Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren
  • Twitter
  • Facebook
  • LinkedIn

Schutz Ihrer Cloud-Assets: Wo beginnen?

Schutz Ihrer Cloud-Assets: Wo beginnen?

Wenn Sie im Rahmen der Absicherung dynamischer Cloud-Umgebungen die Fähigkeit besitzen, Cloud-Ressourcen fortlaufend zu erfassen und zu bewerten, können Sie Probleme schnell erkennen, sobald neue Schwachstellen aufgedeckt werden und sich Ihre Umgebung verändert. Hier einige wichtige Tipps und Informationen zum Einstieg.  

Cloud-Services und -Applikationen sind flexibel und kostengünstig. Vor allem aber bieten sie Ihnen die Möglichkeit, schnell auf Kundenbedürfnisse zu reagieren und die immer größere Zahl von Mitarbeitern im Homeoffice zu betreuen. Tatsache ist, dass 81 % aller Unternehmen zumindest eine Applikation oder einen Teil ihrer Computing-Infrastruktur in der Cloud betreiben. 

Doch mit den Vorteilen von Agilität und Effizienz geht die Herausforderung einher, Ihre Assets und Workloads in der Cloud zu schützen und abzusichern. Wenn High-Profile-Sicherheitsverletzungen uns eines gelehrt haben, dann dass Sie als Datenbesitzer letztlich für Ihre Cloud-Assets verantwortlich sind – nicht Ihre Cloud Service Provider.

Angesichts der zunehmenden Anzahl neuer Schwachstellen in Netzwerken, Endgeräten und Cloud-Umgebungen wird Ihnen möglicherweise auch klar, dass Ihre alten Tools für das Schwachstellen-Management (Vulnerability Management, VM) der heutigen komplexen IT-Landschaft nicht gewachsen sind und Ihre moderne Angriffsoberfläche nicht schützen können. Von 2015 bis 2020 stieg die Zahl der gemeldeten CVEs mit einer durchschnittlichen jährlichen Wachstumsrate von 36,6 %. Daher benötigen Sie eine effektive Lösung, die Sie dabei unterstützt, Behebungsmaßnahmen basierend auf dem Risiko dieser Schwachstellen für Ihr Unternehmen zu priorisieren. 

Wo also anfangen? Ich empfehle, immer zuerst die eigenen Mitarbeiter, Prozesse und Technologien unter die Lupe zu nehmen – und zwar genau in dieser Reihenfolge. Der Grund dafür? Sie können die besten Technologien bereitgestellt haben, aber wenn Ihr Sicherheitsteam sich nicht mit Ihrem Cloud-Team austauscht oder Geschäftsprozesse fehlerhaft sind, werden Sie dennoch nicht in der Lage sein, alles Notwendige in der Cloud zu schützen.

Drei Sicherheitsherausforderungen, die Sie zuerst angehen müssen:

