Assets erkennen und integrieren
So bekommt man IT-Assets und IT-Security unter einen Hut
Lücke zwischen Assets und IT-Security schließen
Viele Unternehmensnetzwerke haben sich in den letzten Jahren zu großen und komplexen Strukturen entwickelt. Viele sind dabei in der Größe quasi explodiert, da die Organisationen ihre IT-Infrastruktur in private, öffentliche oder hybride Cloud-Umgebungen verlagert, sowie um virtuelle und mobile Geräte erweitert haben. Als solches sind die Netzwerke dadurch wesentlich dynamischer geworden. Der Wandel von der traditionellen in die mobile Arbeitswelt erhöht aber auch die Anzahl der Geräte, die Verbindungen in das Unternehmensnetz aufnehmen. Insbesondere im Hinblick auf BYOD-Geräte (Bring Your Own Device) wie Laptops und Smartphones der mobilen Mitarbeiter, erhöht dies die Herausforderungen für die IT-Security Abteilungen.
Leider hat dieser Druck, sich ständig an neue Technologien anpassen zu müssen, auch neue Sicherheitsrisiken erzeugt. Diese so verteilten Umgebungen erschweren den Sicherheitsteams alle vorhandenen Assets eines Unternehmens zu kontrollieren. Zudem könnten bei Netzwerken, die auf Cloud, virtuelle, mobile und lokale Umgebungen verteilt sind, „blinde Flecken“ entstehen, die für böswillige Aktivitäten anfällig sind.
Assets erkennen
Um möglichst alle Assets in die Sicherheitsmaßnahmen einer Organisation unterbringen zu können, muss zwangsweise die Sichtbarkeit der Netzwerke erhöht werden. Dies kann mit dem Einsatz von Asset Discovery Tools erfolgen. Als grundlegende IT-Sicherheitsmaßnahme umfasst die Asset-Erkennung zwei zentrale Vorgehensweisen. Das Center for Internet Security (CIS) hat dazu entsprechende Empfehlungen herausgegeben:
- Als ersten Schritt empfiehlt CIS den Organisationen, ein Inventar autorisierter und nicht autorisierter Geräte zu entwickeln. Dadurch können sie alle Hardware-Geräte verwalten und bereitstellen. Außerdem können se den Zugriff auf nicht autorisierte und nicht verwaltete Produkte verweigern, die ein Hacker nutzen könnte, um die Organisation und ihre geschäftskritischen Ressourcen anzugreifen.
- Als zweiten Schritt befürwortet CIS die Praxis von Organisationen, die ein Verzeichnis autorisierter und nicht autorisierter Software erstellen. Sie können dann dieses Inventar verwenden, um autorisierte Software im Netzwerk zu erkennen, zu verfolgen und zu korrigieren. Jede Software, die nicht in diesem Inventar enthalten ist, kann dann auch nicht auf Netzwerkgeräten installiert oder ausgeführt werden.
Um jede Ecke des Netzwerks beleuchten zu können, sollten Unternehmen in eine automatisierte Lösung investieren, die Best Practices für die Ermittlung von Ressourcen einbezieht. Diese Lösungen sollten mit dem Durchsuchen der IPv4- oder IPv6-Netzwerkadressbereiche beginnen und den Datenverkehr zur Identifizierung möglicher Hosts analysieren.
Nur was man kennt, kann man auch schützen
Sobald die Devices erkannt wurden, sollte das Tool detailliertere Informationen über mögliche Verbindungen zu anderen Assets, sowie Konfigurations-, Wartungszeitpläne und relevante Softwareinstallationen und deren Verwendung aufzeichnen. Das Dienstprogramm kann dann seinen Anwendungsbereich erweitern, um Speichergeräte und -ressourcen zu ermitteln, die möglicherweise an entfernten Standorten ausgeführt werden.
Aber Unternehmen können noch mehr Sichtbarkeit über das Netzwerk ihrer Organisation gewinnen, indem sie das dynamische Host-Tracking zur Verwaltung tragbarer Hosts beim Verbinden, Trennen und Wiederverbinden mit verschiedenen Netzwerken nutzen und hierarchische Asset-Organisationen verwenden. Dadurch können die Asset-Strukturen auch klassifiziert werden.
Wichtig wären auch sogenannte Asset-Tagging-Funktionen, mit deren Hilfe der Eigentümer, der regionale Standort, sowie erweiterte Supportfunktionen zur Erkennung von Geräten und Software in der Cloud, virtuellen Umgebungen und Mobilgeräten identifiziert werden können.
Ein umfassendes Asset Discovery Tool, das auch als Appliance eingesetzt werden kann, bietet z.B. Tripwire. Diese Lösung liefert ein kontinuierliches Profil aller eingesetzten Hardware- und Softwarekomponenten im Netzwerk einer Organisation. Die Sicherheitsteams können dieses Inventar für eine effektive Sicherheitsverwaltung aller bekannten Assets verwenden. Mit der Tripwire Enterprise können zudem Risikoanwendungen mit Asset-Änderungen korreliert werden, um potenzielle Sicherheitsprobleme proaktiv anzugehen.
Asset Discovery ist eine der ersten und wichtigsten Maßnahmen, um möglichst alle IT-Assets in verteilten Netzwerkinfrastrukturen eines Unternehmens zu identifizieren, nachhaltig zu kontrollieren und in bestehende Sicherheitskonzepte einbinden zu können.