Willkommen zurück bei Security Jeopardy! Unser nächster Hinweis:
"Welche Frage bringt Auditoren zum Strahlen und IT-Leiter ins Schwitzen?"
Kandidat A drückt den Buzzer:
"Wie viele Geräte sind in deinem Netzwerk?"
Der Moderator lächelt:
"Das ist absolut korrekt! Ich glaube, viele CIOs im Publikum starren gerade auf den Boden und hoffen, dass wir sie jetzt nicht aufrufen."
Unser Thema heute: Asset Management
Asset Management (AM) ist ähnlich beliebt wie Zahnseide und trotzdem für die IT-Hygiene unabdingbar. Die meisten Sicherheitslücken in Unternehmen entstehen durch "verwaiste" Geräte und veraltete Software, die im Netzwerk schlummern und oft nicht mehr gewartet werden.
Wenn du nicht mal weißt, welche Geräte sich in deinem Netzwerk befinden, solltest du dich nicht mit 0-Days und APT befassen.
Es ist echt schade, dass Asset Management oft falsch gemacht wird – aufwändig und verwaltungsintensiv.
Dokumentation ist nicht sexy
Asset Management ist eine Form der Dokumentation. Aber bei den wenigsten Technikern ist Dokumentation sehr beliebt. Die Gründe dafür können vielfältig sein:
- Die Daten zur Dokumentation sind nicht vollständig
- Es gibt zu viele verpflichtende Felder
- Die Informationen sind veraltet
- Datenpflege ist langweilig
Ich zeige dir, wie es einfacher und besser geht. Schritt für Schritt:
Schritt 1: Konzentration auf die wesentlichen Daten
Es ist besser, nur 20 % der Daten zu sammeln, dafür aber 100 % richtig und vollständig.
Wenn du jemanden in deinem Team hast, der Dokumentation liebt, dann solltest du ihm oder ihr am besten noch heute eine Gehaltserhöhung geben. Diese Leute sind echt selten und können dir den Arsch retten, wenn alles den Bach runtergeht. Wenn du aber genauso wie ich zu den restlichen 99 % gehörst, bei denen sich alle vor der Dokumentation drücken, dann ist es Zeit für einen neuen Ansatz.
Geh zurück aufs Reißbrett und überleg dir, welche Felder du wirklich brauchst und welche nicht. Alles, was du nicht unbedingt brauchst, setzt du auf optional. Bei einem Security-Vorfall wird dich das Anschaffungsdatum des Druckers nicht retten, die richtige IP-Adresse aber schon eher.
Wenn du noch kein Asset Management hast, dann schau dir Open-Source-Lösungen, wie Snipe-IT an. https://snipeitapp.com
Schritt 2: Verwende alle Datenquellen
Beim Asset Management gilt: Viel, hilft viel. Je mehr Quellen, desto besser. In großen Netzwerken ist AM nicht so einfach.
Am wichtigsten ist, dass du festhältst, wo die Daten ihren Ursprung haben. Die sogenannte "Single Source of Truth", also die wahre Quelle. Wenn dir zum Beispiel deine HR-Software die E-Mail-Adressen deiner Mitarbeiter liefert, ist das zwar praktisch, aber nicht aussagekräftig. Am besten holst du dir die Daten lieber vom Exchange Server, oder aus Office 365.
Es ist wichtig, dass die Quellen deine Asset Management Datenbank automatisch und regelmäßig mit aktuellen Daten versorgen.
Schritt 3: Erkenne Anomalien
Du musst wissen, was "normal" ist, um auch abnormale Aktivitäten in deinem Netzwerk zu erkennen.
Hier mal ein Beispiel, wie du "alle" Geräte identifizierst:
- Alle Hostnamen kommen vom DNS-Server
Was sieht es mit Geräten aus, die nur eine IP-Adresse, aber keinen DNS-Namen haben?
- Alle IP-Adressen kommen vom DHCP-Server
Wie sieht es mit Geräten aus, die eine statische IP-Adresse haben?
- Alle MAC-Adressen kommen vom ARP-Table auf den Switches
Wie sieht es mit Servern in der Cloud, oder Clients im VPN aus?
Es ist nicht einfach diese Gedankengänge über alle Plattformen und Möglichkeiten zu spinnen. Aber ich hoffe, du kannst sie als Anregung nutzen, um es selbst besser zu machen und dich laufend zu optimieren.
Welche Rolle spielt Security beim Asset Management?
Ich habe das Gefühl, dass man ohne hippes Kürzel kein einziges Security-Produkt verkauft. Das Buzzword hier ist CSAM – Cyber Security Asset Management. Aber lass dich nicht blenden.
Der Unterschied zum klassischen IT Asset Management (ITAM) ist, dass du nicht nur deine klassischen Geschäftsprozesse abdeckst. Neben dem "Was" und "Wo", fragst du auch "Was tun sie", "Welche Schwachstellen haben sie" und "Wie sind sie geschützt".
Hier sind die wichtigsten Gründe und die dazugehörigen Fachbegriffe:
- Neue, schadhafte Geräte zu erkennen
Asset Discovery
- Schwachstellen adressieren und beheben
Schwachstellen Management
- Schnelle Reaktion
Incident Response
- Risiken reduzieren
Information Security Risk Management
- Verantwortlichkeiten kennen
Asset Management
Wenn du dein Asset Management richtig betreibst und alle Quellen verwendest, zum Beispiel auch die vom Schwachstellen Scanner, dann brauchst du kein dediziertes CSAM.
Fazit
Asset Management kann ganz schön hart sein, muss es aber nicht. Überleg dir also, was du brauchst und wie du an die Daten automatisiert ran kommst.
Asset Management hilft dir auch beim Patch-Management. Du betrachtest nicht nur Server und Clients, sondern beziehst auch andere Geräte wie Drucker und IP-Kameras mit ein.
Man kann sich verlässliche Dokumentation nicht einfach kaufen, schon gar nicht mit purer Arbeitskraft. Man muss sie sich selbst machen.
