Von verschiedenen Personen in der IT und auch in der IT-Security habe ich schon vernommen, dass Asset-Inventories langweilig sind, nicht sexy und knackig genug. Sie scheinen einen schlechten Ruf zu habe, lassen daher schlecht “verkaufen” und der Kunde möchte lieber Current Generation Security Devices.

Ich verstehe das nicht. Jeder vernünftige IT-Security Guide oder Standard rät initial eine Asset-Inventory, welches mindestes Hard- und Software Assets abdeckt, zu erstellen. Und dies zu Recht. Aber abgesehen davon, ist es logisch und elementar, dass die IT-Security eine Basis benötigt. Ohne eine Auslegeordnung kann man nicht sich nicht gewiss sein, dass Anstrengungen auch flächendeckend greifen und nichts vergessen geht.

Systematischen Implementierung angehen

Was ist also die Basis, respektive der Startpunkt einer systematischen Implementation von IT Security Kontrollen, nachdem man erkannt und bestenfalls definiert hat das man den mannigfaltigen Cyberrisken ausgesetzt ist?

Es ist die Definition von Hard- und Software Assets.

Angefangen beim Netzwerk und dessen Teilnehmer: Die Frage lautet, wer nimmt daran teil und sind die Teilnehmer auch autorisiert dazu? Nicht autorisiert sind nicht nur Angreifer mit bösen Absichten, sondern auch das allenfalls virenverseuchte private Gerät eines Mitarbeiters. Nach einer gewissen Zeit sind alle bekannte Geräte als autorisiert im Hardware-Inventory markiert, und jedes unbekannte Gerät fällt relativ schnell auf und kann investigiert werden. Dies ist der erste Grund warum es sinnvoll ist, automatisierte Mechanismen zu implementieren, welcher die Population der Geräte im eigenen Netzwerk erhebt.

Dann ist auf den Geräten OS und Software installiert. Auf welchen Geräten? Korrekt, auf jene aus dem Hardware-Inventory. Somit sollte der zweite gute Grund für eine Hardware-Inventory geklärt sein.

Das Software-Inventory ist somit der nächste Schritt. Im Grunde besteht dieses aus zwei Listen. Eine Liste beschreibt die benötige und autorisierte Software, also quasi die Soll-Liste. Die zweite Liste muss auf den Geräten erhoben werden, was ist also effektiv installiert, somit die IST-Liste. Der Gap dazwischen soll dann auf die eine oder andere Art eliminiert werden.

Weiter basieren unter anderen folgenden Security-Themen auf HW- und SW-Inventory oder sind davon in der einen oder anderen Form abhängig:

• Prozess-Inventory
• Verantwortung, Datenklassifikation, Kritikalität, etc.
• Vulnerability-Management (Patch-Management)
• Application Whitelisting
• Netzwerk-Management, respektive die Segregation von Netzwerken und Netzwerk Access Controls

Wer in seiner Umgebung noch keine HW- und SW-Inventory betreibt, kann sich an folgende Punkte halten, welche allenfalls den Einstig in das Thema erleichtern.

Asset-Inventory Starthilfe

HW- und SW-Inventories sind eng miteinander verbunden. Somit ist es sinnvoll, erst die Hardware zu erheben und diese in einem zweiten Schritt mit der drauf installierten Software anzureichern.

Weiter ist es sinnvoll mit entsprechend simplen Mitteln zu starten. Vor allem wenn noch keine oder wenig Erfahrung im Unternehmen vorhanden sind.

Zuerst aber zu den Anforderungen, welche nüchtern Betrachte die folgenden sind.

HW-Inventory

1. Tool: Aktive Erhebung von Geräten in allen Netzwerken und Standorten inklusive Cloud
2. Tool: Passive Erhebung von Geräten in allen Netzwerken und Standorten inklusive Cloud
3. Tool: Das Inventory selbst, welches die erhobenen Daten verwaltet und entsprechende Reportfunktionalität aufweist. Initiale Reports können sein:
   • Liste aller nicht autorisierten respektive unbekannten Geräten
   • Liste der Geräte mit unvollständigen Daten
4. Prozess: Pflege des Inventories, respektive die Aufnahme von neuen autorisierten Geräten und deren Dekomissionierung sowie deren Anreicherung von Zusatzinformationen. Schlussendlich sollten initial folgenden Daten abgefüllt sein:
   • MAC Adresse
   • IP Adresse
   • Name
   • “Zuletzt gesehen am” [Datum/Urzeit]
   • Typ (Server, Client, IoT, etc.)
   • Standort
   • Verantwortlicher
   • Abteilung
   • Flag: Autorisiert / nicht autorisiert
5. Prozess: Analyse und Verfolgung von nicht autorisierten Geräten. Diese müssen entweder entfernt oder autorisiert werden.

Die Liste ist hier nicht zu Ende, jedoch als Start ausreichenden. Die Implementation einer zertifikatsbasierten Network Access Control (NAC) kann hier als nächster Schritt implementiert werden.

