Sergey Nivens - Fotolia
Sichtbarkeit ist der Schlüssel zur IT-Sicherheit
Einfallstore für Cyberkriminelle finden sich auf jedem Endgerät und jeder Software im Unternehmen. Umso wichtiger, dass Unternehmen wissen, was geschützt werden muss.
Cyberattacken sind heute Alltag – sowohl für Privatpersonen als auch für Unternehmen. Ob gezielte oder ungezielte Angriffe, oftmals ist es das fehlende Know-how über Schwachstellen in der IT-Infrastruktur, dass sich die Kriminellen zu Nutze machen können. Die meisten Angriffe gehen nicht nach ausgefeilten APT-Taktiken (Advanced Persistent Threats) vor. Diese sind laut dem BSI zwar besonders effizient, da Nutzer die Schadprogramme unbewusst selbst installieren und somit eine höhere Anzahl an Zielen infiziert werden kann, aber aufgrund dessen auch leichter von Sicherheitsfirmen entdeckt werden können als ungezielte Attacken.
Probleme mit der Sicherheit entstehen oftmals dadurch, dass niemand im Unternehmen die Schwachstellen der Infrastruktur kennt. Das bedingt vor allem die Tatsache, dass auch kein Bewusstsein darüber herrscht, welche Assets sich eigentlich im eigenen Netzwerk befinden. Und das wiederum wächst stetig: Die Unternehmensumwelt verändert sich, die IT-Infrastruktur erweitert sich über die Jahre und beinhaltet nicht mehr nur firmeninterne Assets (On-Premises sondern auch mobile Geräte, flexibel einsetzbare Workstations oder Dienste, die aus der Cloud (Hybrid Networks) kommen. Ein weiterer Aspekt ist die zunehmende Digitalisierung: viele Geräte nutzen immer mehr die existierende Netzwerkinfrastruktur und Internetzugänge, wie zum Beispiel Sensoren, Steuergeräte oder auch Schalter, welche über das Netzwerk steuerbar sind. Um Sicherheit zu gewährleisten muss die IT-Security-Abteilung also jeden genutzten Server, jedes Device und jeden Dienst im eigenen Netzwerk kennen, um Sicherheitslücken zu vermeiden.
Identifikation und Sichtbarkeit
Der erste und wichtigste Schritt für die Sicherung des Unternehmensnetzwerks ist die Identifikation und das Sichtbarmachen aller sich darin befindenden Assets – von Routern, Server, über Betriebssystemen bis hin zu mobilen Devices, Sensoren, IoT/OT-Geräte und Applikationen. Nur was bekannt ist, kann auch geschützt werden. Zusätzlich ist es sinnvoll ebenfalls die Beziehungen und damit verbundene Abhängigkeiten der einzelnen Assets zu kennen. So ist es möglich im Rahmen des Vulnerability-Managements auch mögliche Einfallswege zu identifizieren und aktiv abzusichern. Auch wenn ein Asset nicht sonderlich wertvoll für das Unternehmen ist, so kann ein damit verbundenes aber umso wichtiger sein und die Absicherung des Assets von geringem Wert deshalb an Priorität gewinnen.
Herausforderung mobile Geräte und mobile Workstations
Die wenigsten Infrastrukturen sind heute statisch und verändern sich stetig: Zu jederzeit werden neue Anwendungen oder Server, nur um zwei Beispiele zu nennen, hinzugefügt, entfernt, erweitert oder aktualisiert. Davon abgesehen, gibt es neben On-Premises-Lösungen auch Mobile Devices oder Workstations, die – wie der Name schon sagt – mobil eingesetzt werden und nicht durchgehend mit dem Unternehmensnetzwerk verbunden sind.
Diese Assets werden dann bei einem Schwachstellenscan gegebenenfalls nicht berücksichtigt. Mögliche Einfallstore für Cyberkriminelle finden sich auf jedem Endgerät, mobil oder fest installiert, und können bei jedem Asset auftreten – unter anderem aufgrund fehlender Patches oder veralteten Softwareversionen. Diese müssen dann gepatched und geupdated werden, sobald das Asset mit dem Netzwerk verbunden ist – doch dazu müssen diese auch als netzwerkzugehörig erkannt werden.
Ein Unternehmen muss seine hybride Umgebung im Blick haben. Dabei geht es nicht in erster Linie um Vulnerability-Management, sondern darum, Sichtbarkeit herzustellen, das aktuelle Sicherheitsniveau zu erfragen, ohne direkt eine Bewertung in Bezug auf potenzielle Schwachstellen durchzuführen. Dieser Vorgang erfolgt in der Regel über Sensoren, die Informationen sammeln, die anschließend ausgewertet, normalisiert und in den entsprechenden Applikationen dargestellt werden – ähnlich einer Inventarliste. Das geschieht idealerweise zeitnah und mit direkten Ergebnissen, da wie bereits erwähnt, nicht alle Assets jederzeit im Netzwerk verfügbar sind. Erst im zweiten Schritt wird eine Bewertung der Assets durchgeführt – diese dann allerdings aus verschiedenen Sichtweisen und nach unternehmensspezifischen Vorgaben.
„Wichtig ist letztendlich nur, dass bekannt ist, was geschützt werden muss – Sichtbarkeit bildet den Grundstein erfolgreicher IT-Security.“
Jörg Vollmer, Qualys
Wie Unternehmen diese Informationen gewinnen können, ist abhängig vom eigenen Aufbau des Netzwerks. Möglichkeiten gibt es dabei viele: Von physischen und virtuellen Sensoren, über Cloud- und Containerservices, Cloud-Agents bis hin zu passiven Scans, die vor allem im OT-Bereich genutzt werden müssen – je nach Umfang, Art der zu scannenden Umgebung und Kapazität stehen unterschiedliche Varianten zur Verfügung. Im Idealfall beinhaltet eine Lösung alle Möglichkeiten (Agentless, Agent Based und Passive Sensors) für alle Bereiche (On-Premises, Cloud und Endpoints), die jedoch abhängig vom Kundenbedarf individuell abgestimmt und je nachdem, ob ein Unternehmen vermehrt auf Cloud setzt oder noch klassisch On-Premises Lösungen nutzt, fokussiert werden kann. Wichtig ist letztendlich nur, dass bekannt ist, was geschützt werden muss – Sichtbarkeit bildet den Grundstein erfolgreicher IT-Security.
Über den Autor:
Jörg Vollmer ist General Manager Field Operations DACH bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.