Was ist ein IT-Asset-Verzeichnis?

Je nachdem, ob Sie einem IT- oder einem Cybersicherheitsteam angehören, gestaltet sich das Management eines Asset-Verzeichnisses sehr unterschiedlich. Wenn Sie diese Unterschiede verstehen, wird Ihnen klar, warum Cybersicherheitsteams Verzeichnisse auf eine ganz bestimmte Art verwalten müssen – und warum es wichtig ist, dass sie dies in Echtzeit tun.

Was ist ein IT-Asset-Verzeichnis?

Ein IT-Team führt ein Asset-Verzeichnis, um seinem Unternehmen die benötigten IT-Ressourcen effizient und kostengünstig bereitstellen zu können. Die in diesem Verzeichnis gespeicherten Daten umfassen unter anderem Standort, Benutzer, Wartung und Support, Dokumentation, Leistung, Lizenzen, Compliance, Kosten und Lebenszyklusphase. Zu den IT-Assets kann Folgendes gehören:

• Hardware – Server, Laptops, Smartphones, Drucker usw.
• Softwarebestand – Software, Software as a Service (SaaS), Clouds usw.

Auch wenn es Überschneidungen zwischen dieser Art von Verzeichnis und dem Verzeichnis der Sicherheitsteams gibt, sollte der Schwerpunkt eines Audits zu Sicherheitszwecken auf einem Verzeichnis aller mit dem Internet verbundenen Assets des Unternehmens liegen, die Schwachstellen aufweisen und Angriffsrisiken bergen könnten. Dazu gehören Hardware, Software, Geräte, Daten, Cloud-Umgebungen, IoT-Geräte und das industrielle Internet der Dinge (Industrial Internet of Things, IIoT). Dies betrifft sämtliche Assets weltweit, ob vor Ort, in der Cloud oder an einem Co-Location-Standort.

Warum ist ein IT-Asset-Verzeichnis wichtig?

Die Wichtigkeit lässt sich leicht erklären: SecOps-Teams müssen etwaige Sicherheitslücken finden und beheben, bevor Angreifer sie entdecken. Das rasche Finden sämtlicher Sicherheitslücken ist an sich schon eine Herausforderung. Hinzu kommt, dass die Bedrohungen immer vielfältiger und ausgefeilter werden und dabei auf immer mehr weitläufige, komplexe Angriffsflächen treffen. Viele Assets sind veraltet oder falsch konfiguriert, und die Mitarbeiter richten mitunter eine Schatten-IT ein, ohne sich dessen bewusst zu sein. Darüber hinaus könnten die Assets eines Drittanbieters eine Rückverbindung herstellen und somit eine Bedrohung für Ihr Unternehmen mit sich bringen. Die Arbeit hat also nie ein Ende.

Schon allein die Annahme, ein Unternehmen kenne all seine Assets, ist gefährlich. Im Schnitt finden Cortex^®Xpanse^™-Kunden 35 % mehr Assets als sie zuvor erfasst hatten. Untersuchungen der ESG haben ergeben, dass nur 28 % der Unternehmen glauben, dass ihr Asset-Verzeichnis zu mehr als 75 % vollständig sei.

Warum muss sich das Assetmanagement verändern?

Das Assetmanagement basiert traditionell auf einem Verzeichnis, das manuell als monatliche oder vierteljährliche Momentaufnahme erstellt wird. Dies birgt jedoch einige große Nachteile: Mit großem Zeit- und Arbeitsaufwand wird ein Verzeichnis erstellt, das naturgemäß voller Fehler und schnell veraltet ist.

Dies ist besonders gefährlich, weil das von den Sicherheitsteams verwendete Verzeichnis einen großen Einfluss darauf hat, wie zuverlässig andere Prozesse sein können. Schwachstellenscanner oder Antiviren- bzw. Antimalware-Scanner scannen nur die im Verzeichnis erfassten Assets, sodass nicht verzeichnete Assets unbekannte Risiken und Schwachstellen bedeuten. Red Teams benötigen für Penetrationstests oder andere Red-Teaming-Aktivitäten ein zentrales Verzeichnis aller Assets und können das Ausmaß von Einsätzen nicht korrekt einschätzen, wenn dieses Verzeichnis unvollständig ist.

Moderne Angriffsflächen verändern sich ständig und werden von Tag zu Tag komplexer, sodass es zwangsläufig riskant ist, mit einem veralteten oder unvollständigen Asset-Verzeichnis zu arbeiten. Dies wirft ein entscheidendes Dilemma auf. Wie können Sie etwas schützen, von dem Sie nicht einmal wissen, dass es existiert?

Wie sollte das Assetmanagement aussehen?

Angesichts der Herausforderungen einer modernen Angriffsfläche wird deutlich, dass der Schlüssel zur Ressourcenerfassung und zur Pflege eines umfassenden Asset-Verzeichnisses in der kontinuierlichen Erkennung und Überwachung aller mit dem Internet verbundenen Assets liegt, unabhängig davon, ob es sich um Hardware oder Software handelt und ob diese sich vor Ort oder in der Cloud befindet. Bei diesem Assetmanagement-Ansatz werden alle Assets in einer zentralen Informationsquelle erfasst – auch solche, die ausgelagert sind oder einem Partner oder externen Anbieter gehören.

