Mangelnde Übersicht ist der große Feind der Cybersicherheit – und leider unausweichlich. Selbst eine relativ kleine Organisation beschäftigt mehrere Personen, die eine Vielzahl von IT-Assets ausführen und verwalten. Parallel dazu läuft die Verteidigung gegen unterschiedliche Bedrohungen. Jedes Problem, das in diesem Zusammenhang auftritt, stellt grundsätzlich ein verschachteltes Problem dar. So stellt sich die Frage, wie sich Komponenten in dieser Umgebung schützen lassen?
Eine einzelne Sicherheitslösung kann nicht alles alleine bewältigen. Cybersicherheitsexperten haben inzwischen erkannt, dass in der Kombination verschiedener Sicherheitswerkzeuge die beste und tiefgreifendste Verteidigung gegen die heutige, beängstigende Zahl von Bedrohungen liegt. Beispielsweise kommt PAM oft im Zusammenhang mit SIEM-Lösungen wie Splunk oder Authentifizierungsmanagern wie RSA zum Einsatz. Dieser Artikel betrachtet eine andere hilfreiche Integration: Privileged Access Management (PAM) und Schwachstellen-Management im Allgemeinen und speziell, wie WALLIX mit Qualys zusammenarbeitet.
Was verbirgt sich hinter einem Schwachstellen-Management?
Jedes Asset unter der Kontrolle einer IT-Abteilung gestaltet sich in irgendeiner Weise verletzlich. Manchmal besteht die Verwundbarkeit in konstruktionsbedingten Sicherheitsfehlern, die nur dann ans Tageslicht kommen, wenn jemand herausfindet, wie man sie ausnutzt. Dazu zählt beispielsweise eine bisher versteckte Möglichkeit sich Root-Zugriff auf einen Windows-Server zu verschaffen. Ein anderes Mal enthüllt ein Benutzer durch Unachtsamkeit oder vorsätzlich eine Schwachstelle, indem er einen zum Beispiel einen Port auf einer Firewall offen lässt. Auch Systemaktualisierungen können versehentlich neue Sicherheitslücken hervorrufen.
Angesichts der Tatsache, dass jede Anfälligkeit zu einem Sicherheitsvorfall führen kann, setzten Cybersicherheits-Teams Schwachstellen-Management ein, um wunde Punkte im gesamten „IT-Ökosystem“ zu erkennen. Es unterstützt sie dabei, Schwachstellen schnell zu beseitigen. Qualys beispielsweise versetzt IT-Sicherheitsbeauftragte in die Lage, bösartige Geräte und Web-Applikationen zu entlarven. Es stellt sicher, dass Systeme über erforderliche Kontrollelemente wie Passwortzwang und Datenzugangsrichtlinien verfügen. Zudem lässt sich Qualys verwenden, um Systemkonfigurationen im Hinblick auf Golden Images oder Baseline-Standards wie die United States Government Configuration Baseline (USGCB) zu testen. Über diese Arten von Prozessen kann Qualys automatisch Assets identifizieren, markieren, organisieren und sie dynamisch für Scanning oder Reporting auswählen.
So befähigt Qualys IT-Sicherheitsteams Schwachstellen nachzuverfolgen. Das System hilft Administratoren ihre Sanierungsmaßnahmen zu priorisieren. Ebenfalls zentralisiert es die Erhebung von Assessment-Daten. So befindet es sich in der Lage, umsetzbare Sicherheitsanweisungen an SIEM, Governance-Lösungen, Firewalls und so weiter zu liefern. Schließlich kann Qualys benötigte Pachtes erkennen. Im Anschluss sucht es kontinuierlich weiter nach Schwachpunkten. Um interaktiv die Sicherheitslage über ganze Netzwerk hinweg zu betrachten, automatisiert Qualys prozedurale Fragebögen für Mitarbeiter, Lieferanten und Partner.
PAM und Schwachstellen-Systeme
Schon alleine wirken großen Schwachstellen-Tools wie Qualys beeindruckend. Noch effektiver sind sie aber, wenn eine Privileged-Accsess-Management-Lösung sie ergänzt. PAM beinhaltet die Verwendung von Werkzeugen und Praktiken, die eine Organisation vor versehentlichem oder absichtlichem Missbrauch von qualifiziertem Zugang schützen. PAM-Lösungen bieten sichere, effiziente Möglichkeiten, alle privilegierten Benutzer für alle relevanten Systeme zu autorisieren und zu überwachen. Sie gewähren und entziehen Zugriffsrechte auch über heterogene Systeme. PAM schafft einen unveränderlichen Auditive-Trail für jede privilegierte Operation.
Es vervollständigt das Schwachstellen-Management im Hinblick auf die Kennzeichnung verwundbarerer Punkte – PAM gibt Antworten auf alle wichtigen Fragen, die sich im Fall der Entdeckung einer verletzlichen Stelle stellen:
- Wer ist verantwortlich für das Problem?
- Wer wird es beheben?
- Wenn sich ein Zwischenfall ereignet hat: Was ist passiert, durch wen, wann und wie?
In Zusammenarbeit stellen eine PAM-Lösung und ein Schwachstellen-Management mehr da als nur die Summe ihrer Einzelteile. Wenn ein Schwachstellen-System eine Sicherheitsanfälligkeit auf einem Perimeter-Server entdeckt, kann PAM beispielsweise über die Aktivitäten privilegierter Nutzer berichten, die die Anfälligkeit hervorgerufen haben können. Die PAM-Lösung befindet sich auch in der Lage, mittels eines ausführlichen Sitzungsberichts genau zu zeigen, was getan wurde, um die Schwachstelle zu verursachen.
Zur Veranschaulichung dient folgendes Szenario: Ein privilegierter Nutzer bedingt versehentlich eine Sicherheitsanfälligkeit innerhalb eines Perimeter-Geräts. Alternativ könnte sich auch ein Bedrohungsakteur von außen als privilegierten Nutzer ausgeben und bewusst eine Schwachstelle einrichten. Das Schwachstellen-Management erkennt diese und die PAM-Lösung klärt, wer sie verursacht hat und was passiert ist. Sobald ein qualifizierter Nutzer das Sicherheitsproblem beseitigt, kann letztere das Schwachstellen-Management mit einer auditiven Bestätigung der Sanierungssitzung versehen.
Gehen diese Vorgänge schnell genug von statten, lässt sich nicht nur ein Sicherheitseinbruch vermeiden. Es ist ebenfalls durchaus möglich, den fahrlässigen Nutzer, der die Schwachstelle verschuldet hat, und/oder den Angreifer von außen, der versucht hat, sie auszunutzen, zu identifizieren.