SW-Inventory

1. Prozess: Erstellen der Soll-Liste von autorisierter Software, das heisst die Erhebung jener Software, die im Geschäftskontext erforderlich ist. Dies kann unter Umständen eine schwierige Angelegenheit sein. Darum kann auch mit Schritt zwei begonnen werden und initial mittels geeigneter Tools alle installierte Software erhoben werden, um dann auf dieser Basis zu bestimmen, welche Software autorisiert wird. Weiter soll diese Liste mit Support- und Lizenz-Modell, Verantwortung, Hersteller Informationen versehen werden.
2. Tool: Aktive Erhebung aller Software, deren Version sowie Installations-Datum (wenn möglich), welche auf den Geräten aus dem HW-Inventory installiert ist.
3. Tool: Das Inventory selbst, welches die erhobenen Daten verwaltet und entsprechende Reportfunktionalität aufweist. Idealerweise werden die Datensätzen das HW-Inventories mit den Daten aus der SW-Erhebung angereichert. Initiale Reports können sein:
   • Liste aller Geräte, welche nicht autorisierte Software aufweisen
   • Liste von unvollständigen Einträgen
4. Prozess: Analyse und Verfolgung von nicht autorisierter Software. Diese müssen entweder entfernt oder autorisiert werden.

Diese Auflistung ist hier ebenfalls nicht zu Ende. In einem nächsten Schritt wird das Thema Application Whitelisting relevant. Dazu kann z.B. das Microsoft Boardmittel AppLocker verwendet werden.

Tools

Nun zurück zu den Tools. Simple Mittel können sein:

• Nmap für aktive Hardware Discovery
• Zusammenzug von Log-Informationen und ARP-Tabellen mittels Scripts von unterschiedlichen netzwerkbezogenen Geräten für eine passives Hardware Discovery wie:
  • Switches
  • Router
  • Firewalls
  • DHCP Server
• Geeignete Scripts zur Erhebung von installierter Software
• Zusammenzug und Auswertung der Daten in einem Excel

Falls ausreichend Scripting-Fähigkeiten im Unternehmen vorhanden sind, sind solche Themen spannend in der Umsetzung. Dabei zu beachten ist, dass bekannte Datenformate genutzt werden und die Wartung der Scripts nicht zu unterschätzen ist.

Aber auch eine fertige Lösung im OpenSource oder Freeware-Bereich können rasch eingesetzt werden. Zum Beispiel bieten folgende Projekte entsprechende Lösungen an:

• Spiceworks
• glpi-project
• OCS Inventory

Die grossen und meist teuren Suiten der bekannten Hersteller sollten erst, wenn überhaupt, zu einem späteren Zeitpunkt in Betracht gezogen werden. Die Anforderungen an ein initiales Asset-Inventory sind relativ überschaubar. Kommt später ein Vulnerability-Management und andere Themen hinzu, sind weitere Anforderungen zu erfüllten und eine gewisse Dynamik und Flexibilität ist daher von Nutzen.

Metriken

Wenn was Gutes getan wurde, sollte darüber berichtet werden. Die Informationen, welche aus dem Betrieb einem simplen Asset-Inventories entspringen, eignen sich wunderbar, um dem Management Zahlen zu präsentieren:

• Überhaupt konkrete Zahlen zu haben und damit zu Arbeiten ist ein Vorschritt
• Wieviel nicht autorisierte Geräte/Software wurden detektiert/entfernt
• Wie viele Mitarbeiten befolgen interne Policies nicht und verbinden mit ihren privaten Geräten ins Firmennetzwerk
• Auch gewisse offensichtliche Themen aus dem Vulnerability Management können einem ins Auge springen (z.B. vergessene noch aktive Windows XP Systeme)
• Werden Massnahmen (Schulung der Mitarbeiter, interne Weisung) für identifizierte Probleme (viele private Geräte im Firmennetzwerk) getroffen, kann deren effektiviert gemessen werden
• Sind die initialen Discovery und groben Probleme gelöst, sind Ausreisser aus dem Standard verhalten rasch erkennbar und können ebenfalls zügig gelöst und rapportiert werden

Fazit

Es ist zu hoffen, dass viele der Unternehmen, welche sich zunehmend mit den Risiken rund um Cybersecurity beschäftigen müssen aber noch keine eigenen systematischen Grundschutz aufgebaut haben, mit einem simplen Asset-Inventory beginnen. Für relativ geringe Kosten kann eine guter Ertragt erreicht werden, respektive die Sicherheit der eigenen IT-Infrastruktur kann systematisch und langfristig angehoben werden.

Über den Autor

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

• https://nmap.org/
• https://www.cisecurity.org/controls/
• https://www.glpi-project.org/
• https://www.howtogeek.com/165293/how-to-get-a-list-of-software-installed-on-your-pc-with-a-single-command/
• https://www.iso.org/isoiec-27001-information-security.html
• https://www.ocsinventory-ng.org/
• https://www.spiceworks.com/