Zurück

Verbesserung der Asset-Sichtbarkeit
und Schwachstellenerkennung in Bundesnetzen

NB Autor by Mark Harris 27. Oktober 2022

Ich habe neulich meine Lektüre zu Regierungstechnologie nachgeholt und bin auf einen neuen BOD der CISA gestoßen, in dem es um die Schritte geht, die so schnell wie möglich in der Bundesnetzinfrastruktur unternommen werden müssen, um die Cybersicherheitsrichtlinien einzuhalten. Obwohl sie anmerken, dass dies nicht die gesamte Reihe von Schritten ist, die auf lange Sicht unternommen werden müssen, denke ich, dass dieser BOD eine realitätsbasierte Aussage ist, dass MEHR getan werden muss, um das Risiko von Cyberangriffen zu bekämpfen, und dass in den letzten 25 Jahren (seit das Internet allgemein verfügbar wurde) organisch NICHT genug Fortschritte erzielt wurden.

Von dem CISA.gov-Website:

Bundesnetze

„Der Zweck dieser verbindlichen Betriebsrichtlinie ist es Erzielen Sie messbare Fortschritte bei der Verbesserung der Sichtbarkeit der Ressourcen der Agentur und der damit verbundenen Schwachstellen. Die Anforderungen dieser Richtlinie reichen für umfassende, moderne Cyber-Abwehreinsätze zwar nicht aus, sie sind ein wichtiger Schritt zur Bewältigung aktueller Sichtbarkeitsherausforderungen auf Komponenten-, Agentur- und FCEB-Unternehmensebene. Die Anforderungen dieser Richtlinie konzentrieren sich auf zwei Kerntätigkeiten wesentlich für die Verbesserung der betrieblichen Sichtbarkeit für ein erfolgreiches Cybersicherheitsprogramm: Asset-Erkennung und Aufzählung von Schwachstellen.

  • Die Asset-Erkennung ist ein Baustein der betrieblichen Transparenz und wird als eine Aktivität definiert, durch die eine Organisation identifiziert, welche netzwerkadressierbaren IP-Assets sich in ihren Netzwerken befinden, und die zugehörigen IP-Adressen (Hosts) identifiziert. Die Asset-Erkennung ist nicht intrusiv und erfordert normalerweise keine besonderen logischen Zugriffsrechte.
  • Die Schwachstellenaufzählung identifiziert und meldet mutmaßliche Schwachstellen in diesen Assets. Es erkennt Hostattribute (z. B. Betriebssysteme, Anwendungen, offene Ports usw.) und versucht, veraltete Softwareversionen, fehlende Updates und Fehlkonfigurationen zu identifizieren. Es validiert die Einhaltung oder Abweichung von Sicherheitsrichtlinien, indem Hostattribute identifiziert und mit Informationen zu bekannten Schwachstellen abgeglichen werden. Das Verständnis der Schwachstellenlage eines Assets hängt davon ab, ob man über die entsprechenden Berechtigungen verfügt, die durch netzwerkbasierte Scans mit Anmeldeinformationen oder einen auf dem Host-Endpunkt installierten Client erreicht werden können.“

Und der Vorstand führt anschließend die ERFORDERLICHEN MASSNAHMEN auf, die in Bezug auf die Bundesnetze und Zeitrahmen erforderlich sind:

Bundesnetze

„Bis zum 3. April 2023, sind alle FCEB-Behörden verpflichtet, die folgenden Maßnahmen in Bezug auf alle föderalen Informationssysteme im Geltungsbereich dieser Richtlinie zu ergreifen:

