Analyse von Angriffswegen



Ähnliche Dokumente
Analyse von Angriffswegen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

ANYWHERE Zugriff von externen Arbeitsplätzen

Avira Server Security Produktupdates. Best Practice

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Skills-Management Investieren in Kompetenz

Firewalls für Lexware Info Service konfigurieren

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Firewalls für Lexware Info Service konfigurieren

FTP-Leitfaden RZ. Benutzerleitfaden

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Der einfache Weg zu Sicherheit

Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

WLAN Konfiguration. Michael Bukreus Seite 1

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

GPP Projekte gemeinsam zum Erfolg führen

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN

Windows Server 2008 (R2): Anwendungsplattform

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

IT-Security Herausforderung für KMU s

Sichere Freigabe und Kommunikation

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Praktikum IT-Sicherheit

Protect 7 Anti-Malware Service. Dokumentation

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

ICS-Addin. Benutzerhandbuch. Version: 1.0

Anleitung ProBackup. Anleitung ProBackup. Stand: Februar STRATO AG

Der Schutz von Patientendaten

mysoftfolio360 Handbuch

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Powermanager Server- Client- Installation

Unsere vier hilfreichsten Tipps für szenarienbasierte Nachfrageplanung

Anbindung des eibport an das Internet

Next-Generation Firewall

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Guide DynDNS und Portforwarding

Lizenzen auschecken. Was ist zu tun?

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Internet Explorer Version 6

Patch Management mit

Online Newsletter III

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Test zur Bereitschaft für die Cloud

Workshop: Eigenes Image ohne VMware-Programme erstellen

Dieter Brunner ISO in der betrieblichen Praxis

Virtual Private Network

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Firewall-Logs: gewusst wie! (14:00 Uhr, Referat B) Firewall-Logs gezielt aufzeichnen und auswerten

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Applikations-Performance in Citrix Umgebungen

15 Social-Media-Richtlinien für Unternehmen!

Formular»Fragenkatalog BIM-Server«

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Summer Workshop Mehr Innovationskraft mit Change Management

Thema: Microsoft Project online Welche Version benötigen Sie?

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Windows Small Business Server (SBS) 2008

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Cisco Security Monitoring, Analysis & Response System (MARS)

Grundfunktionen und Bedienung

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Bitte beachten Sie die Installations-/Systemvoraussetzungen und freigegebenen Betriebssysteme.

Installation Hardlockserver-Dongle

Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt?

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Übung - Konfigurieren einer Windows Vista-Firewall

EchoLink und Windows XP SP2

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Sicherheitsaspekte der kommunalen Arbeit

INDUSTRIE- UND PRODUKTIONSLOGISTIK VERSTEHEN VERTRAUEN VERANTWORTEN

LabTech RMM. Monitoring von MDaemon. Vertraulich nur für den internen Gebrauch

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Parallels Mac Management 3.5

Verwendung des IDS Backup Systems unter Windows 2000

Grundlagen des Datenschutzes

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Leitfaden Installation des Cisco VPN Clients

EDI Connect goes BusinessContact V2.1

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Virtual Roundtable: Business Intelligence - Trends

Begreifen Cookies. Inhalt. Cookie Grundlagen Ihre Privatsphäre MS: Internet Explorer Google: Chrome Mozilla: Firefox...

Transkript:

Analyse von Angriffswegen Ein strategischer Ansatz zur Korrektur von Schwachstellen

Inhaltsverzeichnis Überblick 3 Im Lärm untergegangen 3 Nutzen Sie Attack Path Analytics 3 Schritt Eins: Datenermittlung 4 Schritt Zwei: Analyse der Angriffswege 4 Schritt drei: Reaktion auf Angriffswege und Schadensminderung 4 Fazit 5 Über Tenable Network Security 5 2

