Umfassende Asset-Erkennung – das fehlende Bindeglied zur effektiven Edge-Sicherheit
Herausforderung – Einführung
Wie bereits in Beseitigung von Edge-Netzwerkschwachstellen – Mission Impossible? erläutert, kann der Netzwerkperimeter viele zentralisierte oder agentenbasierte Cybersicherheitslösungen vor besondere Herausforderungen stellen, die mit Folgendem zusammenhängen:
- Unvollständige Erkennung von Geräten, Endpunkten oder Infrastrukturen
- Eingeschränkte Bereitstellung auf Headless-Endpunkten oder -Geräten
Die daraus resultierende eingeschränkte Sicherheitstransparenz kann dazu führen, dass Schwachstellen bei Assets unentdeckt bleiben und entsprechende Schwachstellen von Bedrohungsakteuren ausgenutzt werden können. Cybersicherheitsexperten benötigen viel mehr als „Koppelnavigation“, um den vielen unredlichen Akteuren der Welt immer einen Schritt voraus zu sein.
Die vier Schritte zur Überwindung der Hindernisse
Schritt 1 – Vollständige Anlagen- und Geraete-Ermittlung (Inventar)
Ein effektiver, fortlaufender und umfassender Ermittlungsprozess (Inventarisierung) kann diese blinden Flecken in Ihrer Cybersicherheitsabwehr überwinden. Diese Aufgabe liegt häufig in der Verantwortung des Netzwerkteams. Es gibt viele Techniken, die einzeln oder in Kombination hier eingesetzt werden können. Beispiele sind:
| Aktion | Beschreibung |
|---|---|
| ARP Sweep | Wird in lokalen Netzwerken verwendet, um IP-Adressen MAC-Adressen zuzuordnen. Es sendet ARP-Anfragen an alle möglichen IPs im Subnetz, um Geräte zu erkennen. |
| Ping-Sweep | Es sendet ICMP-Echoanforderungen an einen IP-Adressbereich und sammelt Antworten. Es wird verwendet, um aktive Geräte im Netzwerk zu identifizieren. |
| SNMP | Fragt Netzwerkgeräte mithilfe von SNMP-Agenten nach Informationen ab. Nützlich zum Abrufen von Gerätedetails wie Hostnamen, IPs und Hardwareinformationen. |
| DNS-Abfrage | Fragt DNS-Server ab, um Hostnamen in IP-Adressen aufzulösen. Verwendet Reverse-DNS-Lookups, um Hostnamen zu ermitteln. |
| mDNS-Abfrage | Wird in lokalen Netzwerken zur Namensauflösung ohne zentralen DNS-Server verwendet. Multicast-Abfragen zum Erkennen von Diensten und Geräten (z. B. Druckern, Smart-Geräten). |
Erwähnenswert sind die inhärenten Vorteile, die sich aus der direkten Verbindung über das lokale Edge-Netzwerk statt über einen zentralen (oft entfernten) Standort ergeben. Dieser „Aussichtspunkt“ ist am besten für eine optimale Situationswahrnehmung am Netzwerkrand geeignet. Normalerweise sind diese Tools tragbar und können schnell überall am Rand (im Edge-Umfeld) sowohl physisch als auch drahtlos eine Verbindung herstellen.
Die unten beschriebenen Schritte 2, 3 und 4 sollten wirklich parallel ausgeführt werden.
Schritt 2 – Führen Sie eine Analyse der Cybersicherheits-Schwachstellen durch
Nachdem die Assets nun vollständig inventarisiert wurden, besteht der nächste Schritt darin, verschiedene Tests an diesen Geräten, Endpunkten und der Infrastruktur durchzuführen. Dazu gehört unter anderem die Prüfung der Switch-Ports auf ordnungsgemäße Bereitstellung, die Bestätigung der richtigen VLAN-Segmentierung, die Überprüfung einer akzeptablen drahtlosen Sicherheitsauthentifizierung und das Scannen nach bekannten Schwachstellen. Am besten arbeiten Sie eng mit dem IT-Security-Team zusammen, um einen Prozess oder Workflow zu entwickeln, der sicherstellt, dass alle möglichen Risiken berücksichtigt werden. Hier ist ein hervorragender Blog, der Ihnen dabei helfen kann: So führen Sie eine Cybersicherheitsbewertung durch.
Step #3 – Integration with Other Vulnerability Activities
Whatever tools are used in Step 1 and 2 above, it is ideal if these activities and subsequent results be incorporated into other security efforts. Examples here include vulnerability management and testing, network management, and endpoint monitoring platforms. This being the case, be sure to seek offerings that make such integration simple.
