Ich möchte ein "Red Teaming"
Michael Schneider
So machen Sie Asset Inventories wieder sexy
Ich verstehe das nicht. Jeder vernünftige IT-Security Guide oder Standard rät initial eine Asset-Inventory, welches mindestes Hard- und Software Assets abdeckt, zu erstellen. Und dies zu Recht. Aber abgesehen davon, ist es logisch und elementar, dass die IT-Security eine Basis benötigt. Ohne eine Auslegeordnung kann man nicht sich nicht gewiss sein, dass Anstrengungen auch flächendeckend greifen und nichts vergessen geht.
Was ist also die Basis, respektive der Startpunkt einer systematischen Implementation von IT Security Kontrollen, nachdem man erkannt und bestenfalls definiert hat das man den mannigfaltigen Cyberrisken ausgesetzt ist?
Es ist die Definition von Hard- und Software Assets.
Angefangen beim Netzwerk und dessen Teilnehmer: Die Frage lautet, wer nimmt daran teil und sind die Teilnehmer auch autorisiert dazu? Nicht autorisiert sind nicht nur Angreifer mit bösen Absichten, sondern auch das allenfalls virenverseuchte private Gerät eines Mitarbeiters. Nach einer gewissen Zeit sind alle bekannte Geräte als autorisiert im Hardware-Inventory markiert, und jedes unbekannte Gerät fällt relativ schnell auf und kann investigiert werden. Dies ist der erste Grund warum es sinnvoll ist, automatisierte Mechanismen zu implementieren, welcher die Population der Geräte im eigenen Netzwerk erhebt.
Dann ist auf den Geräten OS und Software installiert. Auf welchen Geräten? Korrekt, auf jene aus dem Hardware-Inventory. Somit sollte der zweite gute Grund für eine Hardware-Inventory geklärt sein.
Das Software-Inventory ist somit der nächste Schritt. Im Grunde besteht dieses aus zwei Listen. Eine Liste beschreibt die benötige und autorisierte Software, also quasi die Soll-Liste. Die zweite Liste muss auf den Geräten erhoben werden, was ist also effektiv installiert, somit die IST-Liste. Der Gap dazwischen soll dann auf die eine oder andere Art eliminiert werden.
Weiter basieren unter anderen folgenden Security-Themen auf HW- und SW-Inventory oder sind davon in der einen oder anderen Form abhängig:
Wer in seiner Umgebung noch keine HW- und SW-Inventory betreibt, kann sich an folgende Punkte halten, welche allenfalls den Einstig in das Thema erleichtern.
HW- und SW-Inventories sind eng miteinander verbunden. Somit ist es sinnvoll, erst die Hardware zu erheben und diese in einem zweiten Schritt mit der drauf installierten Software anzureichern.
Weiter ist es sinnvoll mit entsprechend simplen Mitteln zu starten. Vor allem wenn noch keine oder wenig Erfahrung im Unternehmen vorhanden sind.
Zuerst aber zu den Anforderungen, welche nüchtern Betrachte die folgenden sind.
Die Liste ist hier nicht zu Ende, jedoch als Start ausreichenden. Die Implementation einer zertifikatsbasierten Network Access Control (NAC) kann hier als nächster Schritt implementiert werden.
Diese Auflistung ist hier ebenfalls nicht zu Ende. In einem nächsten Schritt wird das Thema Application Whitelisting relevant. Dazu kann z.B. das Microsoft Boardmittel AppLocker verwendet werden.
Nun zurück zu den Tools. Simple Mittel können sein:
Falls ausreichend Scripting-Fähigkeiten im Unternehmen vorhanden sind, sind solche Themen spannend in der Umsetzung. Dabei zu beachten ist, dass bekannte Datenformate genutzt werden und die Wartung der Scripts nicht zu unterschätzen ist.
Aber auch eine fertige Lösung im OpenSource oder Freeware-Bereich können rasch eingesetzt werden. Zum Beispiel bieten folgende Projekte entsprechende Lösungen an:
Die grossen und meist teuren Suiten der bekannten Hersteller sollten erst, wenn überhaupt, zu einem späteren Zeitpunkt in Betracht gezogen werden. Die Anforderungen an ein initiales Asset-Inventory sind relativ überschaubar. Kommt später ein Vulnerability-Management und andere Themen hinzu, sind weitere Anforderungen zu erfüllten und eine gewisse Dynamik und Flexibilität ist daher von Nutzen.
Wenn was Gutes getan wurde, sollte darüber berichtet werden. Die Informationen, welche aus dem Betrieb einem simplen Asset-Inventories entspringen, eignen sich wunderbar, um dem Management Zahlen zu präsentieren:
Es ist zu hoffen, dass viele der Unternehmen, welche sich zunehmend mit den Risiken rund um Cybersecurity beschäftigen müssen aber noch keine eigenen systematischen Grundschutz aufgebaut haben, mit einem simplen Asset-Inventory beginnen. Für relativ geringe Kosten kann eine guter Ertragt erreicht werden, respektive die Sicherheit der eigenen IT-Infrastruktur kann systematisch und langfristig angehoben werden.
Unsere Spezialisten kontaktieren Sie gern!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!