  1. Ihre Mitarbeiter kommunizieren nicht miteinander: Ich habe selbst erlebt, welche Kluft zwischen dem Sicherheitsteam und den Geschäftsbereichen besteht. Einer meiner IT-Kollegen beschrieb die Situation folgendermaßen: „Zu versuchen, mit den Gruppen im Unternehmen zusammenzuarbeiten, ähnelt einem Spaziergang mit meinem Yorkshire Terrier an einem kalten Wintermorgen. Ich ziehe an der Leine, um einen bestimmten Weg einzuschlagen, während mein Hund in die andere Richtung drängt, weil ihm mein Weg nicht passt. Am Ende sind wir beide erschöpft.“ In vielen Unternehmen arbeiten die Sicherheits- und Cloud-Teams in voneinander getrennten Geschäftsbereichen. In einer kürzlich von Tenable in Auftrag gegebenen Studie von Forrester Consulting gab nur die Hälfte der über 400 befragten Sicherheitsverantwortlichen an, mit anderen Teams zusammenzuarbeiten, um Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Wenn Ihre Teams nicht zusammenarbeiten, ist es für Sie schwierig, Ihre Cloud-Assets zu schützen, zu kontrollieren und sichtbar zu machen. Dadurch gerät Ihre Sicherheitslage in Gefahr.
  2. Ihr Geschäftsprozess weist Lücken auf: In einem herkömmlichen On-Prem-Netzwerk ist es relativ einfach, Workloads und Applikationen im Blick zu behalten. In Cloud-Umgebungen hingegen ist es schwer, herauszufinden, wie groß Ihr Footprint tatsächlich ist. Dies liegt daran, dass IT-fremde Funktionsbereiche wie etwa die Marketingabteilung oder auch Entwickler häufig Cloud-Assets erstellen (und manchmal einfach vergessen). Dadurch ist es schwierig, sich ein realistisches Bild von Ihrem gesamten Bestand in der Cloud zu machen. Ein Unternehmen, mit dem ich mich kürzlich traf, dachte beispielsweise, es hätte über 2.000 Cloud-Assets in AWS. Im Anschluss an einen Discovery-Scan fanden sich jedoch knapp 3.500 Assets. Bei näherer Untersuchung stießen wir auf Lücken im Geschäftsprozess in Zusammenhang mit nicht getaggten Assets und verschwundenen Unterkonten. Und das ist in vielen Unternehmen nicht ungewöhnlich.
  3. „Etwas, von dem man nichts weiß, kann man auch nicht schützen.“: Dieser Satz klingt schon beinahe nach einem Klischee, ist im Hinblick auf die Absicherung Ihrer Cloud-Assets aber sehr zutreffend. Unternehmen haben Schwierigkeiten, kurzlebige Assets in dynamischen Cloud-Umgebungen zu erfassen und zu bewerten. In der Forrester-Studie gaben nur 44 % der über 800 befragten Sicherheits- und Geschäftsverantwortlichen an, dass ihr Sicherheitsteam die wichtigsten Assets ihres Unternehmens gut überblicken kann. Aus eigenen Untersuchungen von Tenable geht hervor, dass selbst wenn Assets erfasst werden, nur 20 % davon tatsächlich auf Gefährdungen hin bewertet werden. Der Grund dafür ist, dass herkömmliches Schwachstellen-Management sich in der Cloud als schwierig und zeitaufwendig erweist. Scanner und Agents müssen installiert werden und neue Schwachstellen-Erkennungen können sich um mehrere Wochen verzögern. Kurzum: Traditionelle IT-Sicherheit kann mit der Geschwindigkeit der Cloud nicht mithalten.

An dieser Stelle fragen Sie sich vermutlich: Meine Güte, wie können wir das alles in den Griff bekommen? Keine Sorge – lesen Sie einfach weiter, wir helfen Ihnen dabei. 

Schutz Ihrer Cloud-Assets: Drei entscheidende Schritte

  1. Bringen Sie Ihre Teams auf eine Linie, um die richtigen Cloud-Gespräche zu führen: Ein entscheidender erster Schritt, um konsistente Transparenz und Kontrolle über Ihre Cloud-Assets zu erreichen, besteht darin, Abteilungssilos zu beseitigen und eine kooperative Umgebung für Ihre Teams aufzubauen. Basierend auf der Studie von Forrester ist es bei Business-orientierten Sicherheitsverantwortlichen im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren. Bei Gesprächen mit Teammitgliedern, die die Cloud nutzen, ist es wichtig, die Auswirkungen von Cybersecurity-Bedrohungen im Kontext der geschäftlichen Anforderungen dieser Teammitglieder zu beschreiben und dabei Schlagwörter wie „Skalierbarkeit“, „Agilität“, „Qualität“ und „Kontinuität“ zu verwenden. Es kann hilfreich sein, regelmäßige Review-Meetings durchzuführen und die Leistungskennzahlen des Sicherheitsteams an Business-Stakeholder weiterzugeben. Falls die Erteilung von administrativen Rechten ein Problem darstellt, sind kreative Zwischenlösungen gefragt. Beispielsweise könnten Sie einen gemeinsam vereinbarten Satz von Berechtigungen für die IT-Sicherheit erstellen und diesen eventuell sogar mithilfe eines gängigen Cloud-nativen Formats implementieren, etwa durch Erstellung einer CloudFormation-Vorlage. Durch diese Vorgehensweise lassen die geschäftlichen Ergebnisse erzielen, die das Sicherheitsteam benötigt, und der Cloud-Administrator wird entlastet.
  2. Sorgen Sie für gute Sicherheitshygiene in der Cloud: Best Practices im Bereich Sicherheit zu entwickeln, die mit der Geschwindigkeit der Cloud Schritt halten können, ist ein weiterer entscheidender Schritt zur Absicherung Ihrer Cloud-Assets. Durch Einbindung dieser Best Practices in Ihre gesamte Firmenkultur können Sie den administrativen Aufwand verringern und Sicherheitslücken im Geschäftsprozess schließen. Die Implementierung einer Tagging-Strategie für all Ihre Cloud-Assets kann beispielsweise eine effektive Methode sein, um Ressourcen zu managen, Kosten zu kontrollieren und Risiken zu reduzieren. Nach erfolgter Durchsetzung können Entwickler Testumgebungen eigenständig hochfahren und das Sicherheitsteam hat stets im Blick, was gerade erstellt wird. Dadurch verbringt es weniger Zeit mit der Suche nach Assets und Verantwortlichen, um Sicherheitsprobleme zu lösen. Eine weitere gute Vorgehensweise für die Cloud-Hygiene besteht darin, alle Ihre untergeordneten Konten mit dem entsprechenden übergeordneten Konto in der Cloud zu verknüpfen. Auf diese Weise erhalten Administratoren einen ganzheitlichen Überblick über Ihren gesamten Cloud-Bestand, sodass sie Cyberrisiken effektiv reduzieren und die Exposition Ihres Unternehmens in allen Cloud-Umgebung genau nachzuvollziehen können.
  3. Erfassung und kontinuierliche Bewertung auf Schwachstellen ist entscheidend: Die Fähigkeit, Cloud-Assets identifizieren und schnell bewerten zu können, ist der nächste entscheidende Schritt, um Ihre sich ständig verändernde und expandierende Cloud-Umgebung zu schützen und abzusichern. Beim Einsatz von Cloud-Services wie Amazon Web Services (AWS) kann eine Live-Bestandsausnahme von Cloud-Assets nicht nur dazu beitragen, den Nutzwert Ihrer bestehenden Investition zu maximieren, sondern Ihnen auch volle Transparenz über die Assets geben, die Ihnen bisher möglicherweise noch nicht bekannt waren. Sobald Sie Ihren Bestand dann quasi in Echtzeit im Blick haben, ist ein Bewertungsansatz gefordert, mit dem die Cloud kontinuierlich bewertet werden kann, wenn neue Assets bereitgestellt oder neue Schwachstellen aufgedeckt werden.

