:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Konfigurationen sicher verwalten Risiken bei Konfigurationsdrifts und wie man sie beseitigt
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Konfigurationen haben die fatale Neigung, sich zu verändern. Es kommt zu Abweichungen vom sicheren Grundzustand, dem sogenannten Konfigurationsdrift. Gerade schnelle Lösungen, die auf den ersten Blick harmlos erscheinen, erweisen sich im Nachgang nicht selten als riskant. Best Practices geben Orientierungshilfe wie man dieser Art von Risiken entgegenwirken und den Reifegrad des Konfigurationsmanagements kontinuierlich steigern kann.
Die Arbeit von Cybersicherheitsexperten könnte deutlich einfacher sein. Dann nämlich, wenn Konfigurationen sich aus dem einmal erreichten sicheren Grundzustand heraus nicht mehr verändern würden. Im Laufe der Zeit aber weichen Konfigurationen zwangsläufig von diesem sicheren Zustand ab. Dann nämlich, wenn jemand im System Veränderungen vornimmt. Dieses Problem - bekannt als „Configuration Drift“ oder Konfigurationsdrift - bedeutet, je mehr Zeit seit dem letzten Scan vergangen ist, um so größer die Risiken hinsichtlich der potentiellen Angriffsfläche.
Welche Änderungen aber führen zu einem Konfigurationsdrift? Produktoptimierung ist ein kontinuierlicher Prozess. App-Entwickler modifizieren Apps und Infrastruktur in regelmäßigen Abständen zum Beispiel, um sie benutzerfreundlicher zu machen. Solche Änderungen können harmlos sein, können aber auch dazu führen, dass Systeme von der ursprünglich sicheren Grundlinie abweichen. Konfigurationssicherheit ist einer der grundlegenden Bausteine, wenn man eine wirksame Verteidigung gegen Cyberattacken aufbauen will. Aus strategischer Sicht, ist die sichere Konfiguration ein guter Ausgangspunkt (z.B. mit CIS-gehärteten Images). Sie dauerhaft zu pflegen, darin liegt in der Praxis die sehr viel größere Herausforderung.
Drei Beispiele für einen Konfigurationsdrift - und wie man ihn vermeidet
Anhand einiger konkreter Beispiele lässt sich veranschaulichen, wie leicht es zu einem Konfigurationsdrift kommt. Schnelle Lösungen, die auf den ersten Blick harmlos erscheinen, erweisen sich im Nachgang nicht selten als riskant. In anderen Fällen besteht die Schwierigkeit darin, den Prüfern Nachweise zu liefern, dass die vorgenommenen Änderungen annehmbar sind.
1. Einführen neuer Ports
Angenommen, es gibt einen innovativen Ansatz, die Benutzerfreundlichkeit einer App zu verbessern. Als einer der ersten Schritte wird dazu ein neuer Kommunikationsport für die Verwendung proprietärer Protokolle geöffnet. Das betriebliche Team löst ein Änderungsticket aus und stellt fest, dass die Anwendung einwandfrei funktioniert, sobald der neue Port auf Servern und Firewalls geöffnet ist. Sechs Monate später ist es Zeit für eine Sicherheitsüberprüfung. Die Auditoren verweisen auf das Problem des undokumentierten offenen Ports, weil er von der geltenden Sicherheitsrichtlinie abweicht. Die
Sicherheitsabteilung muss jetzt viel Zeit darauf verwenden, die fragliche Änderung zurückzuverfolgen und das damit verbundene Risiko richtig zu beurteilen. Selbst wenn es angesichts des Kontextes akzeptabel ist, dauert es zu lange bis die Prüfer ausreichende Informationen haben, um diese Feststellung überhaupt erst treffen zu können. Wenn Sicherheitsteams den Konfigurationsdrift nachverfolgen und Änderungen an der bekannten gehärteten Grundlinie dokumentieren, ist es um ein Vielfaches leichter, Prüfnachweise zu erbringen, ohne wertvolle Zeit zu vergeuden.
