IT-Bedrohungen dauerhaft managen: Aktive- vs. passive Maßnahmen in der Infrastruktur

Einleitung

Wer sich mit der IT-Sicherheit in Unternehmen beschäftigt, weiß wie schwierig es ist, mit den „richtigen“ Dingen zu beginnen. Oftmals werden die üblichen Verdächtigen in Angriff genommen, die ggfs. relevanteren Aufgaben aber mangels Zeit vernachlässigt. Doch auch nach dem richtigen Start kann das Sicherheits-Niveau schlechter werden, nämlich dann, wenn die ergriffenen Maßnahmen nicht von Dauer waren. Es ist deshalb umso wichtiger, ein Sicherheits-Management anzuwenden, das dauerhaft besteht.

Aktive vs. passive Maßnahmen

Um sinnvoll zu beginnen, braucht es Informationen über aktuelle Schwachstellen. Diese Informationen können über verschiedene Maßnahmen gewonnen werden. Dabei wird häufig in aktive und passive Maßnahmen unterschieden. Aktive sind solche, die direkt ins Netzwerk integriert werden, um das Sicherheits-Niveau aktiv zu ermitteln. Passive sind solche, die das Sicherheits-Niveau indirekt bestimmen, ohne die Notwendigkeit, diese Maßnahme mit dem zu untersuchenden Netzwerk zu verbinden.

Aktive Maßnahme:
Die aktive Komponente kann beispielsweise ein Schwachstellen-Scanner sein. Dieser ist in der Lage, das Netzwerk nach Schwachstellen bekannter Angriffs-Mustern „abzusuchen“, also zu scannen. Ergebnis ist ein umfassender Bericht, welche Systeme mit welchen Schwachstellen versehen sind und welche Bedrohungslage daraus resultiert.

Im nachfolgenden Beispiel wurde ein frisch installierter Linux-Server mit einem Schwachstellen-Scanner überprüft.

Das Ergebnis zeigt einige Informationen über den Web-Server und 7 – also medium eingestufte – Schwachstellen. Die Schwachstellen in unserem Beispiel sind darauf zurück zu führen, dass nicht die aktuellste Apache Version verwendet wird. Die ältere Version ist über verschiedene CVEs (common vulnerabilities and exposures) angreifbar.

Passive Maßnahme:
Eine passive Methode zur Schwachstellen-Reduzierung ist beispielsweise die Modellierung der Infrastruktur mit securiCAD. Über die Modellierung wird eine Blaupause der logischen Infrastruktur erstellt, die Systeme beschrieben und eine virtuelle Angriffs-Simulation durchgeführt. Dabei steht nicht nur das einzelne System im Vordergrund, sondern auch die Infrastruktur, die es umgibt.

Um Schwachstellen zu entdecken, greift securiCAD auf den Simulations-Ansatz zurück, wobei das erstellte Modell mit Angriffsmustern untersucht wird. Am Ende der Untersuchung werden sowohl die Schwachstellen angezeigt sowie der Resilienz-Wert des jeweiligen Systems. Dieser gibt an, wie widerstandsfähig das System gegen Cyberangriffe ist.

Für dieses Beispiel wurde der WebServer im aktuellen Netz-Aufbau modelliert. Hierzu wird die Infrastruktur mithilfe der securiCAD assets logisch beschrieben:

Der Web-Server wird in einem eigenen Netzwerk-Bereich, der DMZ, betrieben. Diese ist mit dem Router bzw. Firewall-System mit dem Internet verbunden. Parallel dazu gibt es ein Office-Netzwerk mit einem angedeuteten Office-PC.

Der Web-Server wird mit den securiCAD assets im Detail beschrieben. Er verfügt beispielsweise über ein Linux-Betriebssystem, einen Web- und einen SSH-Service sowie weitere Informationen.

Das Ergebnis unserer ersten Risiko-Simulation ist, dass der Web-Server hinter der Firewall gut geschützt ist, es aber noch Verbesserungs-Potential beim Web-Server selbst gibt.

Die obige Risiko-Matrix zeigt auf der X-Achse die subjektive Priorisierung des Systems, in diesem Fall 5 von 10.
Die Y-Achse zeigt die Angriffs-Wahrscheinlichkeit in Prozent, wobei der Web-Server in unserem Beispiel ein Angriffs-Potential von 47% hat.

Aus der Simulation lässt sich nun ableiten, welche Wege ein Angreifer nutzen kann, um das System zu korrumpieren. Auf Basis dieser Berechnung schlägt securiCAD Verbesserungs-Maßnahmen vor.

Informationen verknüpfen

Wir erhalten über beide Methoden wertvolle Informationen über den Zustand unseres Web-Servers. Gilt also, je mehr Informationen zur aktuellen Bedrohungslage, desto besser? Jein!

Informationen darüber zu haben, welche Systeme angreifbar sind und über welche Schwachstellen Angreifer ggfs. in die Systeminfrastruktur eindringen können ist wichtig. Allerdings entstehen bei der Betrachtung der Schwachstellen häufig viele Informationen, die im Tagesgeschäft nicht mehr alle berücksichtigt werden können. Das führt dazu, dass die Bemühungen ggfs. nicht dauerhaft, sondern punktuell ergriffen werden.

Hilfreich, um nicht im Informations-Chaos zu ersticken ist es deshalb, die Informationen zu kombinieren. Hierfür bietet die Simulations-Komponente securiCAD beispielsweise eine Import-Schnittstelle, um die Informationen – wie die aus dem Schwachstellen-Scanner – direkt in die Simulation mit einzubinden.

Das ergänzte Simulations-Modell kann die Grundlage für eine Strategie sein. Da securiCAD in der Lage ist, Maßnahmen objektiv miteinander zu vergleichen, können auch alternative Simulationen erstellt werden, um zu prüfen, welche der jeweiligen Maßnahme mehr bringt. So lassen sich die anstehenden Maßnahmen sinnvoll priorisieren.

Dauerhafte Sicherheit

Um eine dauerhafte Sicherheit zu gewährleisten, ist es vor allem wichtig, dass der Aufwand für die Informationsgewinnung möglichst gering ist, da die anstehenden Aufgaben andernfalls im Tagesgeschäft untergehen.

Um die Ergebnisse möglichst effizient aktuell zu halten, bietet sich die Kombination von Informationen an. Wird der Schwachstellen-Scan öfter durchgeführt, lässt sich damit das Modell aktualisieren und den Fokus auf die wichtigen Aspekte legen.

In unserem Beispiel wurde das System inkl. Apache auf den aktuellsten Stand gebracht. Im Anschluss wurde der Penetration-Test wiederholt.

Das Ergebnis ist, dass die 7 zuvor gefundenen und als medium eingestuften Schwachstellen nicht mehr auftauchen. Die Aktualisierung war also erfolgreich.

Im Anschluss haben wir das securiCAD Modell dahingehend angepasst, dass der Web-Server alle aktuellen Patches kennt und die Simulation wiederholt.

Das Sicherheits-Niveau des Web-Servers in der Infrastruktur ist nach dem Update ungefähr gleichgeblieben, liegt jetzt bei 46%.

Das Update hat also nur eine kleine Verbesserung gebracht. Ursache dafür ist, dass der Web-Server grundsätzlich noch nicht gehärtet ist. Der Angreifer hat also ein leichtes Spiel. Das Ausnutzen von softwareseitigen Schwachstellen ist deshalb noch nicht so interessant.

Eine weitere Simulation zeigt uns deshalb die Veränderung des Sicherheits-Niveaus, nachdem der Web-Server gehärtet und gepatcht ist.

Das Sicherheits-Niveau nach der Härtung ist deutlich gestiegen. Das Korrumpierungs-Potential liegt jetzt nur noch bei 26%. Nach wie vor gibt es Maßnahmen, die ergriffen werden sollten. Diese beziehen sich aber nicht mehr nur auf den Web-Server, sondern auch auf die Infrastruktur drum herum.

So zeigt die aktuelle Simulation beispielsweise, dass die eingesetzte Netzwerk-Firewall verbesserungswürdig ist. Ebenso ist der Office-PC nicht optimal geschützt und der Web-Server indirekt über diesen angreifbar.

In jedem Fall sichtbar wird sichtbar, dass die Verbesserung des einzelnen Systems eine lohnenswerte Aufgabe ist. Durch verschiedene Maßnahmen wurde das Sicherheits-Niveau des Web-Servers signifikant verbessert. Sichtbar wird allerdings auch, dass es immer etwas zu tun gibt.

Sprechen Sie uns an!

Kontakt

Menü