Erfassung und kontinuierliche Bewertung Ihrer gesamten Angriffsoberfläche
Um blinde Flecken im Netzwerk zu beseitigen und Ihre gesamte Angriffsoberfläche vollständig zu durchblicken, ist es wichtig zu ermitteln, welche Tools zur Erfassung und Bewertung der einzelnen Asset-Typen erforderlich sind.
Wenn Sie schon länger im Sicherheitsbereich tätig sind, haben Sie zweifellos beobachtet, wie sich Ihr Netzwerk von ausschließlich vor Ort befindlichen, herkömmlichen IT-Ressourcen zu einer Kombination aus On-Premises- und Cloud-basierten Umgebungen mit einer Vielzahl von Asset-Typen entwickelt hat, darunter virtuelle Plattformen, Cloud-Services, Container, Web-Apps, operative Technologie (OT) und Internet of Things (IoT). Diese Entwicklung an sich wird von Sicherheitsexperten durchaus verstanden. Trotzdem tun sich viele immer noch schwer, entsprechende Änderungen vorzunehmen, die sie in die Lage versetzen, ihr breites Spektrum an modernen digitalen Assets vollständig zu erfassen und ordnungsgemäß zu bewerten.
Zu einer Zeit, als Netzwerke nicht mehr waren als homogene Ansammlungen von physischen, vor Ort befindlichen IT-Ressourcen, die größtenteils innerhalb des streng kontrollierten Rechenzentrums und IP-Adressenbereichs des Unternehmens angesiedelt waren, war es völlig ausreichend, einen Netzwerk-Schwachstellen-Scanner auszuführen, um zu erkennen, welche Assets man besaß und wo man exponiert war. Nicht selten wurde das Unmögliche versucht, wenn es darum ging, zu bewerten, wo man potenziell durch die Ausnutzung von Schwachstellen durch Angreifer gefährdet war. Doch bei der heutigen Vielzahl von Asset-Typen benötigen Sie mehr zweckbestimmte Tools, um auf sichere und präzise Weise Transparenz über die gesamte Angriffsoberfläche zu erlangen und die Sicherheitslage jedes einzelnen Assets genau zu kennen, unabhängig davon, wo es sich in der Umgebung befindet.
Für die meisten modernen Asset-Typen ist eine spezifische Methodik und/oder ein spezifisches Toolset erforderlich, um sie zu erfassen und genau zu bewerten. Hier einige Beispiele:
- Cloud-Konnektoren: Da Cloud-Umgebungen nicht physisch mit dem Netzwerk verbunden sind, ist ein Konnektor erforderlich, damit sie mit der Schwachstellen-Management-Plattform in Kontakt bleiben.
- Agents: Assets wie beispielsweise Laptops sind bei routinemäßigen Scans häufig nicht mit dem Netzwerk verbunden, sodass ihre Schwachstellen über lange Zeiträume hinweg nicht erkannt werden. Dieses Problem kann durch die lokale Installation von Agents auf dem Host gelöst werden, die das Asset kontinuierlich überwachen und Ergebnisse zurückmelden, sobald es mit dem Netzwerk verbunden ist.
- Sensoren zur aktiven Abfrage für OT-Geräte: Die meisten Assets in OT- und IoT-Umgebungen sind zweckgebundene Systeme, die völlig anders arbeiten als herkömmliche IT-Assets. Aus diesem Grund sollten sie möglichst mittels Sensoren bewertet werden, die diese Geräte in ihrer nativen Befehlssprache auf sichere Weise abfragen können (und NICHT scannen!), um zu ermitteln, ob Schwachstellen oder Fehlkonfigurationen vorhanden sind. Dies ermöglicht ein kontinuierliches Monitoring nicht nur auf potenzielle Angriffe, sondern auch auf Fehlkonfigurationen bei Einstellungen und Schwellenwerten.
