Asset-Inventarisierung für Sicherheitsteams

„You can’t secure what you can’t see or don’t know“ – Sicherheitsteams können nicht sichern, was sie nicht sehen oder wovon sie nicht wissen. In Gesprächen mit Unternehmen wird sehr deutlich, dass Unternehmen eine umfassende Ansicht ihrer IT-Asset-Infrastruktur benötigen. Diese umfassende Ansicht muss jedoch spezifisch auf das Sicherheitsteam zugeschnitten sein, denn dieses spielt eine andere Rolle als IT-Teams, die sich mit Inventar, Software-Support und Lizenzaufsicht befassen. Eine Herausforderung für Sicherheitsteams, die auf die Inventare ihrer IT-Partner angewiesen sind, ist die mangelnde Transparenz im Sicherheitskontext ihrer Ressourcen.

Die Priorisierung der überwältigenden Anzahl an Problemen, die Sicherheitsteams angehen müssen, erfordert Transparenz im Sicherheitskontext. Wenn Teams den Risikokontext jeder Ressource verstehen, dann können sie leichter entscheiden: Sie sehen, wo sofort gehandelt werden muss und welche Risiken schrittweise oder mit anderen Änderungen verringert oder als zu gering ignoriert werden können.

Doch eine alleinige Auflistung von Problemen reicht Sicherheitsteams nicht. Sie müssen auch Änderungen im Sicherheitskontext ihrer Assets überwachen. Nur so wissen sie, wann neue Assets mit bestimmten Merkmalen oder Risikoprofilen eingeführt wurden oder wann bestehende Assets das Risiko verändert haben. Sie benötigen Automatisierung zum richtigen Zeitpunkt, damit Maßnahmen automatisch auf der Grundlage der von ihnen eingeführten Sicherheitsrisikorichtlinien ergriffen werden. Qualys-VMDR erkennt Software-Schwachstellen – was jedoch, wenn die Software überhaupt nie auf diesem System hätte installiert werden sollen? Diese Änderungen müssen überwacht werden.

Das Hinzufügen von Sicherheitskontexten auf Ad-hoc-Basis oder zusätzlich manuell zum IT-Asset-Inventar funktioniert nicht. Angesichts der begrenzten Ressourcen von Sicherheitsteams sind automatisierte Tools erforderlich. So können der Umfang und die Reichweite der Verwaltung kleiner und mittlerer Umgebungen erreicht werden, ganz zu schweigen von Infrastrukturen im Unternehmensmaßstab. Einfache Richtlinien wie „Keine Datenbanken sollten auf Webservern ausgeführt werden“ können zu einer komplexen Herausforderung für die Implementierung werden.

 

Der neue Sicherheitsfokus im IT-Asset-Inventar

Aus diesem Grund hat Qualys in den letzten Jahren viel in die Asset-Inventarisierung investiert. „AssetView“ und „Global IT Asset Inventory“ haben sich bei seinen Kunden als solide Grundlage für die Asset-Inventarisierung etabliert – und das alles auf einer einheitlichen Plattform.

Qualys stellt nun Cybersecurity-Asset-Management (CSAM) vor, das noch einen Schritt weiter geht und einen Sicherheitskontext hinzufügt, mit dem Unternehmen Sicherheitslücken in ihrer Infrastruktur erkennen und auf Risiken reagieren können. Cybersecurity-Asset-Management ist ein neues Asset Management für Sicherheitsteams, das sich darauf konzentriert, alle Systeme umfassend zu identifizieren, risikobehaftete Assets zu erkennen und mit geeigneten Maßnahmen zu reagieren, um das Risiko zu mindern.

 

Identifizierung von Assets und Sync mit CMDB

Der Ausgangspunkt von Sicherheitsprogrammen ist das Wissen darüber, über welche Assets man verfügt. Durch die Kombination von agentenbasierter und agentenloser Datenerfassung, aktivem Scannen zur Aufspürung bekannter Assets, passivem Scannen zur Identifizierung unbekannter Assets und APIs zur Automatisierung bietet die Qualys-Cloud-Platform eine umfassende Asset-Erkennung in der gesamten Infrastruktur, einschließlich Onpremises, Cloud, Container, OT und IoT.

Asset-Daten sind normalisiert und kategorisiert, sodass Assets mit Datenbanken oder Hardware/Software von bestimmten Herstellern oder Asset-Typen wie Druckern identifiziert werden können. Darüber hinaus bietet die Synchronisierung mit der CMDB zusätzliche kontextbezogene Anreicherungsdaten, einschließlich Organisation, Eigentümer, Standort und Art des Assets (wie Produktion oder Test), die dabei helfen, geschäftskritische Assets zu identifizieren und sie automatisch zu kennzeichnen.

