:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit und IT-Asset-Management Die Sicherheits-Teams versinken in Daten – was tun?
Den IT-Sicherheitsteams stehen heute mehr Informationen zur Verfügung als je zuvor. Doch die schiere Datenmenge hilft keineswegs, Probleme zu lösen. Wie also können Unternehmen der Datenflut Herr werden und erreichen, dass sich die IT- Teams auf die dringendsten Aufgaben konzentrieren können? Die Antwort liegt in einer besseren Datenkonsolidierung, besserer Priorisierung und besseren Prozessen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Zunächst ist es wichtig, die Quellen für IT-, Sicherheits- und Compliance-Daten zu überprüfen, die aktuell zur Verfügung stehen. IT-Teams mit etablieren Prozessen nutzen ITAM- (IT-Asset-Management) oder CMDB- (Configuration Management Database) Systeme. Weniger formalisierte Ansätze führen dagegen zu fragmentierten Daten, die auf einen Mix aus Tabellenkalkulationen und hauseigenen Datenbanken verstreut sind.
Compliance-Daten werden hauptsächlich in Tabellenkalkulationen oder Dokumenten gespeichert, die teilweise von Wirtschaftsprüfungs- oder Beraterfirmen stammen. Einige Unternehmen verwenden spezialisierte Software, um die Einhaltung von Vorschriften zu verfolgen und Kontrollen durchzuführen. Doch wenn die Teams nicht miteinander kommunizieren, wird eine solche Software schnell zum Datensilo.
:quality(80)/images.vogel.de/vogelonline/bdb/1522500/1522554/original.jpg "Unternehmen müssen die Alarm-Flut effektiv und aktiv bekämpfen, sonst laufen sie Gefahr, von ihr hinweggerissen zu werden. (gemeinfrei)")
Wenn Security-Alarme zum Problem werden
Maßnahmen gegen die steigende Alarm-Flut
Folgende Fragen sollten also gestellt werden: Gibt es Datenquellen, die sich möglicherweise überschneiden? Können Datensätze konsolidiert werden, indem entweder die Zahl der verfügbaren Tools reduziert oder alle Daten an einem Ort gesammelt werden?
Sollten mehrere Datenquellen synchronisieren werden, muss vorab klar sein, dass dies auf zuverlässige und konsistente Weise geschieht. Ist das nicht möglich – oder manuelle Arbeit erforderlich, um konsistente und zeitnahe Ergebnisse zu erzielen –, könnte es praktischer sein und die Präzision erhöhen, wenn die vorhandenen Tools und Produkte konsolidiert werden, wo immer es möglich ist. Das kann die Resultate überschaubarer machen und Unternehmen den Fokus erleichtern.
Sobald alle Datenquellen durchgegangen sind, sollte eine Prüfung in Bezug auf die Verbesserung der Nutzung der Daten durchgeführt werden. Das bedeutet nicht, einfach noch mehr Daten in den Topf zu werfen, sondern vielmehr, den Kontext und die Präzision der Daten zu betrachten. Kontext bedeutet hier, die richtigen Informationen bereitzustellen und zu filtern, um einem bestimmten Ziel oder Erfordernis gerecht zu werden. Präzision wiederum bedeutet, dass aktuellere Informationen generiert werden können, die auf dem basieren, was jetzt geschieht, anstatt vor einem Tag oder einer Woche. Höhere Genauigkeit und verbesserter Kontext können dann helfen, die verschiedenen Datensätze anzureichern.
Um das zu erreichen, müssen die zuständigen Stellen Prozesse daraufhin überprüfen, wie die Daten tagtäglich verarbeitet und verwendet werden. Wie sieht das derzeitige Verfahren aus, um anfällige Oberflächen zu priorisieren und die Probleme zu beheben? Ist das Verfahren effektiv und effizient, oder muss es im Interesse guter Ergebnisse besser überwacht werden? Jedes Unternehmen sollte nach Präzision streben, und zwar aus einem einfachen Grund: Der Mangel an präzisen Daten führt zu einem Übermaß an Informationen, die untersucht werden müssen, bevor sie als nutzlos definiert und ausgeschlossen werden können.
