Maksim Kabakou - stock.adobe.com
IT-Assets schützen: Sicherheit hängt von Wissen ab
Heutzutage verschwimmen und verschwinden die Grenzen zwischen interner IT und externen Diensten zunehmend. Umso wichtiger ist es, in Sachen IT-Sicherheit den Überblick zu behalten.
Konfuzius hat einmal gesagt: „Wahres Wissen ist, das Ausmaß der eigenen Unwissenheit zu kennen.“ Moderne IT-Teams müssen über weit mehr Geräte, IT-Assets, Server, Cloud-Dienste und Webanwendungen Bescheid wissen als je zuvor. Doch ohne präzise und aktuelle Daten zu vorhandenen IT-Ressourcen kann es sein, dass die Sicherheitsteams ihre eigene Unwissenheit nicht erkennen.
Was macht es so schwierig, eine Inventarisierung aller IT-Assets anzulegen?
Um zu verstehen, warum die Inventarisierung von IT-Assets weiter ein Problem ist, müssen wir uns vor Augen führen, wie die IT-Sicherheitsteams von immer neuen Wellen neuartiger IT-Geräte überrollt werden. Diese Assets werden auf ganz unterschiedliche Weise beschrieben – da existieren etwa mehrere Namen für dasselbe Unternehmen oder dieselbe Softwarelösung und zahlreiche Tools oder Produkte, die den gleichen Geschäftsanforderungen dienen.
Man denke nur an die Vielzahl der Kollaborationswerkzeuge, die Microsoft bietet, von Skype und Skype For Business (vormals Lync) und neuerdings Microsoft Teams. So gewinnt man eine Vorstellung davon, welche Probleme die Vielfalt der Software verursachen kann.
Statt der herkömmlichen, zentralen IT-Ressourcen, die nur in Unternehmensnetzwerken oder in Rechenzentren existierten, gibt es heute vermehrt IT-Systeme, die sich in Public Clouds oder den Rechenzentren von Drittanbietern befinden. Die Verantwortung für diese Assets wird gemeinsam getragen; es besteht also keine vollständige Kontrolle. Zudem haben IT-Systeme – im Gegensatz zu früher – nicht mehr lange Bestand, sondern sind jeweils vielleicht nur ein paar Tage oder gar Stunden in Gebrauch.
Gleichzeitig wurden bei den IT-Sicherheitsteams herkömmlicherweise eher Lean-Prinzipien angewandt. Die Sicherheitsabteilungen schafften in der Regel Best-of-Breed-Lösungen an, um ihre Umgebungen abzusichern und sich gegen verschiedene Risiken zu schützen. Diese neuen Tools erhöhten zwar die Sicherheit für das Unternehmen, jedoch bildet auch jedes Produkt eine eigenständig betriebene Technologieinsel. Jede Einführung einer neuen Lösung bedeutete, dass eine weitere Managementkonsole beobachtet und ein weiteres Sicherheitsprodukt verwaltet werden muss.
Dieser Ansatz funktioniert sehr gut, aber nur solange alles zentralisiert war. Er wurde jedoch schnell problematisch, als die Angreifer neue Wege fanden, um die Netzwerkabwehr zu durchbrechen. Seither werden immer mehr neue Lösungen benötigt, um mit ihnen Schritt zu halten. Zwar hat jede Lösung ihre eigene Aufgabe gut erfüllt, doch wurde es zunehmend schwieriger, genau die umfassende Übersicht zu gewinnen, die für eine wirksame Reaktion auf Cyberangriffe erforderlich ist.
Heute nun sind die Grenzen zwischen interner IT und externen Diensten verschwommen oder ganz verschwunden. Es ist schwieriger denn je, umfassenden Überblick zu erhalten, und die viel beschworene „Single Source of Truth“ für die IT ist wichtiger als je zuvor.
Um bei diesen Herausforderungen den Überblick zu behalten, sollte ein zentraler Dienst eingerichtet werden, der alle wichtigen Telemetriedaten an einem einzigen Ort zusammenführt. Die gesammelten Daten können individuell korreliert und angereichert werden, damit die Verantwortlichen genau wissen, welche Assets vorhanden sind. Anstatt die Vielzahl herkömmlicher Best-of-Breed-Lösungen einzeln einzusetzen, zu warten und zu betreiben, können sie als Teil eines schlüssigen, ganzheitlichen Ansatzes genutzt werden. Das ist nicht zuletzt deshalb wichtig, weil es vielen Teams an qualifizierten Kräften zur Besetzung freier Stellen fehlt.