 

Asset-Zustand erkennen und überwachen

Um Risiken genau zu bewerten und gefährdete Assets zu erkennen, benötigen Sicherheitsteams sowohl umfangreiche Asset-Inventardaten als auch die Möglichkeit, diese zur Unterstützung der Entscheidungsfindung zu korrelieren. Qualys nutzt die gesammelten kategorisierten Daten und reichert sie über die Qualys-Cloud-Platform an, sodass die Inventarinformationen dieser Assets genutzt werden können, um den Zustand der Sicherheitsrichtlinien des Unternehmens zu verfolgen.

Cybersecurity-Asset-Management erkennt die folgenden Merkmale des Sicherheitskontexts:

  • Autorisierte/unautorisierte/erforderliche Software: Verwalten von Whitelists und Blacklists und Informationen darüber, auf welchen Anlagen erforderliche Sicherheits- und Überwachungstools fehlen oder welche Anlagen Software ausführen, die sie nicht ausführen sollten.
  • End-of-Life (EOL)- und End-of-Service (EOS)-Software: Besonders EOS-Software ohne verfügbare Sicherheitsupdates ist ein Risiko, da Abhilfemaßnahmen begrenzt oder nicht vorhanden sind. Niemand möchte, dass eine EOL-Datenbank auf Produktionssystemen läuft, und die Identifizierung aus einer CMDB-Perspektive automatisieren.
  • Angriffsfläche: Das externe Scannen von Qualys und die Integration mit Drittanbieter-Quellen wie Shodan.io ermöglicht eine Draufsicht auf Basis aller IPs, die sich im Besitz einer Organisation befinden, sodass diese weiß, welche Assets im Inventar der Organisation vom Internet aus sichtbar sind.
  • Kritikalität der Assets: Anpassen und automatisches Zuweisen von Kritikalität zu Assets basierend auf ihren Attributen.

Mandate wie FedRAMP und PCI verlangen, dass ein Unternehmen nicht autorisierte installierte Software nachverfolgt und darüber Bericht erstattet, damit es seine Compliance nachweisen kann. Das Berichtswesen umfasst konfigurierbare und sofort einsatzbereite CSV-Übersichten beispielsweise zur Anzeige des FedRAMP-Bestands.

Visuelle Security-Health-Reports für einen einzelnen Unternehmensstandort helfen dabei, einen Überblick über das Gesamtbild zu erhalten, Bereiche für zusätzliche Analysen zu identifizieren und die automatische Alarmierung zu steuern:

 

Response

Die Response erfolgt in Form von Warnungen oder automatisierten Aktionen. Durch die Anwendung von Richtlinien auf verschiedene Klassen von Assets, basierend auf ihren Risiko- und Geschäftsattributen, kann eine konsistente und sofortige Reaktion auf Probleme sichergestellt werden.

Konfigurierbare, regelbasierte Alarme mit sofort einsatzbereiten Vorlagen werden an E-Mail, Slack, PagerDuty usw. gesendet, sodass alles an die Arbeitsprozesse einer Organisation angepasst funktioniert. Die Überwachung gibt dem Anwender Einblick in Änderungen an der zentralen Infrastruktur und ist nützlich für Situationen, in denen er vor der Ergreifung von Maßnahmen zusätzliche Analysen wünscht.

Für die Beschleunigung der Reaktion besteht der nächste Schritt darin, diese zu automatisieren. Vor allem dann, wenn die Teams mit der Zeit auf die präzisen Warnmeldungen vertrauen. Wenn es im Unternehmen eine Richtlinie gibt, die die Ausführung bestimmter Software wie Peer-to-Peer- oder Messaging-Software auf einer bestimmten Gruppe von Produktionssystemen verbietet, dann gibt es kaum einen Grund, sie nicht automatisch zu deinstallieren. Neu gefundene, nicht verwaltete Assets können automatisch markiert werden, um sie zu Scan-Jobs des Vulnerability-Management hinzuzufügen.

 

Vereinfachtes Asset-Management für die Sicherheit

Mit dieser Ankündigung vereinfacht Qualys das Asset Management in zwei Komponenten:

Global-Assetview ist mit einer beliebigen Anzahl von Agenten und passiven Scannern kostenlos und verschafft einen grundlegenden Überblick über sämtliche Assets.

Cybersecurity-Asset-Management fügt einen Kontext für sicherheitszentrierte Sichtbarkeit mit Erkennung von Sicherheitslücken und CMDB-Integration hinzu, plus Alarmierung und Reaktion.

Sumedh Thakar, President und Chief Executive Officer bei Qualys

Da alles auf der Qualys-Cloud-Platform mit den von mehreren Sensoren gesammelten Daten läuft, wird das Asset-Inventar von allen Qualys-Apps gemeinsam genutzt und bildet die Grundlage für alle anderen Sicherheitsoperationen, die aus Qualys heraus ausgeführt werden. Zusätzliche erweiterte Sicherheitstransparenz kann mit VMDR, Patching und EDR hinzugefügt werden, alles über denselben Qualys-Cloud-Agent.

Von Sumedh Thakar, CEO und Präsident, Qualys

#Qualys