Publireporate 18.09.2023, 07:45 Uhr

So können Sie Ihren gesamten Technologie-Stack schützen

In einem instabilen geopolitischen Umfeld setzen Unternehmen auf Initiativen zur digitalen Transformation, um ihre Produktivität zu erhalten und zu steigern.
(Quelle: DataStore)
IT-Verantwortliche stehen unter wachsendem Druck, vollständigen Überblick über ihre Infrastruktur zu gewinnen. Denn nur so können sie das Risiko von Störungen minimieren, die Auswirkung auf Kunden, Aktionäre und Mitarbeiterdaten haben könnten. Ohne eine klare Vorstellung davon, wo Ihr Tech-Stack heute steht, werden diese Ziele für Sie unerreichbar bleiben.

Am Anfang beginnen

Das Asset-Management ist das Fundament der Informationssicherheit jedes Unternehmens. Dabei geht es darum, über eine vollständige, präzise und stets aktuelle Liste aller Assets zu verfügen, die sich in der IT-Umgebung eines Unternehmens befinden. Das hört sich erst einmal einfach an — aber warum ist Asset-Management in der Praxis so schwierig? Wenn die Sicherheits- und IT-Teams über die IT-Assets Ihres Unter­nehmens genau Bescheid wissen, können sie die notwendigen Schritte zur Eindämmung von Sicherheitsbedrohungen einleiten. Fehlkonfigurationen, Schwachstellen und veraltete Hardware lassen sich schneller erkennen.

Den Blick nach innen richten ...

Ein umfassendes Asset-Inventar ist die Grundlage, die in jedem Unternehmen existieren sollte. In Untersuchungen hat sich jedoch gezeigt, dass 69 % der Unternehmen schon einmal einen Angriff erlebt haben, der auf ein «unbekanntes, nicht oder schlecht verwaltetes Asset mit Internetverbindung» abzielte. Solange Unternehmen nicht wissen, welche Assets in ihrem Unternehmensnetz vorhanden sind, können sie diese auch nicht schützen.
Wenn Ihr Team Ihnen diese Informationen nicht liefern kann, können Sie nicht wissen, wie gut die entsprechenden Sicherheitsrisiken unter Kontrolle sind. Der Aufbau einer Übersicht über die Assets Ihres Unternehmens wird zweifellos einige Geheimnisse ans Licht bringen — zum Beispiel Schatten-IT-Implementierungen —, die im Laufe der Jahre entstanden sind. 
Sobald der Asset-Katalog steht, müssen Sie sich überlegen, wie Sie ihn auf dem neuesten Stand halten können. So sorgt zum Beispiel eine Kategorisierung der Assets nach ihrer geschäftlichen Bedeutung dafür, dass jedem Asset das richtige Mass an Aufmerksamkeit geschenkt wird.
Beispielsweise setzen Angreifer bei der Ausnutzung von Schwachstellen fast immer bei den Endgeräten in der Unternehmensumgebung an. Wenn auf diesen Geräten veraltete Software läuft, stellen sie für Angreifer einfache Ziele dar.

Kontrolle über End-of-Service-Komponenten gewinnen

Software und Hardware altern mit der Zeit. Sobald Sie einen genauen Überblick über Ihren IT-Bestand gewonnen haben, können Sie ihn mit dem Lebenszyklus der Komponenten abgleichen, um sicherzustellen, dass jede Hardware und Software vom Hersteller noch unterstützt und im Hinblick auf Patches proaktiv verwaltet wird. Auch gibt es Tools, die Informationen zu den Lebenszyklen gängiger Assets abbilden können, sodass sie zentral zur Verfügung stehen. 

Normalisieren, kategorisieren, priorisieren

In vielen Unternehmen dürfte es Zehntausende von Assets geben, die identifiziert und verwaltet werden müssen. Sicherheitstools helfen, diese Aufgabe zu bewältigen, und können Prozesse automatisieren, damit Routineaufgaben ohne manuelle Eingriffe erledigt werden können. Durch die Zusammenführung des Asset-Inventars mit End-of-Life- und End-of-Service-Informationen können Sie alle Informationen in einem Bereich einsehen.

Ganzheitlicher Überblick: Qualys und DataStore machen es möglich

Wenn Sie sich die Frage stellen: «Wie sieht mein Unternehmen aus der Sicht eines Hackers aus?», können Sie eine ganzheitliche Übersicht über Ihr gesamtes IT-Inventar gewinnen. Dazu wird nach allen Geräten gescannt, die mit dem Internet verbunden sind, um festzustellen, wie er bestehende Sicherheitslücken ausnutzen könnte.
Das Angriffsflächenmanagement baut auf einem soliden Asset-Management-Ansatz auf und geht noch einen Schritt weiter, indem das Sicherheitsniveau aller ermittelten Assets bewertet wird. Genau wie das Asset-Management sollte es kontinuierlich durchgeführt werden, mit laufender Erkennung, Klassifizierung und Bewertung.
Der Autor
Ishpreet Singh
DataStore
Ishpreet Singh, Chief Information Officer, Qualys
Weitere Infos unter: www.datastore.ch


Das könnte Sie auch interessieren