Analyse von Angriffswegen

Transkript

1 Analyse von Angriffswegen Ein strategischer Ansatz zur Korrektur von Schwachstellen

2 Inhaltsverzeichnis Überblick 3 Im Lärm untergegangen 3 Analysen von Angriffswegen nutzen 4 Schritt eins: Data Discovery 4 Schritt zwei: Angriffsweg-Analyse 4 Schritt drei: Reaktion auf Angriffswege und Schadensmilderung 5 Fazit 5 Über Tenable Network Security 5 2

3 Überblick Für Sicherheitsorganisationen ist es kein Problem, Schwachstellen in ihren Unternehmensnetzwerken zu finden. Doch die Masse an Security- Daten wächst konstant. Die größere Herausforderung ist es, diese Daten zu durchstöbern und die größten Risiken für das Unternehmen zu finden bzw. korrigierende Maßnahmen zu bestimmen. Das Analysieren der Angriffswege ist ein strategischer, risikoorientierter Ansatz in puncto Security Remediation. Die meisten Security Assessments kombinieren breitflächige Vulnerability Scans mit tiefgehenden Konfigurations-Audits von unternehmenskritischen Geräten. Dieser Ansatz verursacht viele Lücken, durch die Angriffe eingeleitet werden können. Analysen von Angriffswegen filtern diese Daten nach Informationen über Benutzer-Regeln, Host-Aktivitäten und vertrauensvollen Beziehungen zu anderen Systemen. Dadurch identifizieren Administratoren offene Wege, über die Malware und Angreifer Zugriff auf wertvolle Daten und Ressourcen erlangen können. Im Lärm untergegangen Angreifer starten normalerweise damit, einen mit dem Internet verbundenen Rechner mit schwachem Schutzniveau zu kompromittieren. Ist dies gelungen, verwenden sie diesen zur stufenweisen Ausnutzung von Vertrauensbeziehungen und kompromittieren im Anschluss andere, noch kritischere Systeme, bis sie die sensiblen Daten gefunden haben, nach denen sie suchen. Ein System ist nur so sicher wie die Systeme, denen es vertraut. Vulnerability Scanner identifizieren einzelne Schwachstellen, die Angreifer nutzen, um sich Zugriff auf interne, sensible Ressourcen zu verschaffen. Jedoch können sie vertrauensvolle Beziehungen generell nicht identifizieren. Da Scanner diesen essenziellen Kontext nicht zu den Schwachstelleninformationen hinzufügen, können sie das tatsächliche Risiko einer Schwachstelle nicht präzise schildern. Es gibt zwei Probleme. 1. Vulnerability Scanner haben normalerweise keinen Zugriff auf die richtigen Daten. Obwohl sie einzelne Schwachstellen identifizieren können, fehlt es ihnen an einem grundlegenden Einblick in: Host-Aktivitäten sowie die Bereitstellung oder Nutzung von Inhalten im Internet; Vertrauensverhältnisse zwischen verschiedenen Rechnern; verfügbare Kommunikationswege zwischen verschiedenen Rechnern. 2. Wenige dieser Tools haben die Mittel, die vorhandenen Daten adäquat zu analysieren. Ihnen fehlen flexible und effiziente Filtermöglichkeiten, die Unterstützung für dynamische Asset-Listen, widerstandsfähige Datenvisualisierung und die Fähigkeit, über das gesamte Spektrum von Security-Events zu korrelieren. Ohne diese analytischen Fähigkeiten können alle Bestandteile eines Angriffs nicht wie ein Puzzle zusammengefügt werden. Das Resultat ist eine fehlerhafte Auswertung der Risiken, falsche Prioritäten der Schadensminderungs- und Sanierungsbemühungen und eine größere Belastung durch Malware sowie opportunistische und zielgerichtete Angriffe. Um diese Mängel zu überwinden, verwenden die meisten IT-Organisationen zusätzliche, ausgeprägte Tools zum Analysieren von Angriffswegen und Penetrationstests. Doch dieser Ansatz hat seine Grenzen. Solche Analyse-Tools verlassen sich auf das so genannte Modeling, welches ungenauer als Penetrationstests ist. Diese Tools nehmen üblicherweise zeitgenau Konfigurationen in der Infrastruktur von Organisationen auf z.b. für kritische Geräte wie Router, Switche oder Firewalls. Zu diesem Zeitpunkt überlagern sie die Schwachstellendaten und ermöglichen manuelle und/oder automatisierte Analysen der entsprechenden Netzwerkmodelle, um mögliche Angriffswege offenzulegen. Auf der anderen Seite skalieren Penetrationstests nicht sehr gut. Es ist in der Regel nicht praktikabel (oder möglich), jede mögliche Kombination von Angriffswegen zu testen. Ein anderes Problem des multiple Tool-Ansatzes ist die Herausforderung, die Tools in ein zusammenhängendes Threat-Management-Programm zu integrieren. Jedes einzelne Tool produziert eine große Anzahl von potenziell nützlichen Daten. Aber es braucht menschliche Intelligenz, um die auf diesen Datenerhebungen basierenden Bedrohungen zu identifizieren und zu priorisieren. Selbst wenn die kritischen Systeme alle auf vollständig gepatchten Servern laufen, die durch Firewalls und andere Security-Lösungen geschützt sind, könnten sie immer noch anfällig für Malware sein oder gezielten Attacken über angreifbare Systeme unterliegen. Zum Beispiel nutzen Systemadministratoren oft ihre eigenen Desktop-Systeme, um auf wichtige Server zuzugreifen. Sie neigen auch dazu, die gleichen Desktop-Systeme beim normalen Surfen im Internet oder für andere Aktivitäten, die Malware verursachen können, zu verwenden. Somit ist das Administrator-Desktop-System eine Startrampe für einen Angriff auf kritische Server. Wenn Desktop-Systeme nur auf Schwachstellendaten oder Konfigurationsprobleme für kritische Server schauen, übersehen sie Gefährdungen, die verheerende Auswirkungen haben können. 3

