Risiken managen, wenn die IT-Systemverwaltung ausfällt

Originalbeitrag von Greg Young, VP of Cybersecurity

Zwei der effektivsten Möglichkeiten, Risiken zu verwalten und für mehr Sicherheit im Unternehmen zu sorgen, sind Patching und Backup. Ransomware hat Anwender den Stellenwert von Backups gelehrt. Und Patching ist das Ergebnis der Anforderung an das Funktionieren der  Produkte, bzw. deren Sicherheit. Patching wird, wie auch Backup, von Nicht-Sicherheitsteams durchgeführt und fällt in den Bereich des IT-Systemmanagements (ITSM). Doch was ist zu tun, wenn bei einem Angriff die Empfehlung für Unternehmen auf Abschalten des ITSM lautet?

Vielen Unternehmen dürfte im Dezember wegen des Angriffs auf  SolarWinds-Produkte empfohlen worden sein, ihr ITSM-Produkt „vom Netz zu nehmen“. Dies ist ein ungewöhnliches Vorgehen, weil die meisten Schwachstellen mit einem Pre-Patch-Schutz (IPS-Signaturen) gehandhabt werden, der Zeit verschafft, bis der Patch verfügbar ist und mit möglichst geringer Unterbrechung des Betriebs getestet und installiert werden kann.

Patching ist ein Beispiel für die zwei Kräfte, die in der Cybersicherheit wirken: Funktion und Sicherheit. Die Funktionstüchtigkeit war schon immer die „starke“ Kraft, denn ohne Geschäft gibt es nichts zu sichern. Cybersicherheit hat sich angepasst und ist mehr darauf ausgerichtet, auf das Funktionieren des Geschäfts zu wirken, und das sicher. DevOps Security hat als wichtigste die Aufgabe erkannt, dass die Sicherheit in die Geschäftsabläufe integriert und nicht nur hinzugefügt werden muss.

Beim Patching klafft eine Lücke zwischen der Bedeutung der Sicherheit und den geschäftlichen Anforderungen: zwischen dem Sicherheitsgebot, sofort zu patchen, um Schwachstellen zu schließen, und dem geschäftlichen Gebot, so zu patchen, dass der Geschäftsbetrieb möglichst wenig gestört wird. Dabei geht es nicht nur darum, den Patch aufzuspielen, sondern vor allem sicherzustellen, dass das Patching keine Abläufe beeinträchtigt. Diesen Spagat bewältigen die Ops-Teams mit Hilfe von ITSM-Produkten.

Was ist konkret zu tun?

Die ungewöhnliche Empfehlung, ein Produkt vom Netz zu nehmen, zeigt, dass der Betrieb des Produkts ein sehr hohes Risiko mit sich bringt. Aber auch danach gibt es ein kleineres, aber nicht unbedeutendes Risiko, wenn kein ITSM verfügbar ist.

Die Empfehlung von SolarWinds umfasst des Weiteren, Sicherheitsmaßnahmen zu ergreifen, um nach Kompromittierungen zu suchen, die Hosts neu aufzusetzen und dann das wohlbekannte ITSM wieder online zu nehmen. Das dauert natürlich seine Zeit.

Trend Micro rät natürlich nicht dazu, die Empfehlungen zu ignorieren. Doch die mit dieser Aktion verbundenen Risiken sollten bekannt sein und Maßnahmen dagegen vorhanden sein:

  1. Ironischerweise stellt Patching das größte Problem dar, denn ITSM könnte die Patch-Managementlösung des Unternehmens sein. Deshalb muss das Sicherheitsteam prüfen, ob es kritische Patches gibt, die nicht mit dem ITSM-Produkt in Verbindung stehen und installiert werden müssen. Danach sollte entschieden werden, ob dies geschehen soll. Zumindest muss auf jeden Fall gewährleistet sein, dass die IPS-Signaturen für diese anfälligen Produkte inline sind.
  2. System- und Netzwerk Performance Monitoring wird wahrscheinlich nicht verfügbar sein. Hat das SOC keinerlei ITSM-Ansichten für die Bedrohungsjagd, muss es nach anderen Quellen suchen (die vom Hersteller bereitgestellte Überwachung wechseln) oder weniger bevorzugte oder indirekte Überwachungsansichten verwenden.
  3. Nicht alle Ausfälle werden leistungsbezogen sein. Das heißt, nicht alle Leistungsänderungen sind durch einen Funktionsausfall bedingt, weil das ITSM entfernt wurde. Es könnte sich um einen Angriff oder Malware handeln, die die Gelegenheit nutzt, die Umgebung zu infiltrieren, während das ITSM nicht vorhanden ist.

Die Berücksichtigung dieser Punkte kann einige zusätzliche Risiken mindern, während das ITSM abgeschaltet ist und weitere Informationen zu dem Vorfall kommen, die den Bedrohungsjäger in den Opferorganisationen an die Hand gegeben werden. Die nächsten Schritte sind weitaus schwieriger, da Unternehmen alle Spuren dieser Angreifer aus ihren Netzwerken entfernen müssen.

Bis dahin empfiehlt sich insgesamt ein intensiverer Dialog zwischen Sicherheit und Ops, um gemeinsam daran zu arbeiten, die IT-Infrastruktur aufrechtzuerhalten und zu sichern, sollte  das ITSM eine Zeit lang ausfallen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.