Laut einer IDC-Studie dauert die Untersuchung eines Sicherheitsvorfalls im Durchschnitt ein bis vier Stunden und bindet zwei Mitglieder des SecOps-Teams (Quelle: The State of Security Operations). Angesichts fehlender Sicherheitsfachkräfte ist betriebliche Effizienz der größte Geschäftsvorteil, den präzise Daten bringen. Präzise Daten verringern die Anzahl der Ereignisse, die untersucht werden müssen. Sie sorgen dafür, dass Ihr Team nur solche Ereignisse überprüft, die wirklich von Bedeutung sind, und verschaffen Ihren Fachleuten Zeit für andere Aufgaben.
Um höhere Präzision und betriebliche Effizienz zu erreichen, sollte eine Reihe von Datenquellen parallel genutzt werden. Das Spektrum reicht dabei von Informationen zu Cyberbedrohungen, die in Echtzeit zeigen, wie anfällig und ausnutzbar die Umgebung ist, bis hin zu IT-Asset-Management-Daten, die nahezu in Echtzeit Aufschluss darüber geben können, welche Assets installiert sind und wie ihr Status ist. Gemeinsam können diese beiden Quellen dabei helfen festzustellen, welche Sicherheitsprobleme für das Unternehmen aktuell bestehen, wie schnell diese Probleme behoben werden müssen oder wo ein Problem eine andere Art von Risikominderung erfordern könnte.
Über den Tellerrand sehen
Die bisherigen Überlegungen sollten helfen, einen praktischen Ansatz zur Verwaltung der Assets zu finden, die ständig mit dem Unternehmensnetzwerk verbunden sind. Die heutige IT besteht jedoch noch aus vielen weiteren Geräten und Diensten, die entweder nur selten im Netzwerk sind oder von Dritten gehostet und verwaltet werden. Unabhängig davon, ob diese Dienste von lokalen Unternehmen oder von einem der großen Public-Cloud-Anbieter wie Amazon oder Microsoft gehostet werden – es sind Assets und Anwendungen, die verwaltet werden müssen.
Für jede externe Plattform, die Organisationen betreiben oder nutzen, sollten genauso detaillierte Daten zur Verfügung stehen wie für die interne Umgebung. Zusätzlich sollten diese Informationen zusammen mit internen Informationen zentralisiert werden, sodass sämtliche Daten im Kontext betrachten werden können – unabhängig davon, um welche Plattform es gerade geht. Das ist unerlässlich, um einen gründlichen Überblick über die gesamte IT-Landschaft des Unternehmens zu gewinnen.
Wenn mehr IT-Assets in die Cloud verlegt werden, wird das Datenvolumen weiterwachsen, getrieben durch die kontinuierliche Suche nach Schwachstellen, Änderungen an IT-Assets und die schnelle Bereitstellung immer neuer Ressourcen. Bei so vielen Informationen ist es schwierig, potenzielle Probleme zu erkennen. Es ist jedoch wichtig zu entscheiden, welche Maßnahmen für das Unternehmen besonders elementar sind.
Zur Verwaltung dieser großen Informationsmenge gehört es auch, zu prüfen, welche Anwendungen oder Komponenten geschäftskritisch sind, und dafür zu sorgen, dass diese bei etwaigen Änderungen oder Aktualisierungen auf jeden Fall berücksichtigt werden. Vielleicht bestehen auch Sicherheitsprobleme, die so schwerwiegend sind, dass sie sofortige Gegenmaßnahmen erfordern. Wenn die nötigen Aktualisierungen in eine Rangfolge gebracht werden, kann das zuständige Team Prioritäten setzen. Diese Daten sollten es auch ermöglichen, Warnmeldungen auszugeben, wenn Bedingungen eintreten, die die Kriterien für ein Sicherheitsrisiko erfüllen. Außerdem sollten die Daten nach bestimmten Problemen durchsucht werden können, sodass alle ungepatchten IT-Ressourcen dem Team automatisch angezeigt werden.
Die Zentralisierung der Daten unterstützt die Ziele vieler Teams. Letztendlich benötigen die IT-Operations- und Asset-Management-Teams, die IT-Sicherheitsabteilungen und die Compliance-Experten alle die gleichen Daten zur IT-Landschaft des Unternehmens. Ihre jeweiligen Perspektiven und Maßnahmen sind dagegen unterschiedlich.
Nehmen wir zum Beispiel eine virtuelle Cloud-Server-Instanz in einem AWS-Konto. Um die oben beschriebenen Best Practices einzuhalten, sollte ein Agent im Golden Image installieren werden, der Daten zu erfassen beginnt, sobald ein neues Server-Image erstellt wird.
