Asset Management
Umfassende Verwaltung von Assets als Voraussetzung für wirksame Sicherheit
Berdohungsdaten mit Asset Management sortieren
Von Hadi Jaafarawi, Managing Director – Middle East, Qualys
Bei der Aufspürung von Telemetriedaten in immer komplexeren Umgebungen liegt die Hauptschwierigkeit in der Sichtbarkeit. Selbst der engagierteste CISO kann nicht schützen, was er nicht sehen kann. Digitale Ressourcen müssen daher ordnungsgemäß katalogisiert werden, damit Cybersicherheitsteams einen genauen Überblick über Geräte, Anwendungen und Netzwerktopologien erhalten.
Diese Ansichten unterscheiden sich von denen des IT-Teams, das seine eigenen Prioritäten setzt. Für Security-Experten geht es bei der Inventarisierung von Assets weniger um Softwareunterstützung und -lizenzen als vielmehr um potenzielle Angriffspunkte und Schwachstellen. Daher sollten sich Sicherheitsteams nicht auf die aus zweiter Hand stammenden Bestandsdaten der IT verlassen.
Der wichtigste grundlegende Sicherheitsvorteil eines präzisen Asset Managements ist die Fähigkeit, Bedrohungsdaten zu sortieren. Jetzt, wo Multi-Cloud- und Hybrid-Arbeitsplätze die Komplexität der Technologie-Stacks um mehrere Ebenen erweitern, können Sicherheitsteams mit Warnmeldungen überfordert sein. Durch die gründliche Erstellung eines Profils für jedes Element des Netzwerks und die Anwendung einiger grundlegender Automatismen können Threat Hunter eine überschaubare Aufgabenliste zusammenstellen – eine Liste, die Klarheit und Zweckmäßigkeit gewährleistet. Einige Aufgaben können schnell erledigt werden, wie einfache Software-Patches oder Neukonfigurationen. Andere können komplexer sein, erfordern aber aufgrund des potenziellen Schadens, den sie verursachen könnten, sofortiges Handeln. Und wieder andere sind vielleicht trivial und können ignoriert werden.
Eine Grundlage für VMDR
Mit den richtigen Richtlinien können automatisierte Prozesse auf neue risikobehaftete Assets oder auf bestehende Assets achten, die einen Schwellenwert überschreiten, wenn sie verändert werden. Sobald Bestandslisten erstellt sind, können Unternehmen VMDR-Systeme (Vulnerability Management, Detection and Response) einsetzen, um sie zu überwachen. Aber Richtlinien, Inventare und die Automatisierung, die sie steuert, müssen als eine einzige Lösung eng integriert sein. Auch wenn die Software-Richtlinien noch so gut sind – wenn das automatisierte Tool ein Zusatzmodul ist, fließen die Telemetriedaten möglicherweise nicht in einem zuverlässigen Format an das Tool. Und die Automatisierung ist unerlässlich, um die von den Sicherheitsteams angestrebte Verringerung der Alarmmüdigkeit zu erreichen.
Wenn also umfassende Ansichten mit globalen Beständen in einer einheitlichen Plattform kombiniert werden, entsteht eine ideale Umgebung. Mühsame Routineaufgaben werden automatisiert, während hochqualifizierte Fachleute dorthin geschickt werden, wo ihre Fähigkeiten den größten Nutzen bringen. Die umfassenden Ansichten, die dieses ideale Setup bietet, versorgen Sicherheitsteams mit kontextbezogenen Informationen, die es ihnen ermöglichen, bessere Entscheidungen zu treffen und effektivere Maßnahmen in Echtzeit zu ergreifen.
Neue Umgebungen ermutigen böse Akteure zu kriminellen Handlungen, und Sicherheitsteams müssen angemessen gewappnet sein, um ihre digitalen Perimeter zu verteidigen. Um die Bedrohungen in Echtzeit erkennen zu können, muss das aus der Komplexität resultierende weiße Rauschen reduziert werden. VMDR ist ein hervorragendes Instrument zur Erreichung dieses Ziels. Es ist an der Zeit, Sicherheitsmaßnahmen mit Blick auf die Sicherheitsteams neu zu konzipieren.
Keine unentdeckten Assets mehr
Die richtige VMDR-Plattform unterstützt sowohl die agentenbasierte als auch die agentenlose Datenerfassung, die automatische Erstellung von Profilen bekannter Assets und die Initiierung von Hintergrundprozessen zur Suche nach unbekannten Assets. Im Idealfall sollte kein Asset dem Blick entgehen, unabhängig davon, ob sich das Element vor Ort, in der Cloud, als Teil eines Software-Containers, als Element der Betriebstechnologie oder integriert in ein Ökosystem des Internet of Things befindet.
Nach der Erstellung eines Asset-Inventars haben die Teams Zugang zu normalisierten, kategorisierten Informationen, die kontextbezogene Ansichten der einzelnen Assets ermöglichen. Handelt es sich um Router, Drucker, PCs oder mobile Geräte? Nutzen sie Datenbanken? Auf welcher Hardware laufen sie? Wenn diese Informationen mit einer Konfigurationsmanagement-Datenbank (CMDB) synchronisiert werden, erhalten die Teams Zugang zu einer weiteren Kontextebene – Eigentümer, Standort und Status, beispielsweise ob das Asset in Betrieb ist oder zu einer Staging-Umgebung gehört. All dies ermöglicht eine ordnungsgemäße Korrelation, die zu einer genaueren Verfolgung des Zustands der einzelnen digitalen Assets führt.
Wenn das Asset-Management richtig angegangen wird, fließen umfangreiche Informationen dorthin, wo sie am besten genutzt werden können. Sicherheitsteams können White- und Blacklists verwenden, um sich einen Überblick über die Einhaltung von Richtlinien im gesamten Unternehmen zu verschaffen und nicht autorisierte Prozesse und Anwendungen schnell zu identifizieren. Sie werden auch in der Lage sein, die Erkennung von End-of-Service-Anwendungen zu automatisieren und fundierte Entscheidungen über deren Zukunft zu treffen.
Risikobewertung und Compliance
Darüber hinaus bietet die ideale Asset-Plattform einen Überblick darüber, welche aktiven Assets für das öffentliche Internet sichtbar sind, und weist den Komponenten automatisch Risikokennzahlen auf der Grundlage von Attributprofilen zu. Das erleichtert die Einhaltung der Vorschriften erheblich, da umfangreiche visuelle Berichte über Risikofaktoren bei Bedarf abgerufen werden können. Und es erhöht die Qualität der Reaktion, da es den überlasteten Teams Raum zum Atmen und Arbeiten gibt. Die Möglichkeit, den Arbeitsablauf und die Häufigkeit des Warnsystems zu steuern, bedeutet, dass Unternehmen Bedrohungslagen entwerfen können, die für ihre Betriebsmodelle relevant sind.
Und die Reaktion selbst kann automatisiert werden. Wenn das Warnsystem zur Zufriedenheit der Sicherheitsverantwortlichen optimiert wurde, können sie Maßnahmen wie die Neukonfiguration oder Deinstallation von Anwendungen oder die Markierung neuer Assets für die Erstellung von Schwachstellenprofilen automatisieren.
Sobald die optimierte Asset-Management-Plattform aufgebaut ist, wird die Unterbringung in der Cloud zum Vorteil. Informationen können geräte- und standortübergreifend in Echtzeit ausgetauscht werden, sodass die Erkennung und Reaktion immer möglich ist. Und da Alarmmüdigkeit dann keine Rolle mehr spielt, können Sicherheitsspezialisten endlich optimal arbeiten.