In addition, it’s crucial—if applicable—to ensure results are incorporated into any organizational-wide initiatives such as those related to implementing NIS2 or CIS Critical Controls.
Schritt 3 – Integration mit anderen Schwachstellenaktivitäten
Unabhängig davon, welche Tools in Schritt 1 und 2 oben verwendet werden, ist es ideal, wenn diese Aktivitäten und die daraus resultierenden Ergebnisse in andere Sicherheitsbemühungen integriert werden. Beispiele hierfür sind Schwachstellenmanagement und -tests, Netzwerkmanagement und Endpunkt-Ueberwachungsplattformen. Achten Sie in diesem Fall darauf, Angebote zu finden, die eine solche Integration einfach machen.
Darüber hinaus ist es wichtig – sofern zutreffend – sicherzustellen, dass die Ergebnisse in alle organisationsweiten Initiativen integriert werden, beispielsweise in die zur Implementierung von NIS2 oder CIS Critical Controls.
Schritt Nr. 4 – Zusammenarbeit des Netzwerk- und Sicherheitsteams
An diesem Punkt sollte klar sein, dass die für die Verwaltung und Sicherheit des Edge-Netzwerks Verantwortlichen eng zusammenarbeiten müssen, um die stabilste Edge-Sicherheitslage zu erreichen. Wenn die Aufgaben an separate Gruppen delegiert werden, ist das Netzwerkteam innerhalb der Organisation oft am besten positioniert, da es über Kenntnisse der Details der Perimeterarchitektur sowie des aktuellen taktischen Status der Ressourcen verfügt. In diesem Szenario können sie eine kritische, einzigartige „Sicht auf den Rand, vom Rand aus“ („see the edge from the edge“) bieten.
Im Gegensatz dazu sind IT-Security-Mitarbeiter in der Regel besser mit Themen im Zusammenhang mit Schwachstellen und Gegenmaßnahmen vertraut.
Hier ist eine Zusammenfassung der Rolle jeder Gruppe bei dieser wichtigen Aufgabe und die Vorteile einer Partnerschaft:
| Herausforderung | NetOps-Rolle | SecOps-Rolle | Ergebnis der Zusammenarbeit |
|---|---|---|---|
| VisibilitSichtbarkeit und Überwachungy and Monitoring | Gewährleisten Sie Netzwerkintegrität und Verfügbarkeit | Sicherheitsbedrohungen erkennen und eindämmen | Umfassende Überwachung und Kontrolle am „Edge“ |
| Bedrohungsminderung | Edge-Geräte sicher konfigurieren | Implementieren Sie Tools zur Bedrohungsminderung | Reduziertes Risiko von Edge-basierten Angriffen |
| Reaktion auf Vorfälle | Bereitstellung von Einblicken auf Netzwerkebene | Untersuchen und beheben von Sicherheitsvorfällen | Schnellere, präzisere Reaktion |
| Zero-Trust-Implementierung | Bereitstellen und Überprüfen von Netzwerksegmentierung und -richtlinien | Definieren und Einrichten des Zugriffs mit den geringsten Berechtigungen | Nahtlose Integration von Zero Trust am „Edge“ |
| Einhaltung | Implementieren von technische Kontrollen | Sicherstellen der Einhaltung gesetzlicher Vorschriften | Geringeres Risiko von Bußgeldern und rechtlichen Folgen |
Zusammenfassung
Obwohl die meisten Organisationen eine Reihe fortschrittlicher Sicherheitslösungen nutzen, gibt es bestimmte Situationen, in denen aufgrund unentdeckter Geräte, Endpunkte und Infrastruktur Lücken bestehen können. Daher ist es wichtig, dass alle Netzwerkressourcen, insbesondere am Rand, zu hundert Prozent berücksichtigt werden, um sicherzustellen, dass die IT-Ressourcen vollständig vor Cybersicherheits-Bedrohungen geschützt sind. Wenn Sie diese Recherche durchführen, um NIS2 einzuhalten, bietet Ihnen unser praktischer Leitfaden CyberScope Addresses Three Critical NIS2 Measures at the Challenging Edge wertvolle Einblicke (auch wenn sich Ihre Organisation nicht in der Europäischen Union befindet). Letztendlich müssen alle eingesetzten Tools die einzigartigen Herausforderungen am dynamischen Netzwerkrand effektiv bewältigen – einschließlich der weniger offensichtlichen Lücken.