Wie bereits erwähnt, kann sich herkömmliches Schwachstellen-Management in der Cloud schwierig und zeitaufwendig gestalten. Doch hier kann Ihnen Frictionless Assessment von Tenable weiterhelfen. Im Gegensatz zu anderen Schwachstellen-Management-Tools nutzt das jetzt in Tenable.io verfügbare Frictionless Assessment native AWS-Tools, darunter auch den Agent von AWS Systems Manager (SSM), um Elastic Compute Cloud-Instanzen (EC2) kontinuierlich zu erfassen und auf Schwachstellen zu bewerten – und zwar ohne dass Scans konfiguriert, Zugangsdaten verwaltet oder Agents installiert werden müssen. Dadurch sind Sie in der Lage, Sicherheitsprobleme schnell zu erkennen, sobald neue Schwachstellen aufgedeckt werden und Ihre Umgebung sich durch das konstante Hoch- und Herunterfahren von Instanzen verändert. Frictionless Assessment bietet Ihnen nahezu in Echtzeit einen Überblick über Ihre Cloud-Umgebung, sodass Sie jederzeit über eine genaue Aufstellung der Assets und Expositionen verfügen. Bei der Erfassung und Bewertung von kurzlebigen Assets in dynamischen Cloud-Umgebungen erweist es sich als besonders effektiv.

Frictionless Assessment wurde speziell für die Geschwindigkeit der Cloud konzipiert. Aber das ist noch nicht alles. Als zentrales Element von risikobasiertem Schwachstellen-Management liefert Frictionless Assessment umfassende Erkenntnisse zu Schwachstellen und unterstützt unter anderem Predictive Prioritization von Tenable, um Ihnen dabei zu helfen, sich auf das Wesentliche zu konzentrieren. 

Wenn Sie mehr darüber erfahren möchten, wie Sie mit Frictionless Assessment in Sekundenschnelle ein komplettes Programm für risikobasiertes Schwachstellen-Management einrichten und in wenigen Minuten umsetzbare Ergebnisse erhalten, sehen Sie sich unser Übersichtsvideo zu Frictionless Assessment an.

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Demo anfordern

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren. Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo anfordern

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.

Demo anfordern

Tenable.ad

Erkennung und Abwehr von Active Directory-Angriffen in Echtzeit. Keine Agents. Keine Zugriffsrechte. On-Prem und in der Cloud.