4 Analysen von Angriffswegen nutzen Gezielte Analysen von Angriffswegen vereinen Echtzeit-Schwachstellen-, Event- und Compliance-Monitoring-Daten für Administratoren, Auditoren und Risikomanager. Sie helfen beim Bewerten, Kommunizieren und Mitteilen der Informationen, die für effektive Entscheidungen und das System-Management notwendig sind. Mit derartigen Analysen können Security Manager: ungewollte und/oder unautorisierte Kommunikationswege, die durch falsch konfigurierte Security- und Boundary-Scan-Geräte entstehen, identifizieren; unbeabsichtigte Beziehungen zwischen verschiedenen Systemen entdecken; unerwünschte und unproduktive Aktivitäten, die die Gefährdung durch Attacken erhöhen, identifizieren; legitime Kommunikationswege und vertrauliche Beziehungen, die mehr Aufmerksamkeit und eine erhöhte Schutzabwehr erfordern, identifizieren; und Response-Aktivitäten für offensichtliche Schwachstellen mit geringen Auswirkungen priorisieren, die möglicherweise ein Teil von Angriffswegen mit starken Auswirkungen sind. Ein umfassender Angriffsweg-Analyse-Prozess umfasst drei Schritte, die im Einklang mit dem grundlegenden Schwachstellen-Management- Lebenszyklus sind: entdecken/bewerten, analysieren und reagieren. Schritt eins: Data Discovery Traditionellen Schwachstellen-Analyse-Tools fehlen die erforderlichen Daten, um offene Angriffswege zu erkennen. Sie können nur geschäftskritische Informationen wie etwa eine Bestandsaufnahme einer installierten Software oder Patch-Datei erlangen, indem sie sich in die Systeme einloggen. Normalerweise schauen Vulnerability Scanner nur auf externe Services, die auf einem Port gelistet sind z.b. fehlende Client-Software wie Chrome, Firefox und Internet Explorer; nur um einige zu nennen. Traditionelle Vulnerability Scanner untersuchen keine Datenübermittlungen im Netzwerk, um spezielle Host-Aktivitäten zu identifizieren. Zudem untersuchen sie nicht, wie Rechner miteinander kommunizieren oder über welche Ports und Protokolle sie dies tun. Doch gerade diese Informationen können überaus wichtig sein. Der Discovery-Prozess sollte mögliche Angriffswege aufdecken, wie z.b.: eine Maschine, die sich mit Facebook oder Twitter und später mit einem High-Value-Host verbindet; einen internen Server, der eine ausgehende Verbindung zum Internet aufweist; einen Rechner, der sich mit einem bekannten Botnet verbindet; Malware auf einem Rechner; falsch konfigurierte oder fehlende Antivirus-Software. Schritt zwei: Angriffsweg-Analyse Analysen sind das Herz des Prozesses der Angriffsweg-Erfassung. Effektive Analysen kombinieren manuelle und automatisierte Techniken, um die Daten, die im vorherigen Schritt entdeckt wurden, auf häufige Angriffswege zu überprüfen. Angriffswege wie z.b.: Internetdienste, die für ihre Gefährdung bekannt sind; Internet-Browser-Clients, die eine Gefährdung sind; Server, die gefährlichen Clients vertrauen. Zuerst empfiehlt es sich, eine Reihe von Asset-Listen schrittweise auf die gewünschten Resultate zu verbessern. Zum Beispiel sollte sich zu Beginn diese Frage gestellt werden: Welche Server im Unternehmensnetzwerk akzeptieren direkte Verbindungen zum Internet und wo befinden sich diese? Die Beantwortung dieser Frage erfordert eine Kombination von externem Scannen, internen Systemanalysen sowie der Überwachung des Netzwerkverkehrs für Systeme, die externe Verbindungen erlauben. Dann sollten Sie Fragen bezüglich des realen Risikos stellen: Welche internen Systeme verbinden sich mit dem Internet? (Sie können dies auch verfeinern und nach speziellen Internet-Zielen wie YouTube, Facebook etc. fragen.) Welche der bisherigen Systeme nutzen gefährdete Client-Software? Welche Internetserver haben Client-Applikationen mit gefährlichen Schwachstellen? (Diese Listen berichten von vielen modernen, komplexen Web-Applikationen mit Kommunikationsfähigkeiten, z.b. für den Erhalt von Content-Updates.) Welche internen Systeme nutzen Clients, denen wichtige Server vertrauen? Welche der bisherigen Systeme haben Sicherheitsprobleme, die leicht ausgenutzt werden können? Welche von den bisherigen Systemen können sich auch mit dem Internet verbinden? Diese Fragen sind nur ein Ausgangspunkt. Weitere detaillierte Analysen können nicht unterstützte oder illegale Software sowie andere Geschäftsrisiken identifizieren. 4

