Beseitigung von Edge-Netzwerk-Schwachstellen – eine Mission Impossible?

NIS2-Richtlinie wird in den Mitgliedsstaaten der Europäischen Union bald Gesetz

Herausforderung / Uebersicht

Die anhaltenden Herausforderungen beim Schutz von Unternehmen vor Cybersicherheits-Bedrohungen sind zahlreich – die nicht enden wollende Litanei weiterer Sicherheitsverletzungen in den Nachrichten liefert reichlich Beweise. Was in den Berichten selten erwähnt wird, sind die Kosten – enorme durchschnittlich 4,88 Millionen US-Dollar pro Sicherheitsverletzung, eine Statistik, die auch nicht immun gegen Inflation ist und im Jahr 2024 um 10 % steigen wird¹. Es wird auch über einen Anstieg der Angriffe auf die Edge-Infrastruktur berichtet, wobei viele Schwachstellen in genau den Geräten vorhanden sind, auf die Unternehmen für ihre Sicherheit angewiesen sind². So viele potenzielle Hürden, selbst Ethan Hunt wäre bestürzt!

Die Hindernisse für eine effektive Sichtbarkeit in diesem sehr dynamischen Umfeld sind vielfältig, hängen aber in erster Linie mit Folgendem zusammen:

• Erhöhte Angriffsfläche im Zusammenhang mit der explosionsartigen Zunahme der Anzahl von Endpunkten, einschließlich Headless-IoT, OT und anderen nicht verwalteten Assets
• Ungesicherte Verbindungen und allgegenwärtige Konnektivität
• Komplexität der Netzwerkarchitektur und Fehlkonfigurationen von Geräten/Netzwerken

Diese Bedingungen stellen wiederum viele der bestehenden Cybersicherheitslösungen, die Hackerangriffe abwehren sollen, vor Schwierigkeiten. Es folgt eine Zusammenfassung dreier breiter Gruppen von Tools, die grundsätzlich für eine robuste Cybersicherheitslage unverzichtbar sind, manchmal jedoch Lücken in der Abwehr am Netzwerkrand hinterlassen.

Tools für Schwachstellenmanagement und – tests

Tools für Schwachstellenmanagement und -tests sind Lösungen, die dazu dienen, Sicherheitslücken in der IT-Infrastruktur, den Netzwerken, Anwendungen und Systemen eines Unternehmens zu identifizieren, zu bewerten, zu priorisieren, zu mindern und zu verwalten. Diese Tools sind wesentliche Bestandteile einer umfassenden Cybersicherheitsstrategie und helfen Unternehmen, Sicherheitslücken zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

Diese Lösungen umfassen eine Reihe von Funktionen und Zwecken wie Schwachstellen-Scans, Netzwerkschwachstellen-Bewertung und Konfigurationsmanagement.

Tools für Schwachstellen-Management und -Tests sind ein entscheidender Bestandteil einer umfassenden Cybersicherheitsstrategie und helfen Unternehmen, Sicherheitslücken zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Sie erleichtern ein proaktives Risikomanagement und verbessern die allgemeine Sicherheitslage eines Unternehmens.

Aufgrund unvollständiger Erkennung von Endpunkten, Geräten und Infrastrukturen können sie jedoch zu kurz greifen. Der grundlegende Schritt beim Schwachstellenmanagement besteht darin, sicherzustellen, dass ALLE Assets tatsächlich erkannt oder inventarisiert werden. Klingt einfach, ist aber oft notorisch schwierig. Lassen Sie uns die Umstände besprechen, die dazu führen können, dass der Erkennungsprozess unterbrochen wird. Und denken Sie daran: Je weiter Sie sich am Netzwerkrand befinden (und sich vom Ausgangspunkt des zentralisierten Tools entfernen), desto häufiger können einer oder mehrere dieser Umstände dazu führen, dass Assets oder sogar ganze Netzwerksegmente übersehen werden.

Die Gründe, warum einige Erkennungsmechanismen nicht alle Endpunktgeräte erkennen, können mit der Netzwerkarchitektur selbst zusammenhängen (asymmetrisches Routing, NATs, Firewalls, Hub-and-Spoke-Topologien usw.), mit Netzwerkmedienkonvertern, die unentdeckte Pfade verursachen, und mit Fehlkonfigurationen von Netzwerkressourcen. Ein häufiges Beispiel für eine Fehlkonfiguration ist, wenn Switch-Ports mit einer falschen VLAN-Einstellung konfiguriert sind, sodass sie im getesteten VLAN-Segment keine IP-Adresse haben.

Netzwerkverwaltungstools

Netzwerkverwaltungstools umfassen Funktionen zur Verwaltung von Netzwerkinfrastrukturelementen (einschließlich Switches, Routern, Firewalls und WLAN-Zugangspunkten), indem sie regelmäßig Daten von diesen verwalteten Geräten erfassen. Je nach Anbieter kann dies SNMP, Paket-Sniffing, Flussdaten, Syslog, APIs oder Agenten umfassen. Zur Sicherheitsüberprüfung können einige Netzwerkverwaltungstools auch so konfiguriert werden, dass sie bei Konfigurationsänderungen eine Warnung ausgeben. Daher können sie eine wichtige Rolle bei der Gewährleistung der Zuverlässigkeit, Sicherheit und Effizienz von Computernetzwerken in Organisationen spielen.