Überblick Für Sicherheitsanbieter ist es kein Problem, Schwachstellen in unternehmensweiten Netzwerken zu finden täglich kommen mehr Security- Daten hinzu. Die größere Herausforderung ist es, diese Daten zu durchsuchen, die größten Risiken zu identifizieren und die dringendsten korrigierenden Maßnahmen zu definieren. Die Analyse der Angriffswege (Attack Path Analytics) ist ein strategischer, risikoorientierter Ansatz zur Verbesserung der IT-Sicherheit. Die meisten Risikobewertungen kombinieren großflächige Schwachstellen-Scans mit detaillierten Konfigurations-Audits geschäftskritischer Geräte. Dieser Ansatz hinterlässt viele Lücken, durch die Angriffe eingeleitet werden können. Attack Path Analytics filtern diese Daten mit Informationen über Host-Rollen, Aktivitäten und Vertrauensbeziehungen zu anderen Systemen, um die Pfade zu identifizieren, über die Malware und Angreifer Zugriff auf wertvolle Daten und Ressourcen erlangen können. Im Lärm untergegangen Angreifer starten normalerweise damit, einen mit dem Internet verbundenen Rechner mit schwachem Schutzniveau zu kompromittieren. Ist dies gelungen, verwenden sie diesen zur Ausnutzung von Vertrauensbeziehungen. Sie kompromittieren im Anschluss andere, geschäftskritischere Systeme, bis sie die sensiblen Daten gefunden haben, nach denen sie suchen. Ein System ist nur so sicher wie die Systeme, denen es vertraut. Vulnerability Scanner identifizieren einzelne Schwachstellen, die Angreifer nutzen, um sich Zugriff auf interne, sensible Ressourcen zu verschaffen. Jedoch können sie vertrauensvolle Beziehungen generell nicht identifizieren. Da Scanner diesen essentiellen Kontext nicht zu den Schwachstelleninformationen hinzufügen, können sie das tatsächliche Risiko einer Schwachstelle nicht präzise darstellen. Das Problem hat zwei Seiten: 1. Schwachstellen-Scanner haben normalerweise keinen Zugriff auf die richtigen Daten. Obwohl sie einzelne Schwachstellen identifizieren können, fehlt es ihnen an einem grundlegenden Einblick in: Host-Aktivitäten, wie die Bereitstellung oder Nutzung von Inhalten im Internet; Vertrauensverhältnisse zwischen verschiedenen Hosts; verfügbare Kommunikationswege zwischen verschiedenen Hosts. 2. Wenige dieser Tools haben die Mittel, die vorhandenen Daten adäquat zu analysieren. Ihnen fehlen flexible und effiziente Filtermöglichkeiten, die Unterstützung dynamischer Asset-Listen, robuste Datenvisualisierung und die Fähigkeit, über das gesamte Spektrum von Security-Events zu korrelieren. Ohne diese analytischen Fähigkeiten ist es unmöglich, alle Bestandteile eines Angriffs wie ein Puzzle zusammenzufügen. Das Resultat ist eine fehlerhafte Auswertung der Risiken, falsche Prioritäten bei Schadensminderung und -Behebung und eine größere Bedrohung durch Malware, Gelegenheits- und gezielte Angriffe. Um diese Mängel zu überwinden, verwenden die meisten Unternehmen zusätzliche, eigenständige Tools zur Analyse von Angriffswegen und für Penetrationstests. Dieser Ansatz hat jedoch Grenzen. Solche Analyse-Tools verlassen sich auf das so genannte Modeling, welches ungenauer ist als Penetrationstests. Die Tools nehmen üblicherweise die Konfiguration wichtiger Infrastrukturkomponenten wie Router, Switches oder Firewalls einer Organisation zu einem bestimmten Zeitpunkt als Grundlage. Sie überlagern diese mit den Schwachstellendaten dieses Zeitpunkts und ermöglichen eine manuelle und/oder automatisierte Analyse des entstehenden Netzwerkmodells, um mögliche Angriffswege offenzulegen. Auf der anderen Seite skalieren Penetrationstests nicht gut. Es ist in der Regel nicht praktikabel (oder möglich), jede mögliche Kombination von Angriffswegen zu testen. Ein anderes Problem des multiplen Tool-Ansatzes ist die Herausforderung, die Tools in ein zusammenhängendes Programm zum Risikomanagement zu integrieren. Jedes einzelne Tool produziert eine große Anzahl potenziell nützlicher Daten. Aber es braucht menschliche Intelligenz, um die aus diesen Datenerhebungen basierenden Bedrohungen zu identifizieren und zu priorisieren. Selbst wenn die kritischen Systeme alle auf vollständig gepatchten Servern laufen, die durch Firewalls und andere Sicherheitslösungen geschützt sind, können sie immer noch anfällig für Malware oder gezielte Angriffe über verbundene Systeme sein. Systemadministratoren nutzen beispielsweise oft ihre eigenen Desktop-Systeme, um auf wichtige Server zuzugreifen. Sie neigen auch dazu, die gleichen Desktop-Systeme beim normalen Surfen im Internet oder für andere Aktivitäten, die zu einer Malware-Infektion führen können, zu verwenden. Das Desktop-System des Administrators wird so zur Startrampe für einen Angriff auf kritische Server. Wenn Sie nur auf Schwachstellendaten und Konfigurationsprobleme der kritischen Server achten, übersehen Sie Gefahren wie diese, die verheerende Auswirkungen haben können. Nutzen Sie Attack Path Analytics Attack Path Analytics vereinen Echtzeitdaten von Schwachstellen, Ereignissen und Compliance Monitoring für Administratoren, Auditoren und Risikomanager. Sie helfen diesen bei der Bewertung, Kommunikation und Weitergabe der Informationen, die für effektive Entscheidungen und das System-Management notwendig sind. 3

