Netzwerke, Fachartikel, ForeScout

Kann man etwas verwalten, das man nicht sehen kann?

Kann man etwas verwalten, das man nicht sehen kann?

„Continuous Monitoring“ – durchgängige, oder kontinuierliche Überwachung ist eines der neuen Schlagwörter der Branche. Was man unter dem Begriff genau zu verstehen hat, ist allerdings nicht klar definiert. Für manche bedeutet kontinuierliche Überwachung, sich jede Datei einer Directory anzusehen, um sicherzustellen, dass Dateien mit kritischen Anwendungen die primären Dienste, die eine Organisation anbietet, nicht verändern oder verheerenden Schaden daran anrichten. Andere möchten die Leistungswerte beobachten, um Auffälligkeiten bei Nutzerlast und Bandbreite diagnostizieren zu können, noch bevor sie zum Problem werden. Zudem gibt es noch Sicherheits- und Complianceprüfer sowie ITTIL-Spezialisten, die spezifische Prozesse und Arbeitsabläufe prüfen.

Im Grunde genommen würde jeder der Aussage zustimmen, dass kontinuierliche Überwachung mit Sichtbarkeit beginnt. Ob nun ein globales Unternehmen überwacht werden soll oder ein einzelner Satz an Systemen, aus denen sich eine Hauptanwendung zusammensetzt, die Sichtbarkeit ist hierbei vorrangig. Diese lässt sich in vier Schritten erreichen:

  • Komplette Inventur aller Elemente des eigenen Verantwortungsbereichs
  • Untersuchung der Bestände auf Fehler und Schwachstellen
  • Reparatur dieser Fehler und Schwachstellen oder Entfernen des Geräts aus dem Netzwerk
  • Meldung des Bestands, der Fehler, Mängel und Schwachstellen an die zuständige Community

Diese vier Schritte können abschreckend wirken – insbesondere, wenn es sich um ein globales Unternehmen handelt. Nun sind diese Schritte zwar keine Zauberei, allerdings kann ihre saubere Durchführung aufgrund mangelnder Automatisierung scheitern bzw. sich zur Fehlerquelle entwickeln. Die Tage, in denen man Datenblätter zum Tracken der wichtigsten Vorgänge verwendet hat, sind lange vorbei. Sie können allerdings immer noch eine Option sein für das Teilen von Berichten zwischen Systemen und Abteilungen. Kernpunkt ist die Automatisierung der Datensammlung – mit den heutigen Technologien können Bestände automatisch erfasst und in Echtzeit aktualisiert werden.

Ganz gleich, ob RFID zur Verfolgung von Geräten, die im Unternehmen unterwegs sind, verwendet wird oder automatisierte Netzwerküberwachungs-Tools, um ein Gerät in dem Moment zu ermitteln, in dem es sich mit dem Unternehmen verbindet – dies automatisiert durch zu führen ist genauso möglich wie automatisierte Fehler- und Schwachstellendiagnostik. Moderne Unternehmen besitzen diverse Tools um diese CRC-Daten zu sammeln. Zur Synchronisierung der verschiedenen Tools kann eine NAC-Lösung der neueren Generation gute Dienste erweisen. Jeder Knotenbericht (node report) geht dabei in verschiedene Konsolen (wie McAfee ePO, Microsoft SCCM und IBM Bigfix, um nur einige zu nennen) ein. So werden die verschiedenen Tools, die das Unternehmen nutzt, optimal aufeinander abgestimmt.

Sobald eine automatisierte Sichtbarkeit in Echtzeit über die Geräte und deren Status erreicht wurde, ist es im nächsten Schritt sehr wichtig diese Daten korrekt weiter zu geben. Es hat sich in der Praxis bewährt eine Gruppe einzurichten, die Daten sammelt und für diese Daten rechenschaftspflichtig ist. Diese Gruppe gibt die Daten dann an die entsprechende Community berechtigter Einzelpersonen weiter, sodass alle Gruppen die Daten einsehen können. Das Sicherheitsteam muss über Schwachstellen und Fehler informiert sein, während Compliance-Gruppen die gleichen Daten über die Schwachstellen benötigen, um mit dem Sicherheitsteam an der Erstellung eines Risikoprofils zu arbeiten. ITIL-Fachkräfte brauchen diese Daten, um Wartungsfenster zu planen. Daten gemeinsam zu nutzen und deren Status den Gruppen mitzuteilen führt zur benötigten Sichtbarkeit. Diese wiederum sorgt für eine effektive Verwaltung des gesamten Unternehmens und der wichtigsten Anwendungen.

Indem die oben erwähnten vier Schritte befolgt werden, ist es Abteilungen oder Behörden möglich, die heutzutage vielbeschworene „kontinuierliche Überwachung“ zu erreichen und deren Vorteile zu nutzen, da genau bekannt ist, welche Geräte mit dem Netzwerk verbunden sind und wie diese konfiguriert sind. Genaue, durchsuchbare Online-Bestände zu haben, hilft z. B. CFOs dabei, präzisere Renewal Checks zu schreiben und damit für sofortige Anlagerenditen zu sorgen. Die Security-Abteilung ist unterdessen in der Lage, schwache Glieder sofort ausfindig zu machen und Risiken in Echtzeit zu bearbeiten.

Empfehlungen darüber, welche kritischen Sicherheitskontrollen überwacht werden sollten, finden Sie hier in der SANS CAG 20, zusammen mit einer Liste der 20 wichtigsten Kontrollmonitoring-Tools (zum Thema NAC beachten Sie bitte besonders die Kontrollen 1, 2, 9 und 10).

Dan Skinner, Federal Systems Engineer bei ForeScout