Dem IT-Personal liefert der Agent wertvolle Informationen darüber, welche Ressourcen der Server nutzt; an welchem geografischen Ort er sich befindet; wann er zuletzt gebootet wurde; welche Software auf ihm installiert ist; ob er proprietäre oder Open-Source-Software verwendet; und wann die Software das Ende ihrer Lebensdauer erreicht. Das Sicherheitsteam dagegen wird die Agentendaten auswerten wollen, um alle neuen Schwachstellen zu ermitteln, Anzeichen für Kompromittierungen zu erkennen und festzustellen, ob für die entdeckten Schwachstellen Exploits existieren. Außerdem sollten diese Informationen dem Team auch zeigen, ob für die erkannten Probleme Patches verfügbar sind, die installiert werden sollten.
Das Compliance-Team wiederum wird prüfen wollen, ob der Server die Kontrollen einhält, die die anwendbaren Audit-Frameworks vorschreiben. Beispiele wären hier etwa PCI DSS bei Kreditkartendaten oder die DSGVO bei personenbezogenen Daten.
Es wird deutlich, dass Teams dabei unterstützt werden können, mehr Konsistenz bei sämtlichen erforderlichen Prozessen zu erreichen, indem eine einzige, zentrale Datenquelle („Single Source of Truth) auf Grundlage der IT-Asset-Daten geschaffen wird. Gleichzeitig kann auf diese Weise der Aufwand für die Datenverarbeitung und Datenversorgung minimiert werden.
Sehr nützlich sind diese Daten auch, wenn es darum geht, sich mit anderen Interessengruppen im Unternehmen über Sicherheitsfragen auszutauschen. Sobald neue Sicherheitsverletzungen oder Hackerangriffe Schlagzeilen machen, werden sich mehr Leute im Unternehmen für die Sicherheit zu interessieren beginnen. Wenn ein Unternehmen dann in der Lage ist, proaktiv Informationen zu diesen Themen zu liefern – von der Frage, ob es überhaupt betroffen ist, bis hin zu spezifischen Angaben zu Abhilfemaßnahmen –, kann viel dazu beigetragen werden, dass Alle Vertrauen in die Sicherheitsmaßnahmen des Unternehmens setzen. Und selbst wenn die Sicherheitsprobleme nicht dringlich sind, ist es möglich auf diese Weise die Wahrnehmung dessen, was getan werden muss, erheblich verbessern.
IT-Asset-Daten und die größeren Zusammenhänge
Das Sicherheitsmanagement hängt mehr und mehr von Daten ab. Ohne diese Informationen wird es immer schwieriger, Probleme zu priorisieren und die Sicherheit aller IT-Ressourcen zu gewährleisten. Wenn die richtigen Werkzeuge fehlen, werden die enormen Datenmengen in der IT jedoch selbst zum Problem.
Es mag im ganzen Unternehmen Datenbestände geben, die von Teams angelegt wurden, die jeweils ihre eigenen Ziele verfolgen. Effizienter ist es jedoch, eine einzige, zentrale und präzise Datenquelle aufzubauen, die für sämtliche Anwendungsfälle genutzt werden kann. Auf diese Weise ist es möglich eine Menge manueller Doppelarbeit zu vermeiden, wenn die IT-Abteilung beschließt, den Server stillzulegen, weil er nicht mehr benötigt wird. Statt dass dann in den verschiedenen Abteilungen quer durchs ganze Unternehmen zahlreiche Tabellenkalkulationen und Datenbanken aktualisiert werden müssen, liefert eine zentralisierte Plattform sämtlichen Abteilungen auf einen Schlag aktualisierte Daten. Der Server verschwindet aus der IT, das wahrgenommene Risiko des Servers wird vom Dashboard der Sicherheitsabteilung entfernt und die Compliance verbessert sich automatisch.
Deshalb ist es unerlässlich, alle diese Daten zu zentralisieren und eine einheitliche Sicht auf sämtliche IT-Ressourcen zu gewährleisten, unabhängig davon, wo sie sich zu einem bestimmten Zeitpunkt befinden. Die Konsolidierung der Daten sollte es ebenfalls erleichtern, die Assets, Software und installierten Updates zu verwalten, zu analysieren und Informationen über sie zu suchen. Anstatt eines riesigen Datensumpfs wird so ein detailliertes Bild aller wichtigen Sicherheitsänderungen und der Prioritäten, basierend auf Ihrer realen Umgebung, erzeugt.
Über den Autor: Marco Rottigni ist Chief Technical Security Officer, EMEA South bei Qualys.
(ID:46007560)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")