5 Schritt drei: Reaktion auf Angriffswege und Schadensmilderung Der letzte Schritt beschäftigt sich mit dem Angriffsweg, der entdeckt wurde. Verwenden Sie die Informationen aus der Angriffsweg-Analyse, um Ihre Reaktionen auf die entsprechenden Schwachstellen zu priorisieren. Ohne den Kontext des Angriffsweges ist die Erkennung einer Schwachstelle für ein System ein Low-Level-Event. Sie können die Klassifizierung verfeinern, indem Sie Faktoren wie den Wert eines zugehörigen Systems, die Schwere der Sicherheitslücke und Existenz eines entsprechenden Exploits angeben. Das Durchführen von Angriffsweg-Analysen fügt einen weiteren kritischen Faktor für die Klassifizierung von Schwachstellen und das Priorisieren von Sanierungsbemühungen hinzu: das Potenzial eines gefährdeten Systems, möglicherweise als Sprungbrett genutzt zu werden, um an hochwertige Ressourcen zu kommen. Fazit Angriffsweg-Analysen können Unternehmen helfen, den Bedrohungen durch moderne Malware und der zunehmenden Verbreitung von gezielten Attacken zu begegnen. Mit Angriffsweg-Analysen können Security-Teams: Infrastruktur und Betrieb vereinfachen. Eine umfassende Datenanalyse kann alle Schwachstellen, Sicherheitsvorfälle und Compliance- Management-Aktivitäten vereinheitlichen und nicht nur diejenigen, die mit der Angriffsweg-Erkennung und Schadensbegrenzung verbunden sind. Auf das operative Tagesgeschäft konzentrieren und es rationalisieren. Überlastete Netzwerkadministratoren können unerlaubte/unbeabsichtigte Kommunikationswege identifizieren, falsch konfigurierte Boundary-Scan-Geräte erkennen und ihre Sanierungsbemühungen bezüglich der Schwachstellen besser priorisieren. Helfen, zusätzliche Gegenmaßnahmen einzuführen. Angriffsweg-Erkenntnisse können helfen, die Notwendigkeit von zusätzlichen Tools und Prozessen zu verdeutlichen: z.b. Firewalls der nächsten Generation, die eine granulare Zugriffskontrolle bieten, Host Intrusion Prevention sowie verbesserte Security Information und Event Management (SIEM)-Möglichkeiten. Die wirtschaftlichen Vorteile sind gleichermaßen überzeugend: Reduziertes Risiko. Identifizieren und Minimieren der häufigen Angriffswege, die von moderner Malware und zielgerichteten Attacken genutzt werden. Durch steigende Sanierungsbemühungen für das, was sonst als Schwachstelle mit niedrigem Risiko eingestuft wird, können die Angriffsfenster für Hacker, Spione und Diebe verkleinert werden. Nachweis der Compliance. Administratoren können die Einhaltung von Richtlinien, Vorschriften und Anforderungen bezüglich der Zugriffskontrolle, Boundary-Abwehr, kontinuierlichem Monitoring und Schwachstellen-Management dokumentieren. Über Tenable Network Security Tenable Network Security, ein führender Anbieter von Unified Security Monitoring, ist der Erfinder des Nessus- Vulnerability Scanners und der Entwickler von agentenlosen Enterprise-Class-Lösungen für ein ganzheitliches Monitoring von Schwachstellen, Konfigurationsschwächen, Datenlecks, Log-Management und Kompromittierungserkennung, um Netzwerk-Sicherheit und FDCC, FISMA, SANS CAG und PCI Compliance zu gewährleisten. Die preisgekrönten Produkte von Tenable werden von vielen Global 2000-Organisationen und Regierungsbehörden genutzt, die dadurch Risiken für das Netzwerk proaktiv minimieren können. Weitere Informationen unter GLOBALE HAUPTQUARTIERE Tenable Network Security 7021 Columbia Gateway Drive, Suite 500 Columbia, MD