- Web-App-Scanner: Aus verschiedenen Gründen sehen Web-Apps anders aus und verhalten sich anders als herkömmliche IT-Assets. Zudem werden ihre Schwachstellen in der Regel als Common Weakness Enumerations (CWEs) und nicht als Common Vulnerabilities and Exposures (CVEs) kategorisiert. Daher ist zur Erfassung und Bewertung von Webanwendungen ein speziell konzipierter Scanner erforderlich, um sich ein Bild von der Sicherheitslage Ihrer Webanwendungen zu machen.
- Container-Sicherheit: Moderne digitale Assets, wie etwa Container-Images, können nicht mit herkömmlichen Methoden bewertet werden. Speziell für Container entwickelte Sicherheitsgeräte können Container-Images speichern und scannen, während die Images erstellt werden. Sie ermöglichen die Erkennung von Schwachstellen und Malware sowie kontinuierliches Monitoring und Validierung von Container-Images.
Ein großes Problem, mit dem Sicherheitsexperten heute konfrontiert sind, besteht natürlich darin, dass es weit mehr Schwachstellen gibt, als sie jemals bewältigen können. Sämtliche Schwachstellen anzugehen, ist für die meisten Unternehmen aufgrund von Ressourcen- und Zeitmangel einfach nicht machbar. Stattdessen müssen Sie ermitteln, welche Schwachstellen tatsächlich das größte Risiko für Ihre wichtigsten Systeme darstellen, damit Sie Ihre Behebungsmaßnahmen effektiv priorisieren können.
Um eine effektive Priorisierung von Schwachstellen durchzuführen, müssen Sie Ihre Sicherheitsdaten analysieren, um jede Schwachstelle vollständig im Kontext zu begreifen. Das Problem ist nur, dass Sie wahrscheinlich so oder so schon zu viele Daten haben, die analysiert werden müssen, und dass Sie sie vermutlich alle manuell auswerten. Und mit jedem der oben erwähnten Sicherheitstools werden noch mehr Daten generiert, wodurch sich das Problem weiter verschärft. Aus diesem Grund benötigen Sie eine umfassende Plattform für das Schwachstellen-Management, die in der Lage ist, alle Arten von Sicherheitsdaten aufzunehmen, und Automatisierung einsetzt, um sie umgehend zu verarbeiten und zu analysieren. Auf diese Weise erhalten Sie die benötigten Sicherheitserkenntnisse mit der erforderlichen Geschwindigkeit.
Kurz gesagt: Wenn Sie für jeden Asset-Typ die richtigen Erfassungs- und Bewertungstools einsetzen, können Sie blinde Flecken in Ihrem Netzwerk beseitigen und so Ihre gesamte Angriffsoberfläche vollständig nachvollziehen. Und mit einem Schwachstellen-Management-Tool, das die Daten aus allen diesen Tools aufnehmen kann, sind Sie in der Lage, Ihre verschiedenen Assets in einer einheitlichen, zentralen Ansicht zu bewerten, so dass Sie Ihre Maßnahmen zur Behebung von Schwachstellen richtig priorisieren können.
Mehr erfahren
- Möchten Sie mehr darüber erfahren, wie Sie die richtigen Sensoren und Methoden zur Erfassung und Bewertung Ihrer gesamten Angriffsoberfläche ermitteln – und wie Sie anschließend effektiv mit der Unmenge an Daten umgehen, die mit dieser zusätzlichen Transparenz einhergeht? Sehen Sie sich dieses Webinar an (in englischer Sprache): It May Be Time to Stop Freaking Out About Too Many Vulnerabilities
- Erfahren Sie, wie Sie von herkömmlichem Schwachstellen-Management zu einem risikobasierten Ansatz migrieren und welche Tools, Produkte und Partner-Integrationen für die einzelnen Verfahrensschritte empfohlen werden. Lesen Sie das Whitepaper: Referenzarchitektur: Risikobasiertes Schwachstellen-Management
- Informieren Sie sich, warum eine einheitliche Schwachstellen-Management-Plattform notwendig ist, um Ihre gesamte Angriffsoberfläche dynamisch bewerten und verteidigen zu können. Lesen Sie das Wgitepaper: Überwinden der Herausforderungen, die durch unterschiedliche Schwachstellen-Management-Tools entstehen
Verwandte Artikel
- Cloud
- Risk-based Vulnerability Management
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning