Anwendung CyberSecurity Asset Management – eine Einführung

1

Von Ed Rossi, Vice President of Product Management, Qualys

Die rasante Entwicklung und Einführung neuer IT-Technologien macht es Unternehmen immer schwerer, ihre zahllosen lokalen, virtuellen und cloudbasierten Assets zu schützen. Hinzu kommt die explosionsartige Zunahme der intelligenten Geräte in den Unternehmensnetzen, und so haben Firmen heute eine riesige IT-Landschaft zu verwalten. Der elementare Grundsatz lautet dabei: „Was man nicht sehen kann, kann man auch nicht schützen“. Für Unternehmen bedeutet das: Sie müssen zunächst in der Lage sein, ihre gesamte IT-Umgebung zu inventarisieren, dann spezifische Sicherheitsrisiken zu erkennen und zu überwachen und schließlich aktiv auf diese Risiken zu reagieren. Gelingt dies nicht, setzt sich ein Unternehmen wachsenden Gefahren aus – durch nicht mehr unterstützte Software, veraltete Hardware, unbekannte Geräte mit Internetverbindung, nicht autorisierte Software und mehr. Darüber hinaus ist heute ein umfassendes Asset-Management- und Sicherheitsprogramm erforderlich, um Vorschriften und Programme wie HIPAA, PCI und FedRAMP einhalten zu können. Dabei sollen Standards des CIS, NIST und anderer Organisationen angewandt werden.

Ein aktuelles Fallbeispiel illustriert die Risiken: Ein Anbieter von PC-Spielen hatte versehentlich einen Server falsch konfiguriert, sodass dieser im Internet sichtbar und zugänglich war. Der Server blieb über einen Monat lang ungeschützt, bis das Unternehmen von einem externen Sicherheitsforscher auf das Problem aufmerksam gemacht wurde. In dieser Zeit waren die Kundendaten von schätzungsweise 100.000 Nutzern offengelegt worden. In solchen Situationen gibt es mehrere Risikofaktoren, die das Problem noch weiter vergrößern können. Wäre etwa eine End-of-Life-Software auf dem Server gelaufen, hätten ungepatchte Sicherheitslücken ein noch tieferes Eindringen in das Netzwerk des Unternehmens ermöglichen können.

Wie können diese Probleme jedoch angegangen werden? Herkömmliche IT-Inventarisierungstools verfügen über wenig Sicherheitskontext, und bei punktuellen Cybersecurity-Lösungen müssen Daten über Drittanbieter oder isolierte Technologien erfasst werden. So müssen Unternehmen zahlreiche Tools implementieren, um in den heutigen hybriden Umgebungen effektive Inventarisierung und Sicherheit zu gewährleisten. Dies wiederum führt zu Problemen im Hinblick auf die Verwaltung, Integration und internen Sicherheitsrichtlinien.

Wichtig wäre eine Lösung, die über die reine Inventarisierung hinaus geht und um Features wie beispielsweise Sicherheitskontext- und Reaktion erweitert wird. Aufbauend auf Global AssetView bietet Qualys CSAM ein Asset Management, das auf die Anforderungen von Sicherheitsteams zugeschnitten ist. Die Anwendung ermöglicht es, alle Systeme umfassend zu identifizieren, risikobehaftete Assets zu erkennen und angemessene Maßnahmen zur Problembehebung zu treffen. CSAM bezieht wichtige Geschäftsdaten und Risikoinformationen zu den Assets ein, ermöglicht die Erstellung von Listen der autorisierten und nicht autorisierten Software, wendet aktuelle und zukunftsbezogene EOL/EOS-Daten an, liefert eine Outside-In-Sicht auf die mit dem Internet verbundenen Assets, zeigt Blind Spots bei den Endpunkten auf, überwacht die Resultate mit richtlinienbasierten Alarmen und erleichtert angemessene Reaktionen durch die Deinstallation von Software. So schließt CSAM die Lücke zwischen der konventionellen IT-Inventarisierung und den zentralen Sicherheitsfunktionen. Unternehmen erhalten ein Sicherheitsfundament, auf dem sie aufbauen können, um dann nahtlos zum Schwachstellenmanagement, der Endpunkt-Erkennung und Policy Compliance mithilfe des einzigen Agenten überzugehen.

Aufbau eines umfassenden Asset-Inventars (mit der kostenlosen Anwendung Global AssetView)

Zu wissen, welche Assets sich in der globalen Hybrid-IT-Umgebung befinden, ist eine grundlegende Voraussetzung für Sicherheit. Global AssetView erkennt und klassifiziert automatisch alle IT-Assets – Software, lokale Geräte und Anwendungen, mobile Geräte, Clouds, Container und IoT-Geräte –, sowohl mit agentenbasierten als auch agentenlosen Methoden. Die Lösung arbeitet mit der Qualys Cloud-Plattform und den Qualys-Sensoren zusammen (Scanner, Cloud-Konnektoren, Container-Sensoren, Cloud-Agenten, passiven Sensoren und APIs), um laufend Assets zu ermitteln. Dieser einzigartige Multi-Thread-Ansatz zur Inventarisierung stellt sicher, dass Qualys den umfassendsten Überblick über die IT-Umgebung bietet.

Bei der automatisierten Kategorisierung und Klassifizierung der Asset-Daten werden die Asset-Rohdaten auf den Qualys-Produktkatalog abgebildet, um saubere und verlässliche Daten zu erhalten. Der Produktkatalog wird kontinuierlich kuratiert, wobei der Fokus auf Vollständigkeit, Relevanz und Datenqualität liegt. Durch diesen Prozess wird der globale IT-Asset-Bestand zu multidimensionalen, strukturierten Informationen umgeformt, die bessere Geschäftsentscheidungen ermöglichen.

Mit einer leistungsstarken Suchmaschine können einfache oder erweiterte Abfragen erstellt werden, die mehrere Asset-Kriterien kombinieren und sofortige Ergebnisse liefern. Auch Stakeholder brauchen die passende Sicht auf die zugrunde liegenden Daten, damit sie auf Basis der Erkenntnisse Bedrohungen vorbeugen und beseitigen können. Mit den interaktiven, anpassbaren Dashboards von Qualys Global AssetView kann der Sicherheits-, Konfigurations- und Compliance-Status von IT-Assets visualisiert und mit anderen geteilt werden.

Die Zahl der IoT-Geräte – also vernetzter Geräte wie Drucker, Sicherheitskameras, VoIP-Telefone, Smart Boards und Gebäudeautomation – in den Unternehmensnetzwerken wächst enorm. Qualys Passive Sensor, ein Teil von Global AssetView, verfolgt den Netzwerkverkehr mit, um alle via IP verbundenen Geräte in Echtzeit zu identifizieren. Die Lösung analysiert zahlreiche Protokolle, um Fingerprinting zu ermöglichen, und kann Tausende von IoT-Geräten eindeutig identifizieren. Mit diesem Release weitet Qualys seine IoT-Fingerprinting Library und seine Profiling-Fähigkeiten erheblich aus – auf Zehntausende weiterer Geräte in wichtigen Kategorien, die in den Kundennetzwerken weit verbreitet sind. Dazu zählen:

  • VoIP-Telefone & Videokonferenzsysteme
  • Gebäudeautomation, wie z. B. HLK-Steuerungen, Beleuchtung, Strom- und Energieüberwachung
  • Zugangskontrolle und Ausweisleser
  • Intrusion Detection & Sicherheitskameras
  • Vernetzte Audio- und Mediengeräte, wie z. B. Smart TVs und Smart Speakers
  • IoT-Gateways und Access Points
  • Netzwerkdrucker
  • Smartphones und Tablets

Sichtbarkeit ist entscheidend für den Schutz der Umgebung. Die Fähigkeit von Qualys, IoT-Geräte nachzuverfolgen und zu identifizieren, ist ein Schlüsselelement, um diese Sichtbarkeit zu gewährleisten. Darüber hinaus ist es unerlässlich, über eine einzige, konsolidierte Sicht auf alle Assets zu verfügen, die das gesamte Netzwerk, lokale Umgebungen, die Cloud, das IoT und die mobilen Geräte umspannt.

Synchronisierung mit der CMDB und Zuweisung eines Risikoprofils

Mit der Anwendung ServiceNow Sync können die CMDB mit Asset-Daten aus Qualys befüllt und die Qualys-Assets mit relevanten CMDB-Attributdaten aktualisiert werden.

Wechselseitige CMDB-Updates (mit der Anwendung CMDB Sync)

Qualys CMDB Sync füllt die ServiceNow CMDB mit detaillierten Beständen neuer und geänderter IT-Assets, die kategorisiert und mit Lebenszyklusdaten angereichert werden. Nicht identifizierte und falsch klassifizierte Assets werden eliminiert, und der Nutzer erhält eine umfassende Echtzeitsicht auf sein IT-Asset-Inventar, um Sicherheits- und Compliance-Risiken sofort zu erkennen. Außerdem können mit der Lösung fehlende ServiceNow IP-Adressen in das Qualys-Abonnement importiert werden, um Scans mit Vulnerability Assessment und Policy Compliance zu ermöglichen und Bestände zu erfassen.

Anreicherung mit geschäftlichen und organisatorischen Daten

Schlüsselattributdaten können aus der CMDB erfasst und zugewiesen werden. Nicht alle IT-Assets sind für ein Unternehmen und die Sicherheitsperspektive gleich wertvoll oder wichtig. Durch die Einbeziehung geschäftlicher und organisatorischer Daten kann der Nutzer besser verstehen, wie seine Assets genutzt werden, und seine Sicherheitsmaßnahmen auf die geschäftskritischen Elemente konzentrieren.

Diese Funktion erweitert die derzeitige Anwendung CMDB Sync und bietet folgende Fähigkeiten:

  • Ruft wichtige Attributdaten aus der ServiceNow CMDB ab, einschließlich:
    o Status (z. B. betriebsfähig, in Reparatur, verloren/gestohlen)
    o Organisation (z. B. Unternehmen/Geschäftseinheit/Abteilung)
    o Eigner/Verwaltet von/Betreut von – wer ist für das Asset verantwortlich, verwaltet oder pflegt es
    o Umgebung (z. B. Produktion/Lab/Test)
    o Zugewiesener Standort (Land, Stadt und Standortname)
    o Geschäftsanwendung/Dienstname (Banking-Anwendung, HR-Intranet)
    o Asset-Kritikalität
  • Weist die Daten als Asset-Eigenschaften zu
  • Ermöglicht Suchen über Abfragen und den Zugriff via APIs

Messen der Asset-Kritikalität

Bei der Priorisierung der Sicherheitsmaßnahmen sollte der Fokus auf Assets mit großer Bedeutung und hohem Risiko liegen, indem wichtiger geschäftlicher und technischer Kontext definiert wird. Die Asset-Kritikalität ist ein benutzerdefinierter Messwert für die Funktion, die Umgebung und den Dienst eines Assets. Er wird folgendermaßen genutzt:

  • Der Nutzer wählt optional einen Kritikalitätswert für ein Tag aus, das dann auf ein oder mehrere Assets angewendet wird
  • Einem Asset-Attribut wird der höchste Kritikalitätswert unter den zugeordneten Asset-Tags zugewiesen
  • Wenn Daten aus der CMDB abgerufen werden, wird der Asset-Kritikalitätswert einem Tag und dem entsprechenden Asset automatisch zugewiesen

Sicherheitslücken erkennen und überwachen

Bei einer Betrachtung der IT-Assets aus der Sicherheitsperspektive reicht eine umfassende Inventarisierung der Umgebung allein noch nicht aus. CSAM zieht deshalb zahlreiche Schichten kontextbezogener technischer und geschäftlicher Daten heran, um eine ganzheitliche Übersicht über die Sicherheit der IT-Bestände zu vermitteln. So lassen sich gefährdete Assets leicht erkennen.

Autorisierte/unautorisierte Software

Definieren und Erstellen von Listen sowohl der autorisierten als auch nicht autorisierten Software und Verfolgen des Resultats in der IT-Umgebung – Die proaktive Verfolgung unautorisierter und autorisierter Software ist ein wichtiges Mittel, um Risiken zu verringern und die Sicherheit der IT-Bestände zu verbessern. Diese Funktionalität:

  • verfolgt und meldet nicht autorisierte Software, ausgehend von benutzerdefinierten Listen
  • verwaltet die Listen mit autorisierter Software und ermittelt Software, die dort nicht verzeichnet ist
  • ermöglicht die Wahl eines „Golden Image“ als Basis für Listen mit autorisierter Software
  • ermöglicht die Erstellung und Zuweisung mehrerer Listen nach Asset-Typ, Standort, Kritikalität und Nutzung

Überblick über die Angriffsfläche

Bietet eine Erweiterung der bestehenden Funktionen für gezielte externe Scans in Global AssetView um eine laufende Zero-Touch-Überwachung mit Shodan.io-Daten. Dabei wird eine Outside-In-Perspektive eingenommen, um Assets zu finden, die mit dem Internet verbunden sind. Bekannte verwaltete Assets werden markiert und – ebenso wichtig – unbekannte Assets identifiziert, sodass das Sicherheitsrisiko bewertet werden kann. Diese Funktionalität:

  • ruft kundenspezifische öffentliche Daten aus Quellen wie Shodan.io ab
  • zeigt diese im Asset-Inventar und in den Asset-Details an
  • erstellt „Unmanaged Assets“, um neu identifizierte Endpunkte zu verfolgen
  • ermöglicht kontextbezogene Abfragen

Blind Spots finden

Um den Sicherheitsstatus zuverlässig ermitteln zu können, muss Unternehmen bekannt sein, auf welchen Assets welche Sicherheits- und Überwachungstools installiert sind und auf welchen nicht. CSAM kann zahlreiche Security-Endpunkte verfolgen und identifizieren und mithilfe von Dashboards und Zustandsberichten aufzeigen, wie groß die Abdeckung ist und wo Tools auf wichtigen Assets fehlen.

Berichterstattung

Bietet das Erzeugen von kuratierten Berichten und das Bereitstellen von Auszügen, um verschiedensten regulatorischen Anforderungen gerecht zu werden. Viele Regulierungsbehörden und Normungsorganisationen schreiben die Vorlage strukturierter Berichte vor. Wenn ein Unternehmen diese Anforderungen nicht erfüllt, kann dies erhebliche Auswirkungen auf seine weitere Zusammenarbeit bzw. das Einvernehmen mit Behörden und Organisationen haben.

  • Erzeugen eines formatierten FedRAMP Asset Inventory and Security Reports
  • Erstellen benutzerdefinierter Berichte für interne und regulatorische Anforderungen, wobei der Asset-Umfang und die erforderlichen Attribute definiert werden
  • Planung von Berichten, die periodisch erstellt werden sollen

Alarme, Reaktionen und Monitoring

Bietet die Nutzung konfigurierbarer, richtlinienbasierter Alarme, um die jeweiligen Stakeholder automatisch über gefährdete Assets zu informieren. Nachdem die verschiedenen Sicherheitskontext-Ebenen hinzugefügt wurden, besteht der nächste Schritt darin, die besonders wichtige Hardware und Software zu ermitteln.

Alarme

Definieren, Planen und Aktivieren richtlinienbasierter Alarme für alle Assets und Software-Programme in der Umgebung – dabei können kontextbezogene Anreicherungsdaten genutzt werden, um Bereiche mit hohem Risiko ausfindig zu machen. Diese Funktionalität:

  • ermöglicht es dem Benutzer, ein Asset oder eine Gruppe von Assets anhand von Hardware- und Software-Eigenschaften auszuwählen (z. B. offene Ports, Volumen) und dann einen Alarm zu erstellen, um alle betroffenen Personen zu verständigen
  • liefert sofort verfügbare Vorlagen zur Vereinfachung des Erstellungsprozesses
  • ermöglicht den Versand von Benachrichtigungen via E-Mail, Slack oder PagerDuty

Deinstallieren von Anwendungen

Bietet die Deinstallation unautorisierter oder End-of-Life-Software einfach direkt aus CSAM heraus. Wenn Software ermittelt wurde, die ein hohes Risiko darstellt, muss das Problem schnell behoben werden. Eine wichtige Maßnahme kann dabei die Deinstallation der betreffenden Anwendungsinstanz sein.

Die Anwendung entweder in einer manuellen, einmaligen Aktion oder im Rahmen einer richtlinienbasierten Regel entfernt werden. Mit dieser Funktion kann ein Benutzer:

  • risikobehaftete Software anhand von Suchanfragen zum Asset-Inventar auswählen
  • eine Deinstallationsaufgabe mit mehreren Schritten erstellen, einschließlich der Ausführung von Schritten vor und nach der Deinstallation, und einen Zeitplan mit Blackout-Fenstern wählen
  • die anstehende Deinstallationsaktion sehen
  • Richtlinien zur periodischen und automatischen Deinstallation bestimmter Software aktivieren

Asset Management – aus der Sicherheitsperspektive neu gedacht

Mit seinen aktiven und passiven Inventarisierungssensoren, der umfangreichen Softwarebibliothek und den leistungsstarken Abfrage- und Dashboard-Funktionen vermittelt CSAM eine umfassende Sicht auf alle IT-Bestände. Hinzu kommen verschiedene Ebenen kontextbezogener Daten und eine echte Sicherheitsübersicht über die Assets: So erhält der User einen unvergleichlichen Überblick über alle Bereiche mit potenziellen Risiken. Das richtlinienbasierte Monitoring versetzt ihn in die Lage, sich auf die dringlichsten Bereiche zu konzentrieren, und mit der Deinstallationsfunktion von Qualys kann er schnell und einfach reagieren. Qualys CyberSecurity Asset Management ist ein einzigartig effektives Tool für IT-Sicherheitsfachleute.

Weiterführende Ressourcen

Kategorien
News
Tags:
AssetAsset-ManagementQualys

Weitere Artikel

Default ThumbnailUnified Dashboard für bessere Visualisierung der Sicherheitsinformationen Patchday Februar 2016: Update für Adobe Flash stopft 22 kritische Sicherheitslücken Qualys veröffentlicht einen Security Advisory zur „GHOST“-Schwachstelle auf Linux-Systemen Default ThumbnailQualys ermöglicht Erkennung der OpenSSL-Sicherheitslücke HeartBleed

Archiv

Kategorien

Back to Top