Mit Attack Path Analytics können Security Manager: ungewollte und/oder unautorisierte Kommunikationswege, die durch falsch konfigurierte Security- und Boundary-Geräte entstehen, identifizieren. unerwünschte Vertrauensbeziehungen zwischen verschiedenen Systemen entdecken. unerwünschte und unproduktive Aktivitäten, die die Gefahr von Angriffen erhöht, identifizieren. legitime Kommunikationswege und vertrauliche Beziehungen, die mehr Aufmerksamkeit und besseren Schutz erfordern, identifizieren. Reaktionen auf Schwachstellen mit offenbar geringen Auswirkungen priorisieren, die in Wirklichkeit Teil eines Angriffswegs mit starken Auswirkungen sind. Eine umfassende Analyse von Angriffswegen umfasst drei Schritte, die im Einklang mit dem grundlegenden Zyklus im Schwachstellen- Management sind: entdecken/bewerten, analysieren und reagieren. Schritt Eins: Datenermittlung Traditionellen Tools zur Analyse von Schwachstellen fehlen die erforderlichen Daten, um offene Angriffswege zu erkennen. Sie können kritische Informationen, wie etwa eine Bestandsaufnahme der installierten Software oder Patch-Daten nur erlangen, indem sie sich in die Systeme einloggen. Normalerweise betrachten Schwachstellen-Scanner externe Services, die auf einem Port gelistet sind und übersehen damit Client- Software wie Chrome, Firefox und Internet Explorer, um nur einige zu nennen. Traditionelle Schwachstellen-Scanner untersuchen keine Datenübermittlungen im Netzwerk, um spezielle Host-Aktivitäten zu identifizieren. Zudem untersuchen sie nicht, welche Hosts miteinander kommunizieren und über welche Ports und Protokolle sie dies tun. Doch gerade diese Informationen können überaus wichtig sein. Der Ermittlungsprozess sollte mögliche Angriffswege aufdecken, wie z.b.: eine Maschine, die sich zunächst mit Facebook oder Twitter und später mit einem High-Value-Host verbindet einen internen Server, der eine ausgehende Verbindung zum Internet aufbaut einen Rechner, der sich mit einem bekannten Botnet verbindet Malware auf einem Rechner falsch konfigurierte oder fehlende Anti-Virus Software. Schritt Zwei: Analyse der Angriffswege Analysen sind der Kern bei der Erkennung von Angriffswegen. Effektive Analysen kombinieren manuelle und automatisierte Techniken, um die Daten, die im vorherigen Schritt erfasst wurden, auf gängige Angriffswege zu überprüfen, z.b.: Internet-Dienste, die für ihre Gefährdung bekannt sind Internet-Browser-Clients, die eine Gefährdung sind Server, die gefährdeten Clients vertrauen Zuerst empfiehlt es sich, mit einer Reihe von Asset-Listen schrittweise auf die gewünschten Resultate zu kommen. Zum Beispiel sollte sich zu Beginn diese Frage gestellt werden: Welche Server im Unternehmensnetzwerk akzeptieren direkte Verbindungen aus dem Internet und wo befinden sich diese? Die Beantwortung dieser Frage erfordert eine Kombination von externem Scannen, interner Systemanalyse sowie der Überwachung des Netzwerkverkehrs auf Systeme, die externe Verbindungen erlauben. Stellen Sie dann weitere Fragen bezüglich des realen Risikos: Welche internen Systeme verbinden sich mit dem Internet? (Sie können diese Frage auch verfeinern und nach speziellen Internet-Zielen wie YouTube, Facebook etc. fragen.) Welche der obigen Systeme verwenden Client-Software, die leicht ausgenutzt werden kann? Welche Internet Server haben Client-Applikationen mit gefährlichen Schwachstellen? (Diese Frage zielt auf viele moderne, komplexe Web- Applikationen mit externen Kommunikationsfähigkeiten ab, z.b. für den Erhalt von Content-Updates.) Welche internen Systeme sind bzw. nutzen Clients, denen wichtige Server vertrauen? Welche der obigen Systeme haben Sicherheitsprobleme, die einfach ausgenutzt werden können? Welche der obigen Systeme sind zudem mit dem Internet verbunden? Diese Fragen sind nur ein Ausgangspunkt. Detaillierte Analysen können nicht unterstützte oder illegale Software sowie andere Geschäftsrisiken identifizieren. Schritt drei: Reaktion auf Angriffswege und Schadensminderung Der letzte Schritt beschäftigt sich mit der Schließung der entdeckten Angriffswege. Verwenden Sie die Informationen aus der vorangegangenen Analyse, um Ihre Reaktionen entsprechend der zu Grunde liegenden Schwachstellen zu priorisieren. Ohne den Kontext des Angriffsweges ist die Erkennung einer Schwachstelle für ein einzelnes System ein Low-Level-Event. Sie können die Klassifizierung verfeinern, indem Sie Faktoren wie den Wert eines zugehörigen Systems, die Schwere der Sicherheitslücke und Existenz eines entsprechenden Exploits mit in Betracht ziehen. Die Analyse von Angriffswegen fügt einen weiteren geschäftskritischen Faktor für die Klassifizierung von Schwachstellen und die Priorisierung der Remediation-Maßnahmen hinzu: das Potenzial eines gefährdeten Systems, möglicherweise als Sprungbrett genutzt zu werden, um an hochwertige Ressourcen zu kommen. 4

