Kontakt

Wie funktionieren Bedrohungserkennung und Schwachstellenanalyse eigentlich genau? Unser CTO Ralf Kempf erklĂ€rt am Beispiel eines IT-Unternehmens, warum die Synergie beider Methoden eine optimierte Gefahrenerkennung und gleichzeitig eine verkĂŒrzte Reaktionszeit bei unerwĂŒnschten Ereignissen ermöglicht.

Wie sie jeweils funktionieren und wie die gezielte Kombination von Threat Detection und Vulnerability Management zu einer deutlichen Verbesserung der SAP-Sicherheit fĂŒhrt, lĂ€sst sich gut am Beispiel eines klassischen BĂŒrogebĂ€udes veranschaulichen. Denn Schwachstellen zuverlĂ€ssig zu identifizieren und Bedrohungen in Echtzeit zu erkennen ist oft der entscheidende Faktor fĂŒr die Systemsicherheit, sei es ein GebĂ€ude oder SAP.

Vulnerability Management

Beim Schwachstellen- oder Vulnerability-Management geht es darum, Systeme anhand einer Momentaufnahme zu einem bestimmten Stichtag zu untersuchen und sie in einen sicheren Betrieb zu bringen, unter anderem hinsichtlich Zugriffsschutz, VerfĂŒgbarkeit, Konsistenz und Wiederherstellbarkeit der Daten.

ZurĂŒck zum Beispiel BĂŒrogebĂ€ude: Da ist zunĂ€chst die Perimetersicherheit. Das beginnt bei der Zufahrt zum GebĂ€ude, wo man vielleicht schon einen PIN-Code eingeben muss, um ĂŒberhaupt in die Tiefgarage zu kommen. Dann haben wir den Zugang ĂŒber die Tiefgarage, das heißt, ĂŒber diesen Weg wird der Verkehr der Mitarbeiterinnen und Mitarbeiter kanalisiert. Im Eingangsbereich gibt es wieder eine TĂŒr, fĂŒr die man eine Keycard braucht. Als Gast muss man sich beim Pförtner anmelden. Ansonsten sind alle TĂŒren im Idealfall verschlossen, es gibt auch Oberlichter und vielleicht sogar eine Alarmanlage, eine Klimaanlage und eine unterbrechungsfreie Stromversorgung, damit ein solches GebĂ€ude sicher betrieben werden kann. Man will also generell unbefugten Zutritt verhindern, und das Gleiche gilt fĂŒr IT-Systeme.

Zumindest in den letzten zehn Jahren war die IT meist in einem GebĂ€ude konzentriert: Das Rechenzentrum war im Keller, ich konnte es kontrollieren, war Herr ĂŒber meine Daten, hatte eine Firewall und konnte ziemlich genau sehen, wer reinkam. Ich hatte auch gut ĂŒberwachte WartungszugĂ€nge oder ein Citrix-Terminal. So ein IT-Haus zu betreiben, ist an sich schon sehr komplex, weil es viele ZustĂ€ndigkeiten gibt: den Sicherheitsdienst, den Hausmeister, die Haustechnik. Bei der IT ist es Ă€hnlich: Netzwerkmanagement, Access Control, SAP-Basis und IT-Basis. Und genau das ist Vulnerability Management: Wir machen eine Liste – und zum GlĂŒck gibt es gerade von SAP sehr gute Vorgaben, wie man seine Systeme absichert und ĂŒberwacht.

Diese Liste muss Punkt fĂŒr Punkt durchgegangen und abgehakt werden, Ă€hnlich wie bei der GebĂ€udeleittechnik: Sind unnötige TĂŒren immer abgeschlossen oder steht in der Mittagspause ein Hintereingang offen, der unbemerktes Eindringen ermöglicht? Vulnerability Management versucht also immer, ein Mindestmaß an StabilitĂ€t, VerfĂŒgbarkeit und Erreichbarkeit sicherzustellen. Und das nicht nur einmal, sondern wie bei einem GebĂ€ude: Der Hausmeister macht seinen tĂ€glichen Kontrollgang und der Schließdienst ĂŒberprĂŒft jede Nacht, ob alle TĂŒren verschlossen sind.

Threat Detection

Wenn wir unser GebĂ€ude zunĂ€chst von außen betrachten, hĂ€ngen ĂŒberall an der Fassade Kameras, um zu beobachten, was draußen passiert: Wer kommt, schleicht vielleicht jemand um das GebĂ€ude herum? Das ist die bereits erwĂ€hnte Perimeter Security. Wenn wir jetzt in das GebĂ€ude hineingehen, sind natĂŒrlich auch dort Kameras, es sind Leute im Besprechungsraum, andere wie ĂŒblich an ihren ArbeitsplĂ€tzen, manche sind unterwegs oder unterhalten sich auf dem Flur, also der ĂŒbliche BĂŒroalltag.

Jetzt ist es, sagen wir, 12:30 Uhr und wir wissen eigentlich, was in einem Unternehmen in der Mittagspause passiert: Die Leute verlassen ihre BĂŒros und gehen in die Kantine. Das heißt, wir haben hier eine ganz normale standardisierte Bewegung der Mitarbeiter.

Was wir heute mit Threat Detection machen, ist vor allem, auftretende Anomalien zu erkennen, User Behavioral Analysis zu betreiben. Aber nicht, indem wir jeden Benutzer und jede Aktion stĂ€ndig ĂŒberwachen, sondern indem wir beobachten, ob sich jemand auffĂ€llig im GebĂ€ude bewegt. Wenn wir zum Beispiel einen Eindringling haben, der mit einem gut gefĂ€lschten Ausweis unerkannt in das GebĂ€ude gekommen ist und an den entsprechenden Vorposten wie dem Empfang vorbeigekommen ist: Sein Ziel wird zu diesem Zeitpunkt nicht wie bei allen anderen die Kantine sein, sondern er bewegt sich jetzt genau in die entgegengesetzte Richtung und durchsucht alle BĂŒros, ob irgendwo ein nicht gesperrter Rechner oder sonst etwas Wertvolles zu finden ist. Das heißt, er verhĂ€lt sich ganz anders als alle anderen Mitarbeiter, in diesem Moment und auch generell, weil er nacheinander schnell in Raum 3, 4 und 5 schaut, das macht sonst keiner.

Daran kann man also erkennen, ob sich jemand in einem Unternehmen anormal verhĂ€lt. Hier sollten sozusagen die Alarmglocken lĂ€uten, wenn ein Benutzer plötzlich anfĂ€ngt, sich gegen den Strom oder außerhalb des ĂŒblichen Verhaltens zu bewegen. AuffĂ€llig können zum Beispiel andere Downloads oder andere Downloadmengen sein. Oder es sind ungewöhnliche Geolocations, von denen aus sich dieser Mitarbeiter einloggt. Oder es werden bestimmte Transaktionen in SAP-Systemen zu seltsamen Zeiten durchgefĂŒhrt. All das ist dann Anomaly Detection, die ein sonderbares Verhalten feststellt und den ersten Alarm der Threat Detection auslöst.

Wenn wir jetzt wieder auf unseren Eindringling zurĂŒckkommen, kann es natĂŒrlich sein, dass er einen nicht gesperrten Rechner findet oder ĂŒber eine Schnittstelle in das System gelangt und anfĂ€ngt, KonfigurationsĂ€nderungen vorzunehmen oder sich bestimmte Dokumente anzuschauen, zum Beispiel HR- oder Kontodaten. Das heißt, es passiert etwas im System, im Grunde ruft er die Transaktion auf und stiehlt die Informationen nur mit seinen Augen oder einer Kamera. Er könnte aber auch anfangen, sicherheitsrelevante Systemparameter zu verĂ€ndern, GeschĂ€ftsbelege, Bestellmengen, Steuerinformationen oder ganze AuftrĂ€ge im SAP-System zu manipulieren. In beiden FĂ€llen ist es dann Aufgabe der Threat Detection, ein solches Verhalten innerhalb des SAP-Systems zu erkennen. UnabhĂ€ngig davon, ob eine echte ID im Unternehmen verwendet wurde und ob er von innen oder von außen eingedrungen ist. Das darf zunĂ€chst keine Rolle spielen, denn der Perimeter hat es nicht erkannt, es ist am Vulnerability Management vorbeigegangen.

Hier stellt sich dann die Frage, wie ich diese Anomalien, wie abweichendes Nutzerverhalten erkenne und wie ich es ĂŒber einen lĂ€ngeren Zeitraum beobachten kann. Denn die einzelnen Schritte eines Hacks finden in der Regel nicht an einem Tag statt, sondern ĂŒber einen lĂ€ngeren Zeitraum. Sie mĂŒssen dann gesammelt und miteinander korreliert werden, um sagen zu können: Im Change Documents Log habe ich dieses Ungewöhnliche gesehen, im Security Audit Log und im User Change Log jenes. Wenn ich das alles zusammenfĂŒhre, dann kann ich sagen: Das ist ein faktischer Hackerangriff.

Das Beste aus zwei Welten

Also das, was wir im Vulnerability Management machen, ist im Prinzip erst einmal die Grundlage, um spĂ€ter eine effektive Threat Detection von Anomalien durchfĂŒhren zu können, denn sonst sieht man den Wald vor lauter BĂ€umen nicht. Mit anderen Worten: Was nĂŒtzt mir ein Tool, das akribisch dokumentiert, dass jemand durch eine TĂŒr ein- und ausgeht, wenn ich weder weiß, wer das ist, noch ob er diesen Raum betreten darf.

Der entscheidende Punkt ist natĂŒrlich die Integration und deshalb ist es zwingend notwendig, dass sich Kunden intensiv mit Vulnerability Management und der Integration von Threat Detection auseinandersetzen. Wenn eine TĂŒr offen ist, wenn jemand eine Keycard kopiert hat, oder wenn die Kamera aus ist, dann muss ich eine Meldung bekommen, und das muss zeitnah passieren. Das ist kein Hexenwerk, aber die Teams mĂŒssen sich abstimmen und man muss praxisnahe Szenarien abbilden. Es mĂŒssen Prozesse definiert werden und deren Schnittmenge technisch so gefĂŒllt werden, dass die Daten fließen. Und da ist es entscheidend, dass man einen Prozess hat, wie man damit umgeht, wenn man eine Schwachstelle beheben will oder eine Bedrohung erkennt. Und auch, dass es in der RĂŒckkopplung funktioniert, denn am Anfang steht oft eine Vermutung: Derjenige, der sich entgegen dem Mitarbeiterstrom zur Kantine durch mehrere BĂŒros bewegt, ist vielleicht nur der Hausmeister, der gerade Fenster wartet.

Ralf Kempf (CTO SAST SOLUTIONS und Vice President ABAP Pathlock) Ralf Kempf (GeschĂ€ftsfĂŒhrung Pathlock Deutschland)

Blog Logo itsecurity

Sie finden diesen Fachbeitrag auch in der Ausgabe Juli/August 2023 der it security sowie online im Leserservice der it-daily.net.

In unserem Expert Talk der IT-Onlinekonferenz erfahren Sie mehr ĂŒber die Synergieeffekte von Threat Detection & Vulnerability Management.

Inhalte