2. Erweiterung von Privilegien
Auch erweiterte Privilegien und Zugriffsberechtigungen sind ein Weg, wie IT-Experten unwissentlich jede Menge Risiken in ihre Systeme einschleusen. Wenn ein App-Entwickler sich wiederholt in einen einzelnen Server einloggt, will er vielleicht eine Abkürzung nehmen, indem er die Gruppe "Benutzer" zu den Benutzerrechte-Kategorien hinzufügt, was für mehr Komfort bei der Entwicklung sorgt. Auf diese Weise lassen sich die speziellen Admin-Zugangsdaten umgehen, die für eine Produktionsänderung erforderlich sind. Das „Ausleihen“ von Admin-Zugangsdaten aus einem Passwort-Tresor ist potenziell zeitaufwändig. Aus Sicht von Entwicklern ist die Aktion nicht einmal besonders riskant, weil es sich um einen einzelnen Server, und nicht um eine komplette Domain handelt. Trotzdem kann sich eine Erweiterung der Privilegien selbst für einen einzelnen Server in Bezug auf den Konfigurationsdrift als riskant erweisen. Unter Umständen ist das Risiko sogar deutlich höher als die möglichen Vorteile beim Benutzen der App. Die Sicherheitsverantwortlichen erfahren aber erst bei der nächsten manuellen Prüfung des Servers, was überhaupt passiert ist.
3. Cloud-Speicher
Die Verwendung eines Public Cloud-Anbieters setzt voraus, dass Sie sich voll und ganz darüber im Klaren sind, welche Sicherheitsverantwortlichkeiten bei Ihnen und welche im Zuständigkeitsbereich des Anbieters liegen. Amazon Web Services (AWS) blockiert standardmäßig den gesamten öffentlichen Zugriff, wenn ein Benutzer einen neuen Bucket erstellt. Das ist aus Sicherheitsgründen vorteilhaft. IT-Teams sehen darin aber auch ein Effizienzhindernis. Um bestimmte IT-Vorgänge zu optimieren, kann es verlockend sein, diese automatische Einstellung zu deaktivieren. Das kann die IT zum Zeitpunkt der Einrichtung tun oder bei einem temporären Anwendungsfall. Dann allerdings gerät die Aktion leicht in Vergessenheit, und die IT versäumt, wieder auf die AWS-Standardeinstellung zurückzusetzen. Das kann übrigens auch das Ergebnis eines Fehlers in einem automatisierten Skript sein.
Was auch immer der konkrete Grund ist, eine Änderung der Bucket-Zugriffseinstellungen kann genau die Art von Konfigurationsdrift hervorrufen, die Unternehmen besonders anfällig für Sicherheitsverletzungen macht. Sich beim Sicherheitskonfigurationsmanagement (SCM) an Best Practices zu orientieren, wirkt dieser Art von Risiken entgegen. Noch wichtiger als die Festlegung dieser Prozesse ist die kontinuierliche Überwachung auf Abweichungen von einem vorab genehmigten Konfigurationsstatus.
Reifegrade beim Konfigurationsmanagement
Es gibt eine Vielzahl von Anleitungen für sicheres Konfigurationsmanagement. Hier betrachten wir das Konfigurationsmanagement aus der Perspektive eines Reifegradmodells. Je nachdem, wo ein Sicherheitsprogramm steht, befindet sich das Unternehmen in punkto Konfigurationsmanagement im manuellen, Scan- oder Nahe-Echtzeit-Status.
1. Manuelle Konfigurationsüberwachung
Die manuelle Konfigurationsüberwachung ist extrem zeitaufwändig und führt tendenziell dazu, von einem regelmäßigen Scan-Rhythmus abzuweichen. Vor allem, wenn andere Prioritäten dringlicher zu sein scheinen. Systeme bleiben dann so lange unbeaufsichtigt, bis eine Kompromittierung erkannt wird oder es Zeit für eine routinemäßige Überprüfung wird. Compliance-Vorgaben bedeuten, oft nur eine Teilmenge dieser Systeme in eine Prüfung einzubeziehen. Ist das der Fall, versuchen Sicherheitsteams, die Anzahl der in die Prüfung einzubeziehenden Systeme zu begrenzen. Man erkennt folglich nur, dass bestimmte Systeme nicht regelkonform sind und reagiert entsprechend. Andere Systeme bleiben möglicherweise exponiert.
2. Lösungen, die auf Compliance hin scannen
Bei der nächsten Reifegradstufe des Konfigurationsmanagements verwendet man Lösungen, die in geplanten Intervallen automatisch auf Compliance scannen. Das ist nicht annähernd so mühsam wie das manuelle Scannen, erfordert aber immer noch ein hohes Maß an Interaktion. Man muss administrative Anmeldedaten für das Tool erstellen, mit dem gescannt werden soll, und man braucht jemanden, der die Scans bei Bedarf plant, ausführt und die Ergebnisse korrigiert. Dies geschieht in der Regel einmal im Monat oder einmal im Quartal, um dem Auditprozess zuvorzukommen.
Ähnlich wie bei der vorherigen Stufe kann man auch hier die Zahl der Systeme beschränken, die bei einem Prozess-Scan erfasst werden – nämlich innerhalb einer Compliance-Zone. Systeme außerhalb dieser Zone bleiben dann leicht auf der Strecke und werden eventuell nur dann überprüft, wenn sie kompromittiert werden oder eine Überprüfung erforderlich ist. Das Center for Internet Security (CIS) rät in seiner Critical Security Control #5, alle Systeme mit sicheren Konfigurationen auszustatten und diese laufend zu warten, wenn sich im Laufe der Zeit Änderungen ergeben.
3. Systemüberwachung in Nahe-Echtzeit
Auf der nächsten Stufe erfolgt der Scanvorgang nahezu in Echtzeit und nicht mehr nur in intermittierenden geplanten Scans. Dazu stellt man einen einfachen Agenten für die Systemüberwachung bereit, ohne dass Anmeldeinformationen oder Betriebssystem-Audits nötig werden. Der Agent muss auf allen Systemen eingesetzt werden. Dazu bettet man ihn in Images ein oder bindet ihn in Prozesse von automatisierten Tools wie Puppet oder Chef ein.
Wenn neuerliche Änderungen auftreten, die zu einem Konfigurationsdrift führen, leitet man einen entsprechenden Anpassungs- und Korrekturprozess ein. Ein Beispiel hierfür ist das automatische Erstellen von Event-Tickets oder Warnungen, die über das Security Incident and Event Management (SIEM) Tool an das Security Operations Center (SOC) gesendet werden. Organisationen wie die CIS bieten bewährte Richtlinien für Systemkonfigurationen, die eine Angriffsfläche aktiv reduzieren helfen, sogenannte „Benchmarks“.
CIS empfiehlt die folgenden Metriken zur genauen Messung der folgenden Daten zu benutzen:
- 1. Wie hoch ist der Prozentsatz an Unternehmenssystemen, die derzeit nicht mit der Sicherheitskonfiguration ausgestattet sind, die dem genehmigten Konfigurationsstandard des Unternehmens entspricht?
- 2. Wie hoch ist der Prozentsatz an Unternehmenssystemen, deren Sicherheitskonfiguration nicht mittels Applikationen zum technischen Konfigurationsmanagement durchgesetzt wird (nach Geschäftsbereichen)?
- 3. Wie hoch ist der Prozentsatz an Unternehmenssystemen, die nicht mit den neuesten verfügbaren Sicherheits-Patches für Betriebssystemsoftware aktualisiert wurden?
- 4. Wie hoch ist der Prozentsatz der Unternehmenssysteme, die nicht mit den neuesten verfügbaren Patches für die Anwendungssicherheit von Unternehmenssoftware aktualisiert wurden?
- 5. Wie hoch ist der Prozentsatz der Unternehmenssysteme, die nicht durch Software-Anwendungen geschützt sind, die die Dateiintegrität überprüfen?
- 6. Wie hoch ist der Prozentsatz an nicht autorisierten oder nicht dokumentierten Änderungen mit möglichen Auswirkungen auf den Sicherheitsstatus?
Einem Konfigurationsdrift zu verhindern ist ein fortwährender Prozess. Innerhalb dieses Prozesses geht es nicht zuletzt darum, den Reifegrad des Konfigurationsmanagements im Laufe der Zeit kontinuierlich zu erhöhen. Das trägt zu mehr Effektivität und Effizienz bei. Benchmarks von Organisationen wie der CIS bilden einen wichtigen Schwerpunkt bei der Zusammenarbeit von Sicherheitsfachleuten und betrieblichen Teams. Die hilft, einen Konfigurationsdrift zu vermeiden oder doch wenigstens schnellstmöglich zu beheben.
Über den Autor: Tim Erlin ist VP Produktmanagement & Strategie bei Tripwire.
(ID:47056953)
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")