel auf diverse Repositorys verteilt sind, bedeuten für Sicherheitsteams viel Aufwand bei der Datentransformation. Und das nicht nur, um Informationen zwecks besserer Analyse an einem Ort zusammenzuführen. Sicherheitsteams müssen auch Wege finden, die gesammelten Informationen zu normalisieren. Schließlich hat nicht jedes Asset eine IP-Adresse oder einen Hostnamen. Code-Repositorys haben nicht dieselben Identifizierungsmerkmale wie eine Container-Instanz. Webanwendungen könnten anhand des Domänennamens oder der URL identifizierbar sein, doch eine industrielle speicherprogrammierbare Steuerung (SPS) ist unter Umständen nicht einmal mit einem bekannten Netzwerk verbunden. 

Und nicht nur die elementaren Identifizierungsmerkmale von Assets sind vielfältig und komplex. Schwachstellen oder Sicherheitsergebnisse jedweder Art sind – in Abhängigkeit des jeweiligen Assets – genauso unterschiedlich und grundverschieden. Ein Server kann eine leicht zu identifizierende Schwachstelle aufweisen, der eine CVE-Kennung zugewiesen ist. Doch für eine IaC-Fehlkonfiguration gibt es überhaupt kein standardmäßiges Identifizierungsmerkmal. Bei Schwachstellen in Webanwendungen, wie etwa SQL Injection- und Cross-Site-Scripting-Schwachstellen, handelt es sich eher um Techniken als um spezifische, konsistent identifizierbare Schwachstellen in Betriebssystemen. Und in der Welt von Active Directory sind zugrunde liegende Sicherheitsprobleme auf Kompromittierungen zurückzuführen, die die Art und Weise betreffen, wie AD funktioniert und Zugangsdaten im gesamten Unternehmen validiert. Dies lässt sich nicht einfach mit einem fehlenden Patch beheben. 

Angenommen, Ihr Sicherheitsteam hat die Aufgabe, den Risiken innerhalb der Umgebung auf den Grund zu gehen und zu entscheiden, was wo genau als Erstes zu entschärfen ist: Wo würden Sie überhaupt ansetzen, wenn Sie bei Ihrer Betrachtung nicht Gleiches mit Gleichem vergleichen können? Konkret vergleicht man bei verschiedenartigen Daten dieser Art nicht einmal Äpfel mit Birnen, sondern vielmehr Äpfel mit Raumschiffen, Pinguinen und Adjektiven. Den Kontext von Assets und der entsprechenden Sicherheitsergebnisse zu verstehen, ist von entscheidender Bedeutung. Zunächst müssen wir all diese Informationen zusammentragen und so normalisieren, dass es eine konsistente und messbare Möglichkeit gibt, das mit jedem einzelnen Fund verbundene Risiko für das Unternehmen nachzuvollziehen. Dann können wir dazu übergehen, die verschiedenen Risikofaktoren miteinander in Beziehung zu setzen, und nach bestem Ermessen bestimmen, wo das größte Risiko für das Unternehmen besteht, wie hoch das Risiko ist und was zu dessen Eindämmung getan werden muss. Das Sammeln von Daten ist schon schwierig genug. Doch selbst wenn Sie diesen Teil meistern, werden Sie es nicht weit bringen, wenn Sie sich nicht auf die wirklich wichtigen Dinge konzentrieren können. Sie werden mit einer Vielzahl von Spreadsheets und Datenbanken überhäuft, die Sie bewältigen müssen, während Sie sich weiterhin die Frage stellen, wo Sie überhaupt anfangen sollen.

Möchten Sie weitere Anleitungen für Ihre Sicherheitsstrategie? Lesen Sie den Rückblick auf die Bedrohungslandschaft 2021 von Tenable, der eine umfassende Analyse der Bedrohungslandschaft des letzten Jahres bietet, die Sicherheitsexperten nutzen können, um ihre Sicherheit jetzt zu verbessern. Sehen Sie sich außerdem dieses Webinar an: „Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First.“

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Testversion von Tenable.cs Cloud Security umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen