Die Sicherheits-Teams versinken in Daten – was tun?

Den IT-Sicherheitsteams stehen heute mehr Informationen zur Verfügung als je zuvor. Doch die schiere Datenmenge hilft keineswegs, Probleme zu lösen. Wie also können Unternehmen der Datenflut Herr werden und erreichen, dass sich die IT- Teams auf die dringendsten Aufgaben konzentrieren können? Die Antwort liegt in einer besseren Datenkonsolidierung, besserer Priorisierung und besseren Prozessen.

Zunächst ist es wichtig, die Quellen für IT-, Sicherheits- und Compliance-Daten zu überprüfen, die aktuell zur Verfügung stehen. IT-Teams mit etablieren Prozessen nutzen ITAM- (IT-Asset-Management) oder CMDB- (Configuration Management Database) Systeme. Weniger formalisierte Ansätze führen dagegen zu fragmentierten Daten, die auf einen Mix aus Tabellenkalkulationen und hauseigenen Datenbanken verstreut sind.

Compliance-Daten werden hauptsächlich in Tabellenkalkulationen oder Dokumenten gespeichert, die teilweise von Wirtschaftsprüfungs- oder Beraterfirmen stammen. Einige Unternehmen verwenden spezialisierte Software, um die Einhaltung von Vorschriften zu verfolgen und Kontrollen durchzuführen. Doch wenn die Teams nicht miteinander kommunizieren, wird eine solche Software schnell zum Datensilo.

Maßnahmen gegen die steigende Alarm-Flut

Wenn Security-Alarme zum Problem werden

04.03.19 – Das globale Cyber-Security-Klima erwärmt sich immer mehr. Pro Woche erhalten IT-Experten über fünf Millionen Sicherheitswarnungen. Dabei handelt es sich um Malware-Warnungen, Benachrichtigungen einer falschen Eingabe von Passwörtern oder Hinweise auf die Installation nicht autorisierter Software. An vielen Stellen fehlt es jedoch an Personal, um die Flut an Alerts in den Griff zu bekommen. lesen

Folgende Fragen sollten also gestellt werden: Gibt es Datenquellen, die sich möglicherweise überschneiden? Können Datensätze konsolidiert werden, indem entweder die Zahl der verfügbaren Tools reduziert oder alle Daten an einem Ort gesammelt werden?

Sollten mehrere Datenquellen synchronisieren werden, muss vorab klar sein, dass dies auf zuverlässige und konsistente Weise geschieht. Ist das nicht möglich – oder manuelle Arbeit erforderlich, um konsistente und zeitnahe Ergebnisse zu erzielen –, könnte es praktischer sein und die Präzision erhöhen, wenn die vorhandenen Tools und Produkte konsolidiert werden, wo immer es möglich ist. Das kann die Resultate überschaubarer machen und Unternehmen den Fokus erleichtern.

Sobald alle Datenquellen durchgegangen sind, sollte eine Prüfung in Bezug auf die Verbesserung der Nutzung der Daten durchgeführt werden. Das bedeutet nicht, einfach noch mehr Daten in den Topf zu werfen, sondern vielmehr, den Kontext und die Präzision der Daten zu betrachten. Kontext bedeutet hier, die richtigen Informationen bereitzustellen und zu filtern, um einem bestimmten Ziel oder Erfordernis gerecht zu werden. Präzision wiederum bedeutet, dass aktuellere Informationen generiert werden können, die auf dem basieren, was jetzt geschieht, anstatt vor einem Tag oder einer Woche. Höhere Genauigkeit und verbesserter Kontext können dann helfen, die verschiedenen Datensätze anzureichern.

Um das zu erreichen, müssen die zuständigen Stellen Prozesse daraufhin überprüfen, wie die Daten tagtäglich verarbeitet und verwendet werden. Wie sieht das derzeitige Verfahren aus, um anfällige Oberflächen zu priorisieren und die Probleme zu beheben? Ist das Verfahren effektiv und effizient, oder muss es im Interesse guter Ergebnisse besser überwacht werden? Jedes Unternehmen sollte nach Präzision streben, und zwar aus einem einfachen Grund: Der Mangel an präzisen Daten führt zu einem Übermaß an Informationen, die untersucht werden müssen, bevor sie als nutzlos definiert und ausgeschlossen werden können.

Laut einer IDC-Studie dauert die Untersuchung eines Sicherheitsvorfalls im Durchschnitt ein bis vier Stunden und bindet zwei Mitglieder des SecOps-Teams (Quelle: The State of Security Operations). Angesichts fehlender Sicherheitsfachkräfte ist betriebliche Effizienz der größte Geschäftsvorteil, den präzise Daten bringen. Präzise Daten verringern die Anzahl der Ereignisse, die untersucht werden müssen. Sie sorgen dafür, dass Ihr Team nur solche Ereignisse überprüft, die wirklich von Bedeutung sind, und verschaffen Ihren Fachleuten Zeit für andere Aufgaben.

Um höhere Präzision und betriebliche Effizienz zu erreichen, sollte eine Reihe von Datenquellen parallel genutzt werden. Das Spektrum reicht dabei von Informationen zu Cyberbedrohungen, die in Echtzeit zeigen, wie anfällig und ausnutzbar die Umgebung ist, bis hin zu IT-Asset-Management-Daten, die nahezu in Echtzeit Aufschluss darüber geben können, welche Assets installiert sind und wie ihr Status ist. Gemeinsam können diese beiden Quellen dabei helfen festzustellen, welche Sicherheitsprobleme für das Unternehmen aktuell bestehen, wie schnell diese Probleme behoben werden müssen oder wo ein Problem eine andere Art von Risikominderung erfordern könnte.

Über den Tellerrand sehen

Die bisherigen Überlegungen sollten helfen, einen praktischen Ansatz zur Verwaltung der Assets zu finden, die ständig mit dem Unternehmensnetzwerk verbunden sind. Die heutige IT besteht jedoch noch aus vielen weiteren Geräten und Diensten, die entweder nur selten im Netzwerk sind oder von Dritten gehostet und verwaltet werden. Unabhängig davon, ob diese Dienste von lokalen Unternehmen oder von einem der großen Public-Cloud-Anbieter wie Amazon oder Microsoft gehostet werden – es sind Assets und Anwendungen, die verwaltet werden müssen.

Für jede externe Plattform, die Organisationen betreiben oder nutzen, sollten genauso detaillierte Daten zur Verfügung stehen wie für die interne Umgebung. Zusätzlich sollten diese Informationen zusammen mit internen Informationen zentralisiert werden, sodass sämtliche Daten im Kontext betrachten werden können – unabhängig davon, um welche Plattform es gerade geht. Das ist unerlässlich, um einen gründlichen Überblick über die gesamte IT-Landschaft des Unternehmens zu gewinnen.

Wenn mehr IT-Assets in die Cloud verlegt werden, wird das Datenvolumen weiterwachsen, getrieben durch die kontinuierliche Suche nach Schwachstellen, Änderungen an IT-Assets und die schnelle Bereitstellung immer neuer Ressourcen. Bei so vielen Informationen ist es schwierig, potenzielle Probleme zu erkennen. Es ist jedoch wichtig zu entscheiden, welche Maßnahmen für das Unternehmen besonders elementar sind.

Zur Verwaltung dieser großen Informationsmenge gehört es auch, zu prüfen, welche Anwendungen oder Komponenten geschäftskritisch sind, und dafür zu sorgen, dass diese bei etwaigen Änderungen oder Aktualisierungen auf jeden Fall berücksichtigt werden. Vielleicht bestehen auch Sicherheitsprobleme, die so schwerwiegend sind, dass sie sofortige Gegenmaßnahmen erfordern. Wenn die nötigen Aktualisierungen in eine Rangfolge gebracht werden, kann das zuständige Team Prioritäten setzen. Diese Daten sollten es auch ermöglichen, Warnmeldungen auszugeben, wenn Bedingungen eintreten, die die Kriterien für ein Sicherheitsrisiko erfüllen. Außerdem sollten die Daten nach bestimmten Problemen durchsucht werden können, sodass alle ungepatchten IT-Ressourcen dem Team automatisch angezeigt werden.

Die Zentralisierung der Daten unterstützt die Ziele vieler Teams. Letztendlich benötigen die IT-Operations- und Asset-Management-Teams, die IT-Sicherheitsabteilungen und die Compliance-Experten alle die gleichen Daten zur IT-Landschaft des Unternehmens. Ihre jeweiligen Perspektiven und Maßnahmen sind dagegen unterschiedlich.

Nehmen wir zum Beispiel eine virtuelle Cloud-Server-Instanz in einem AWS-Konto. Um die oben beschriebenen Best Practices einzuhalten, sollte ein Agent im Golden Image installieren werden, der Daten zu erfassen beginnt, sobald ein neues Server-Image erstellt wird.

Dem IT-Personal liefert der Agent wertvolle Informationen darüber, welche Ressourcen der Server nutzt; an welchem geografischen Ort er sich befindet; wann er zuletzt gebootet wurde; welche Software auf ihm installiert ist; ob er proprietäre oder Open-Source-Software verwendet; und wann die Software das Ende ihrer Lebensdauer erreicht. Das Sicherheitsteam dagegen wird die Agentendaten auswerten wollen, um alle neuen Schwachstellen zu ermitteln, Anzeichen für Kompromittierungen zu erkennen und festzustellen, ob für die entdeckten Schwachstellen Exploits existieren. Außerdem sollten diese Informationen dem Team auch zeigen, ob für die erkannten Probleme Patches verfügbar sind, die installiert werden sollten.

Das Compliance-Team wiederum wird prüfen wollen, ob der Server die Kontrollen einhält, die die anwendbaren Audit-Frameworks vorschreiben. Beispiele wären hier etwa PCI DSS bei Kreditkartendaten oder die DSGVO bei personenbezogenen Daten.

Es wird deutlich, dass Teams dabei unterstützt werden können, mehr Konsistenz bei sämtlichen erforderlichen Prozessen zu erreichen, indem eine einzige, zentrale Datenquelle („Single Source of Truth) auf Grundlage der IT-Asset-Daten geschaffen wird. Gleichzeitig kann auf diese Weise der Aufwand für die Datenverarbeitung und Datenversorgung minimiert werden.

Sehr nützlich sind diese Daten auch, wenn es darum geht, sich mit anderen Interessengruppen im Unternehmen über Sicherheitsfragen auszutauschen. Sobald neue Sicherheitsverletzungen oder Hackerangriffe Schlagzeilen machen, werden sich mehr Leute im Unternehmen für die Sicherheit zu interessieren beginnen. Wenn ein Unternehmen dann in der Lage ist, proaktiv Informationen zu diesen Themen zu liefern – von der Frage, ob es überhaupt betroffen ist, bis hin zu spezifischen Angaben zu Abhilfemaßnahmen –, kann viel dazu beigetragen werden, dass Alle Vertrauen in die Sicherheitsmaßnahmen des Unternehmens setzen. Und selbst wenn die Sicherheitsprobleme nicht dringlich sind, ist es möglich auf diese Weise die Wahrnehmung dessen, was getan werden muss, erheblich verbessern.

IT-Asset-Daten und die größeren Zusammenhänge

Das Sicherheitsmanagement hängt mehr und mehr von Daten ab. Ohne diese Informationen wird es immer schwieriger, Probleme zu priorisieren und die Sicherheit aller IT-Ressourcen zu gewährleisten. Wenn die richtigen Werkzeuge fehlen, werden die enormen Datenmengen in der IT jedoch selbst zum Problem.

Es mag im ganzen Unternehmen Datenbestände geben, die von Teams angelegt wurden, die jeweils ihre eigenen Ziele verfolgen. Effizienter ist es jedoch, eine einzige, zentrale und präzise Datenquelle aufzubauen, die für sämtliche Anwendungsfälle genutzt werden kann. Auf diese Weise ist es möglich eine Menge manueller Doppelarbeit zu vermeiden, wenn die IT-Abteilung beschließt, den Server stillzulegen, weil er nicht mehr benötigt wird. Statt dass dann in den verschiedenen Abteilungen quer durchs ganze Unternehmen zahlreiche Tabellenkalkulationen und Datenbanken aktualisiert werden müssen, liefert eine zentralisierte Plattform sämtlichen Abteilungen auf einen Schlag aktualisierte Daten. Der Server verschwindet aus der IT, das wahrgenommene Risiko des Servers wird vom Dashboard der Sicherheitsabteilung entfernt und die Compliance verbessert sich automatisch.

Deshalb ist es unerlässlich, alle diese Daten zu zentralisieren und eine einheitliche Sicht auf sämtliche IT-Ressourcen zu gewährleisten, unabhängig davon, wo sie sich zu einem bestimmten Zeitpunkt befinden. Die Konsolidierung der Daten sollte es ebenfalls erleichtern, die Assets, Software und installierten Updates zu verwalten, zu analysieren und Informationen über sie zu suchen. Anstatt eines riesigen Datensumpfs wird so ein detailliertes Bild aller wichtigen Sicherheitsänderungen und der Prioritäten, basierend auf Ihrer realen Umgebung, erzeugt.

Über den Autor: Marco Rottigni ist Chief Technical Security Officer, EMEA South bei Qualys.

https://www.Security-Insider.de/themenbereiche/netzwerksicherheit/monitoring-und-ki/articles/843795

Related posts

Leave a Comment