Brian Jackson - Fotolia
Continuous Security Monitoring: Ständige Wachsamkeit
Beim Continuous Security Monitoring werden Schwachstellenscans nicht nur in regelmäßigen Abständen durchgeführt, sondern immer auch dann, wenn automatisch Trigger ausgelöst werden.
Die Situation in der IT-Sicherheit ändert sich laufend. Es ist deswegen dringend an der Zeit, sich ausführlich mit den Möglichkeiten eines kontinuierlichen Security-Monitorings zu beschäftigen. Jede Woche entdecken Forscher neue Sicherheitslücken und berichten über sie.
Auch Cyberkriminelle nutzen diese Meldungen, um ihre automatisierten Exploit-Tools weiterzuentwickeln und um die gefundenen Schwachstellen möglichst schnell auszunutzen, um Zugang zu Firmennetzen zu erhalten. Jedes Mal, wenn ein Bericht über eine neue Schwachstelle veröffentlicht wird, müssen sich die Hersteller beeilen, neue Patches zu entwickeln und bereitzustellen. Diese sollten die Administratoren in den Firmen dann auch möglichst schnell einspielen, bevor es zu den ersten Attacken kommt.
Traditionell werden Scans nach Schwachstellen in den meisten Unternehmen aber nur in mehr oder weniger regelmäßigen Abständen durchgeführt. Wenn dabei eine bekannte Sicherheitslücke entdeckt wird, dann setzen sie die Mitarbeiter auf eine zu bearbeitende Liste.
Allzu häufig werden diese Scans nur in einem wöchentlichen oder gar monatlichen Rhythmus erledigt. Das ist aber in Anbetracht der modernen Gefahren nicht mehr ausreichend. Die aktuelle Bedrohungslage erfordert einen neuen Ansatz, bei dem kontinuierlich nach Sicherheitslücken im Unternehmen gesucht wird. Diese Methodik wird Continuous Security Monitoring oder abgekürzt CSM genannt. Dabei werden die bei den Scans gefundenen Daten mit anderen Informationsquellen abgeglichen, um Administratoren einen Echtzeiteinblick in die Security-Situation in ihren Netzwerken und über die aktuell vorhandenen Schwachstellen zu erlauben.
Hinzufügen weiterer Host Monitoring Agents
Eine der effektivsten Methoden, um die Scans nach Schwachstellen zu verbessern, ist, die Ergebnisse der traditionellen Scans mit Daten zusammenzuführen, die von speziellen Host Monitoring Agents erhoben werden, die auf jedem System im Unternehmen installiert und gestartet werden.
Die meisten aktuellen Schwachstellenscanner bieten diese Agenten-basierten Möglichkeiten, um einen meist winzigen Client auf jedem zu überwachenden System einzurichten. Der Agent sammelt dann kontinuierlich Informationen über sicherheitsrelevante Konfigurationen und berichtet darüber laufend an das CSM-System. Sobald ein Anwender oder Administrator zum Beispiel eine relevante Einstellung verändert, wird die CSM-Konsole automatisch und umgehend durch den Agenten informiert. Abhängig von der Art der Änderung kann dann ein Alarm oder eine andere automatische Aktion ausgelöst werden.
Zum Beispiel könnte ein Admin eine Firewall-Regel auf einem Host so abändern, dass bestimmter Traffic nun auf den Server gelangen darf. Die Änderung wird in jedem Fall sofort an das CSM gemeldet. Dieses könnte anschließend mit einem automatisch ausgelösten Scan des betroffenen Systems reagieren, um neu entstandene Schwachstellen zu finden. Sofern dabei Sicherheitslücken entdeckt werden, landen sie ebenfalls automatisch auf der Liste der abzuarbeitenden Sicherheitsprobleme des Unternehmens. Diese Vorgehensweise reduziert die Zeit erheblich, die ansonsten benötigt wird, um eine neue Schwachstelle im Firmennetz zu entdecken. Normalerweise wird sie meist erst dann bemerkt, wenn der nächste reguläre Scan erfolgt.
Integration von Daten aus dem Netzwerk-Monitoring
In praktisch allen Unternehmen kommen laufend neue IT-Systeme dazu, die überwacht werden müssen. Manchmal tauchen sie im Netzwerk schneller auf, als die IT-Abteilung sie überhaupt aufspüren kann. Das Problem ist, dass natürlich auch in diesen neuen Systemen immer wieder Schwachstellen auftreten. Die meisten Unternehmen setzen deswegen immer wieder Netzwerkscans über ihren ganzen IP-Adressen-Raum ein, um so bislang noch nicht dokumentierte Systeme zu entdecken. Diese Scans sind jedoch nicht nur zeitaufwändig, sie führen auch zu keinem Erfolg, wenn die fraglichen Systeme so konfiguriert wurden, dass sie auf Anfragen aus dem Netzwerk nicht oder nur verdeckt antworten.
Moderne Technologien zum Überwachen des Netzwerkes lassen sich deshalb ebenfalls mit einem CSM-System verbinden, um diese Lücke zu schließen. Selbst das verborgenste System wird irgendwann mit der Außenwelt kommunizieren wollen. Die Netzwerkmonitore können die wichtigsten Engstellen überwachen und so Datenverbindungen von bislang unbekannten IP-Adressen identifizieren. Das löst dann in Kombination mit einem CSM-System einen automatischen Scan nach Schwachstellen des fraglichen Systems aus. Außerdem wird das System dabei in die Dokumentation des Unternehmens aufgenommen, so dass es nicht länger verborgen bleibt und damit seine Konfiguration künftig ebenfalls überwacht werden kann.
Wie man es auch dreht und wendet, das Management von Schwachstellen bleibt eine essentielle Komponente im IT-Sicherheitsprogramm von Unternehmen. Continuous Security Monitoring hat das Potenzial, diese wichtigen Bestrebungen zu erleichtern. Es bietet nicht nur Möglichkeiten zur automatisierten Suche nach Sicherheitslücken im Firmennetz. Damit können auch die in Echtzeit gewonnenen Informationen über im Netz vorhandene Systeme einbezogen werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!