    1. Führen Sie alle 7 Tage eine automatische Asset-Erkennung durch. Während viele Methoden und Technologien verwendet werden können, um diese Aufgabe zu erfüllen, muss diese Entdeckung mindestens den gesamten IPv4-Bereich abdecken, der von der Behörde verwendet wird.
    2. Initiieren Sie alle 14 Tage eine Schwachstellenaufzählung für alle entdeckten Assets, einschließlich aller entdeckten Nomadic/Roaming-Geräte (z. B. Laptops).
  • CISA ist sich darüber im Klaren, dass es in einigen Fällen vorkommen kann, dass eine vollständige Schwachstellenerkennung im gesamten Unternehmen nicht innerhalb von 14 Tagen abgeschlossen werden kann. Aufzählungsprozesse sollten dennoch in regelmäßigen Abständen initiiert werden, um sicherzustellen, dass alle Systeme innerhalb des Unternehmens innerhalb dieses Zeitfensters regelmäßig gescannt werden.
  • Soweit möglich und sofern verfügbare Technologien dies unterstützen, müssen alle auf verwalteten Endpunkten (z. B. Servern, Workstations, Desktops, Laptops) und verwalteten Netzwerkgeräten (z. B. Router, Switches, Firewalls) durchgeführten Schwachstellenaufzählungen mit privilegierten Anmeldeinformationen durchgeführt werden ( für die Zwecke dieser Richtlinie gelten sowohl netzwerkbasierte Credential-Scans als auch client- oder agentenbasierte Schwachstellenerkennungsmethoden als Erfüllung dieser Anforderung).
  • Alle verwendeten Signaturen zur Schwachstellenerkennung müssen in einem Intervall von nicht mehr als 24 Stunden nach der letzten vom Anbieter veröffentlichten Signaturaktualisierung aktualisiert werden.
  • Wo die Funktion verfügbar ist, müssen Behörden die gleiche Art von Schwachstellenaufzählung auf Mobilgeräten (z. B. iOS und Android) und anderen Geräten durchführen, die sich außerhalb der lokalen Netzwerke der Behörden befinden.
  • Alle alternativen Asset-Discovery- und Schwachstellen-Aufzählungsmethoden (z. B. für Systeme mit spezialisierter Ausrüstung oder solche, die keine privilegierten Anmeldeinformationen verwenden können) müssen von CISA genehmigt werden.
    1. Initiieren Sie innerhalb von 72 Stunden nach Abschluss der Erkennung (oder der Einleitung eines neuen Erkennungszyklus, wenn die vorherige vollständige Erkennung nicht abgeschlossen wurde) die automatische Aufnahme der Ergebnisse der Schwachstellenaufzählung (dh erkannte Schwachstellen) in das Dashboard der CDM-Agentur.
    2. Entwickeln und pflegen Sie die Betriebsfähigkeit, um eine On-Demand-Asset-Erkennung und Schwachstellenaufzählung zu initiieren, um bestimmte Assets oder Teilmengen von Schwachstellen innerhalb von 72 Stunden nach Erhalt einer Anfrage von CISA zu identifizieren, und stellen Sie CISA die verfügbaren Ergebnisse innerhalb von 7 Tagen nach Anfrage zur Verfügung.
  • CISA geht davon aus, dass Behörden in einigen Fällen möglicherweise nicht in der Lage sind, innerhalb dieses Zeitraums eine vollständige Schwachstellenermittlung für das gesamte Unternehmen durchzuführen. Es ist immer noch notwendig, den Zählungsprozess innerhalb dieses Zeitraums einzuleiten, da alle verfügbaren Ergebnisse dem CISA und den Behörden ein Situationsbewusstsein als Reaktion auf unmittelbar bevorstehende Bedrohungen vermitteln werden.“

Wo bleibt uns das?

Verbesserung der Asset-Sichtbarkeit und Schwachstellenerkennung in Bundesnetzen

Ob Bundesnetze oder Unternehmen, wir alle müssen unsere Bemühungen erneuern, um die DETAILS dessen zu verstehen und zu dokumentieren, worauf wir unsere Existenz setzen, und es handhabbarer, vertretbarer und sicherer zu machen. Die digitale Infrastruktur, von der wir alle wissen, dass sie unsere eigentliche Arbeit antreibt, ist deutlich taktischer geworden, wird kaum noch verwaltet und ist unzureichend dokumentiert, und das Vertrauen in ihre Fähigkeit, Belastungen (Cyber- oder Betriebsbelastungen) standzuhalten, nimmt weiter ab.

Sichtbarkeit der Bundesnetzinfrastruktur mit NetBrain

NetBrain hat das gleiche Szenario realisiert, das jetzt im BOD aufgerufen wird, und bietet die Möglichkeit, das Netzwerk kontinuierlich automatisch zu entdecken, und in Kombination mit unserer Überlagerung der tatsächlich gewünschten Verhaltensweisen (wir nennen sie network intents) kann sicherstellen, dass das Bundesnetzwerk die Konnektivität, Leistung und Sicherheitskontrollen in Echtzeit bereitstellt, die zur Einhaltung des CISA-Mandats erforderlich sind.

 

Verbundene