Orchestrierter Datenansatz
Der traditionelle Ansatz für Unternehmenssicherheit basierte auf einer Vielzahl an verschiedenen Produkten, die alle über eine eigene Managementkonsole verfügten und nur begrenzt miteinander integriert sind. Um nun zu einem einheitlichen Sicherheitsansatz zu gelangen, müssen diese Systeme so zusammenarbeiten, dass alle Daten korreliert und angereichert werden können. Dies lässt sich mit den APIs erreichen, die die Features bieten, um Daten effektiv untereinander auszutauschen. So können beispielsweise Informationen über verfügbare Patches zusammen mit Erkenntnissen zu Sicherheitslücken oder Bedrohungen bereitgestellt und mit den Daten zu IT-Assets in einer Configuration Management Database (CMDB) verknüpft werden.
Neben dem technischen Aspekt der Handhabung von APIs ist es auch wichtig zu überlegen, wie diese Sicherheitsorchestrierung langfristig funktionieren kann. Dazu muss Sicherheit als Verfahrensweise betrachtet werden, die Seite an Seite mit den anderen Geschäfts- und IT-Prozessen funktioniert, und sie sollte dann so gestaltet werden, dass sie für die Anwender so intuitiv und automatisiert wie nur möglich abläuft.
Diese Herangehensweise basiert auf den Erfahrungen, die aus DevOps-Verfahren gewonnen wurden. Hier arbeiten Entwickler und Betriebsteams zusammen, um neue Software schneller in die Produktion zu bringen. Wenn Sicherheit automatisiert und mit den DevOps-Pipelines für Digitalisierungsprojekte eng verzahnt wird, lässt sich der Sicherheitsansatz effizienter gestalten, da er Hand in Hand mit der Entwicklung und Auslieferung von Programmcode abläuft. Auf diese Weise können die IT-Sicherheitsteams das Modell der „Sicherheit als Türhüter“ ersetzen, bei dem sie nur vor umfangreichen Implementierungen oder erst nach der Bereitstellung von Diensten einbezogen werden.
„Auf der grundlegendsten Ebene beginnt IT-Sicherheit damit, dass zu jedem Zeitpunkt bekannt ist, was mit dem Unternehmensnetzwerk verbunden ist und/oder welche Daten enthalten sind.“
Marco Rottigni, Qualys
Neben der Verstärkung der Sicherheit kann dieser veränderte Ansatz Unternehmen auch helfen, Geld und Zeit zu sparen. Statt zu versuchen, Sicherheitslücken in einer Software im Produktivbetrieb zu beheben, wo Ausfallzeiten oder Änderungen höhere Kosten verursachen, sollten die Verbesserungen in früheren Stadien des Entwicklungsprozesses vorgenommen werden. Sicherheit sollte von Anfang an als ein integrierter Prozess betrachtet werden.
Beispielsweise müssen schon früher, bereits während der Entwicklung einer Anwendung, Schwachstellen gesucht und Sicherheitstests durchgeführt werden. Statt als Feind der Entwickler dazustehen, sollten sich die Sicherheitsteams darauf konzentrieren, ihnen zu helfen, Fehler noch in den Entwicklungsphasen zu finden und zu beheben. Dieser Ansatz zur gemeinsamen Gewährleistung und Orchestrierung von Sicherheit basiert auf qualitativ hochwertigen, präzisen Daten.
Wohin steuert die Sicherheit?
Auf der grundlegendsten Ebene beginnt IT-Sicherheit damit, dass zu jedem Zeitpunkt bekannt ist, was mit dem Unternehmensnetzwerk verbunden ist und/oder welche Daten enthalten sind. Um diesen Wissensstand zu erreichen, müssen alle Geräte, Betriebssysteme, Datenbanken, Anwendungen und Hardwarekomponenten automatisch kategorisiert werden. Dabei sind lokale Systeme, Endpunkte, Clouds und mobile Umgebungen einzubeziehen, ebenso wie das Internet der Dinge und die Betriebstechnik.
Wenngleich die Komplexität der IT gestiegen ist: Es ist möglich, einen umfassenden Überblick über sämtliche IT-Assets zu gewinnen, von lokalen Geräten bis hin zu Assets in Clouds und Remote-Endpunkten. Durch die kontinuierliche Überwachung all dieser Ressourcen und die Orchestrierung geeigneter Reaktionen können Sicherheitsverantwortliche erreichen, dass Unternehmen und Institutionen dauerhaft besser auf potenzielle Bedrohungen reagieren.
Dieses große Problem rund um die IT-Assets muss angegangen werden – das Problem, dass nicht wirklich bekannt ist, was alles mit den eigenen Netzwerken verbunden ist, muss gelöst werden. Tatsache ist jedoch: Es kann nur geschützt werden, was auch sichtbar ist. „Wissen ist Macht“, wie es heißt – allerdings nur dann, wenn es die Verantwortlichen auch zum praktischen Handeln befähigt.
Über den Autor:
Marco Rottigni ist Chief Technical Security Officer EMEA bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.