Sicherheitsteams sollten auch bedenken, dass nicht jede Software für das Angriffsflächenmanagement (Attack Surface Management, ASM) oder für das Assetmanagement allen Anforderungen gerecht wird. Eine hochwertige ASM-Lösung sollte die Compliance Ihres Unternehmens fördern. Sie sollte außerdem Kosten einsparen, indem sie Angriffe zu verhindern hilft, und SecOps effizienter gestalten, indem sie den menschlichen Aufwand zum Erkennen und Senken von Angriffsflächenrisiken reduziert.

Eine ASM-Lösung sollte in der Lage sein, Schwachstellen aufzudecken und die notwendigen Kontextdaten bereitzustellen, um zu zeigen, wem das jeweilige Asset gehört und wer für die Behebung von Problemen verantwortlich ist. Noch besser ist es, wenn diese Alarme und Daten einfach an ein Tool für die Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) weitergeleitet werden können, um Abhilfemaßnahmen zu automatisieren.

Um sicherzugehen, dass ein Verzeichnis vollständig ist, sollte ein Assetscan aus dem Blickwinkel eines Außenstehenden erfolgen. Diese Perspektive ist wichtig, weil sie alle Assets findet und bei der Datenbereitstellung nicht auf andere Assetmanagement-Tools oder Software angewiesen ist, aber auch, weil dies die Perspektive ist, aus der ein Angreifer Ihre Angriffsfläche betrachtet.

Angreifer können mittels automatisierter Internetscans in weniger als einer Stunde anfällige Assets finden. Sicherheitsteams sollten ihr Verzeichnis so verwalten, dass sie mit diesem Tempo mithalten oder es übertreffen können. Ein modernes Angriffsflächenmanagement kann so effizient und effektiv sein, dass SecOps damit Angriffsflächenrisiken entdecken, bewerten und senken können – auch in der Cloud und in Umgebungen von Zulieferern und fusionierten bzw. übernommenen Unternehmen. ASM bietet auch eine Risikopriorisierung, die es den Teams ermöglicht, sich auf die wichtigsten Risiken zu konzentrieren.

Warum Sicherheitsteams ein Asset-Verzeichnis brauchen

Ein vollständiges, aktuelles Asset-Verzeichnis ist auch aus einem weiteren Grund unverzichtbar: Hacker suchen ständig nach Einfallstoren in Ihr Unternehmen. Diese Suche erfolgt inzwischen automatisiert und sehr schnell. Angreifer können das gesamte Internet in weniger als einer Stunde nach anfälligen Systemen durchsuchen.

Darüber hinaus machen sie sich veröffentlichte Schwachstellen (Common Vulnerabilities and Exposures, CVEs) zunutze. Nach der Veröffentlichung einer CVE beginnen sie gewöhnlich innerhalb von 15 bis 60 Minuten (oder sogar noch schneller) mit der Suche nach dieser Schwachstelle. Am 2. März 2021 veröffentlichte Microsoft Schwachstellen in Microsoft Exchange Server und Outlook Web Access (OWA). Die ersten Angreifer begannen innerhalb von fünf Minuten, nach diesen Schwachstellen zu suchen.

Verwaltung des Asset-Verzeichnisses mit Cortex Xpanse

Xpanse scannt kontinuierlich das gesamte Internet, um ein umfassendes Asset-Verzeichnis zu erstellen, das SecOps-Teams hilft, unbekannte Assets zu entdecken und alle Angriffsflächenrisiken zu überwachen und zu bewerten.

Die von Cortex Xpanse gefundenen Schwachstellen umfassen:

• Fernzugriffsdienste (z. B. RDP)
• Unsichere Dateifreigabe- oder -austauschdienste (z. B. SMB, NetBIOS)
• Ungepatchte Systeme, die durch bekannte Exploits gefährdet sind, und Systeme am End of Life (EOL)
• IT-Administratorportale
• Sensible geschäftliche Anwendungen (z. B. Jenkins, Grafana, Tableau)
• Unverschlüsselte Anmeldungen und Textprotokolle (z. B. Telnet, SMTP, FTP)
• Direkt zugängliche IoT(Internet of Things)-Geräte
• Schwache, unsichere und veraltete Verschlüsselungsverfahren
• Zugängliche Entwicklungsinfrastruktur
• Unsichere oder nicht mehr gepflegte Marketingportale
• Assets mit Softwareversionen mit kritischen CVEs

Xpanse verfügt über weitere zusätzliche Funktionen, die anderen ASMs fehlen. Es kann unter Berücksichtigung spezifischer Unternehmensrichtlinien konfiguriert werden, um Fehlalarme und irrelevante Meldungen herauszufiltern. Es ermöglicht die Operationalisierung über Integrationen und bidirektionale APIs und sammelt sowohl interne als auch externe Daten, um ein besseres Verständnis der Vermögenswerte zu erhalten. Darüber hinaus erstellt es anhand aktueller Meldungen in den Nachrichten schnell neue Fingerabdrücke/Richtlinien.

Xpanse lässt sich außerdem mit Tools wie Cortex XSOAR kombinieren, um Alarme automatisiert zu beheben. So lässt sich sicherstellen, dass Unternehmen Prozesse aufbauen, die die Resilienz erhöhen und den künftigen Umgang mit Risiken und Gefährdungen erleichtern.

Wir empfehlen Ihnen, das Thema Asset-Verzeichnis und ASM weiter zu vertiefen. Hier sind einige nützliche Quellen für den Einstieg:

• Zusätzliche Xpanse- und ASM-Inhalte