Die Fähigkeiten der Tools reichen hier von der kontinuierlichen Überwachung bis hin zum Konfigurationsmanagement sowie Inventar- und Fehlermanagement.

Obwohl Netzwerkverwaltungstools mit Netzwerkinfrastrukturelementen kommunizieren können, können sie häufig nicht alle Endpunktgeräte erkennen – oft aus denselben Gründen wie die oben für Schwachstellenmanagement- und Testtools beschriebenen.

Darüber hinaus können sie schwierig einzurichten und zu konfigurieren sein, erfordern spezielle Kenntnisse und Schulungen für die effektive Nutzung und erzeugen häufig Fehlalarme. Diese Komplexität kann ein Hindernis für kleinere Organisationen oder weniger erfahrene Administratoren darstellen. Darüber hinaus können sie sowohl im Vorfeld als auch durch laufende Kosten wie Lizenzen, Gebühren „pro überwachtem Element“und Abonnements kostspielig sein.

Tools zur Endpunktüberwachung

Endpoint Monitoring Tools sind Softwarelösungen, die zur Überwachung und Verwaltung von Endpunkten innerhalb eines Netzwerks entwickelt wurden. Diese Tools umfassen eine breite Palette von Endpoint Detection and Response (EDR) über Network Access Control (NAC) bis hin zu Endpoint Profiling Tools. Die Methoden zur Datenerfassung variieren, wobei viele bereitgestellte Agenten verwenden, während andere Netzwerkverkehrsanalysen verwenden, um den Endpunktverkehr oder -fluss passiv anzuzeigen. Beispiele für Endpunkte sind Desktops, Laptops, Tablets, Server, Industriesteuerungen und IoT-Geräte. Endpoint Monitoring Tools spielen eine entscheidende Rolle bei der Gewährleistung der Sicherheit, Leistung und Konformität dieser Geräte.

Drei Bereiche, in denen sie möglicherweise nicht ausreichen:

• Eingeschränkter/begrenzter Einsatz – Agentenbasierte Monitore können nicht auf allen Endpunkten installiert werden, insbesondere nicht auf leichten Geräten. Beispiele hierfür sind Headless-IoT, OT und ICS (industrielle Steuerungssysteme), aber auch Geräte, die oft übersehen werden, wie Thermometer, IP-Kameras, Gebäudesteuerungen usw. Dies ist eine ernsthafte Schwäche. Jedes Gerät ohne Agent ist ein „blinder Fleck“ der Sichtbarkeit, der von böswilligen Akteuren ausgenutzt werden könnte (und wurde).
• Komplexität – Die Wartung von Endpunkt-Tools kann sowohl bei der Bereitstellung von Agenten als auch bei der anschließenden Datenerfassung und -analyse mühsam sein.
• Kosten und Aufwand – Die Lizenzierung und Wartung agentenbasierter Tools kann kostspielig sein, da der Preis häufig nach der Anzahl der überwachten Geräte berechnet wird. Tools, die Netzwerkverkehrsanalysen verwenden, sind zwar robust, aber aufgrund der erforderlichen Überlagerung von Span- oder Tap-Ports zum Überwachungssystem oft außergewöhnlich teuer in der Anschaffung und umständlich in der Implementierung.

Zusammenfassung

Jeder Cybersicherheitsspezialist weiß, dass der Schutz kritischer IT-Ressourcen sowie vertraulicher Unternehmens- und Kundendaten weiterhin eine Herausforderung darstellt – insbesondere im Edge-Netzwerk. Es gibt zahlreiche Cybersicherheitslösungen, die diese Bemühungen unterstützen sollen, von denen viele für das Erreichen dieser Ziele unerlässlich sind.

Drei große Kategorien dieser Tools – Schwachstellenmanagement und – tests, Netzwerkmanagement und Endpunktüberwachung – können jedoch je nach den Besonderheiten der Netzwerkumgebung Lücken hinterlassen, die von Bedrohungsakteuren ausgenutzt werden können.

Stellen Sie daher bei der Bewertung der Cybersicherheitsrobustheit Ihres Unternehmens sicher, dass Sie diese Edge-Lücken kennen – dieser Blog ist ein guter Ausgangspunkt. Und wenn Sie diese Recherche durchführen, um NIS2 einzuhalten, bietet Ihnen unser praktischer Leitfaden (Link zur NIS2-Dokumentation) wertvolle Einblicke (auch wenn Ihr Unternehmen nicht in der Europäischen Union ansässig ist).

Letztendlich müssen alle eingesetzten Tools die einzigartigen Herausforderungen am dynamischen Netzwerkrand effektiv bewältigen – einschließlich der weniger sichtbaren, offensichtlichen Lücken.

^1: Bericht zu den Kosten eines Datenlecks, IBM, 2024
^2: Anstieg der Angriffe auf Edge- und Infrastrukturgeräte, Bank Info Security, Juni 2024