Fazit Die Analyse der Angriffswege kann Unternehmen helfen, den Bedrohungen durch moderne Malware und der zunehmenden Verbreitung gezielter Attacken effizienter entgegenzutreten. Mit Attack Path Analytics können Security-Teams: Infrastruktur und Betrieb vereinfachen. Eine umfassende Datenanalyse kann alle Schwachstellen, Sicherheitsvorfälle und Compliance- Management-Aktivitäten vereinheitlichen und nicht nur diejenigen, die mit der Erkennung und Eindämmung von Angriffswegen verbunden sind. Auf das operative Tagesgeschäft konzentrieren und es rationalisieren. Überlastete Netzwerkadministratoren können unerlaubte/ unbeabsichtigte Kommunikationswege einfach identifizieren, falsch konfigurierte Boundary-Geräte erkennen und ihre Remediation- Maßnahmen bezüglich der Schwachstellen besser priorisieren. Helfen, zusätzliche Gegenmaßnahmen einzuführen. Erkenntnisse zum Angriffsweg können helfen, die Notwendigkeit für zusätzliche Tools und Prozesse zu verdeutlichen, z.b. Next Generation Firewalls, die eine granulare Zugriffskontrolle bieten, Host Intrusion Prevention sowie verbesserte Lösungen zum Security Information and Event Management (SIEM). Die unternehmerischen Vorteile sind gleichermaßen überzeugend: Reduziertes Risiko. Identifizikation und Blockierung der üblichen Angriffswege, die von moderner Malware und zielgerichteten Angriffen genutzt werden. Durch verstärkte Remediation-Maßnahmen für das, was sonst als Schwachstelle mit niedrigem Risiko eingestuft wird, können die Angriffsfenster für Hacker, Spione und Diebe verkleinert werden. Nachweis der Compliance. Administratoren können die Einhaltung von Richtlinien, Vorschriften und Anforderungen bezüglich der Zugriffskontrolle, Boundary-Abwehr, kontinuierlichem Monitoring und Schwachstellen-Management sicherstellen und dokumentieren. Über Tenable Network Security Tenable Network Security ist ein führender Anbieter für Unified Security Monitoring und der Erfinder des Nessus-Schwachstellen-Scanners. Tenable Network Security entwickelt agentenlose Enterprise-Class-Lösungen für ein ganzheitliches Monitoring von Schwachstellen, Konfigurationsschwächen, Datenlecks, Log-Management und Kompromittierungserkennung, um Netzwerk-Sicherheit und FDCC, FISMA, SANS CAG und PCI Compliance zu gewährleisten. Die preisgekrönten Produkte von Tenable werden von vielen Global 2000-Organisationen und Regierungsbehörden genutzt, die dadurch Risiken für das Netzwerk proaktiv minimieren können. Weitere Informationen unter www.tenable.com. GLOBALE HAUPTQUARTIERE Tenable Network Security 7021 Columbia Gateway Drive, Suite 500 Columbia, MD 21046 410.872.0555 www.tenable.com 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback