XM Cyber: revolutionärer Ansatz für mehr IT-Sicherheit

Herkömmliche Schwachstellenscanner gibt es bereits seit den frühen 2000er Jahren. Seit dieser Zeit hat sich hauptsächlich die Optik, aber wenig an der Methodik geändert. Die Software macht zu einem gegebenen Zeitpunkt eine Momentaufnahme der gefundenen Systeme und zeigt die zu dem Zeitpunkt gefunden Schwächen auf. Zum einen werden dabei Systeme ausgelassen, die zu dem Zeitpunkt offline oder nicht verbunden sind. Zum anderen werden nicht nur aktuelle Schwachstellen erst bei einem erneuten Scan gefunden, Fehlkonfigurationen oder nicht angewendete Richtlinien finden solche System ohne weitere Hilfsmittel gar nicht. Man könnte diese Methode mit einem einzelnen Foto von einem zwei Wochen andauernden Urlaub vergleichen: Nett, aber wenig Aussagekräftig für die Gesamtsituation. XM Cyber verfolgt hier einen modernen Ansatz: Anstatt aufwendig mit viel Ressourcen das Netzwerk nach einem Zeitplan zu durchsuchen und Momentaufnahmen zu generieren, konzentriert sich der Hersteller darauf eine kontinuierliche Schwachstellenbewertung der Systeme vorzunehmen. Dabei werden Metadaten der Systeme gesammelt und mit modernsten Methoden einem Exposure Management unterzogen. Die dabei generierte Risikolandschaft wird grafisch in Relation gesetzt und dem Kunden aufbereitet zur Verfügung gestellt. Das Ergebnis ist eine Cybersicherheitslage der Umgebung, die in beinahe Echtzeit-Risikobewertungen der Systeme aufzeigt, wie ein Angreifer sich lateral durch ein Netzwerk anhand von Szenarien bewegen würde. Und das nicht nur von Systemen die im LAN stehen, sondern auch mit Kommunikationsbeziehungen in der Cloud oder in Hybriden Umgebungen.

Potentielle Schwachstellen kommen nicht nur von Systemen, sondern auch von Produkten oder Fehlkonfigurationen der Systeme. Ein vergessener lokaler Root bzw. Administrator-Account oder Hashwerte von alten Anmeldedaten sind da nur ein paar Beispiele. Traditionelle Schwachstellenscanner konzentrieren sich eher auf Produktschwächen die nach einer CVE Metrik gemeldet werden. XM Cyber sucht anhand der gefundenen Metadaten nach mehr als nur Schwachstellen in den Systemen. Es zeigt dem Kunden, wie eine kleine Schwachstelle am Endpunkt X durch verschiedene Methoden ein großes Problem Y am Ende auslösen kann. Diese Visualisierung der Assets in einer Firma zeigt, dass es sich lohnt, Kommunikationsbeziehungen als Ganzes zu sehen und nicht nur auf Produktbasis Bewertungen nach einem Attack-Index dem Kunden zu präsentieren. Zusätzlich werden die Optimierungen der Landschaft in einem Cyberrisikoscore dargestellt. Damit wird deutlich gemacht, dass es manchmal mehr für die ganzheitliche Sicherheit eines Netzwerkes bringt, scheinbar kleine Verbesserungen an Randsystemen durchzuführen, als einen Patch auf ein Hochsicherheitssytem einzuspielen.

Zu unseren Kunden von XM Cyber zählen nicht nur Banken oder Hightech Unternehmen. Es sind gerade die produzierenden Firmen, die durch ihre gewachsenen Strukturen Sichtbarkeit und Hilfestellungen bei der täglichen Arbeit benötigen. Hier konnten wir schon viel zusammen mit den Administratoren der verschiedenen Firmen erreichen. In der Praxis waren das meist Konfigurationen auf Systemen, die "mal schnell" gemacht wurden um einen Prozess möglich zu machen. Accounts mit weitreichenden Berechtigungen, Windowsfirewallausnahmen oder RDP Zugriffe auf Systeme. Aber auch der Klassiker Active Directory zählt dazu. Im Laufe der Zeit ist es üblich, dass mehrere Personen daran arbeiten. Je nach Geschmack werden dann mehr oder weniger kreative Konstrukte aus AD Gruppen und Serviceaccounts Anwendung finden. Mit XM Cyber konnten wir ohne großen Aufwand den verschiedenen Beteiligten anhand des Angriffspfades konkret an den Systemen aufzeigen, wo Arbeitsbedarf besteht.

XM Cyber ist ein rein passives System. Es zeigt zwar hervorragend die verschieden Schwachstellen auf Kommunikations- oder Assetbasis auf, handeln und konkret bewerten muss am Ende des Tages ein Mensch. Dem Admin werden durch den Hersteller zusätzliche angereicherte Informationen zum Beheben an die Hand gegeben, aber Sicherheit ist leider ein Prozess und kein Produkt das man kaufen kann. Daher bietet enthus in diesem Bereich zwei Möglichkeiten an, dem Kunden tatkräftig bei der Härtung seiner Landschaft zu unterstützen: Managed Service für den Connaisseur von Sicherheitsdiensleistungen oder Hands-On Support für den unterstützenden Aufbau von Know-How.

Die Zeiten in denen ein einzelnes System Vorort für einen Dienst verantwortlich war, sind lange vorbei. HA, Cloud, Verteilte Aufgaben oder auch nur die traditionelle Aufteilung nach Sicherheitszonen zeigen, dass an einem Prozess mehr als ein paar Systeme beteiligt sind. Diese Beziehungen störungsfrei zu betreiben benötigt Visibilität. Für eine Firma ist es wichtig, dass die Buchhaltung, die Produktion oder mit was auch immer Geld verdient wird, läuft. Egal auf welchen Systemen oder welche Abteilung dafür verantwortlich ist. XM Cyber erstellt für Szenarien Sicherheitsnoten und bewertet diese technisch neutral um Tipps für deren Behebung zu geben. Durch diesen interdisziplinären Ansatz werden Aufgaben pro System nach der "low-hanging-fruit" Methode verteilt. Nachdem diese Aufgaben Identifiziert wurden, können diese in den üblichen Arbeits- oder Patchzyklus der Fachabteilungen eingebracht werden, um so die gesamte Sicherheit einer Firma zu erhöhen. Dieses SOC-Artige Vorgehen führt in der Praxis meist zu einer schnelleren Behebung, da Defizite auf System- oder Abteilungsebene erst dann als gelöst angezeigt werden, wenn diese auch wirklich behoben sind. Aktuelle Bedrohungen müssen auch nicht erst durch Scans der Systeme erarbeitet werden, sondern werden Ad-Hoc in die Szenarien eingebunden. Die dadurch erreichte Sicherheitsnote kann naturgemäß schwanken, führt aber zu einer ehrlichen Bewertung der aktuellen Sicherheitslage und der damit Verbunden Aufgaben für die Administratoren.