Kurz nach dem Ausbruch der Covid-19-Pandemie arbeitete Censys mit einer staatlichen Behörde zusammen, die ihr Risikomanagementprogramm durch die Automatisierung der Erkennung und Verfolgung von Angriffsflächen erweitern wollte. Nach dem Umzug der Belegschaft in ein anderes Land ergaben sich neue Herausforderungen.
Wichtigste Vorteile
Durch die Partnerschaft mit Censys hat die staatliche Agentur gewonnen:
- Effizienz und Zeitersparnis - Vor der Einführung von Censys verfügte die Behörde nicht über die Ressourcen, um ihre Angriffsfläche effektiv manuell zu überwachen. Jetzt kann die Organisation ihre Vermögenswerte, nicht genehmigte IT-Umgebungen in der Cloud und darüber hinaus sowie potenzielle Risiken im Zusammenhang mit dem Ablauf von Zertifikaten und Domänen, potenzielle Schwachstellen und andere Fehlkonfigurationen verfolgen.
- Schutz und Sicherheit - Die Behörde war nun in der Lage, die gesamte Belegschaft an entfernten Standorten auf potenziell gefährdete Objekte zu überwachen.
- Bessere Präventivmaßnahmen - Mit der verbesserten Cloud-Transparenz war die Behörde besser in der Lage, Konfigurationspannen zu bekämpfen. Mit den Cloud-Konnektoren können sie außerdem Cloud-Assets im Laufe der Zeit leicht nachverfolgen und die vorgenommenen und implementierten Sicherheitsänderungen messen.
- Geschäftskontinuität - Die Zertifikatsverwaltung der Plattform verhindert Unterbrechungen bei der Durchführung der sicheren Online-Transaktionen der staatlichen Behörden und gewährleistet so die Geschäftskontinuität.
Die Ziele
Bewältigung von Änderungen der Angriffsfläche bei einer zunehmenden Anzahl von Mitarbeitern an entfernten Arbeitsplätzen
Wie viele andere Organisationen hatte auch die Agentur eine Reihe von Faktoren, die sich gleichzeitig auf ihre Angriffsfläche auswirkten. Der erste Faktor war der Zustrom von Mitarbeitern, die von zu Hause aus arbeiten, außerhalb der traditionellen Netzwerkgrenzen, die von der Organisation eingerichtet und gesichert wurden. In den Worten des Chief Technology and Security Officer: "Wir sehen eine Ausweitung unserer Endpunkte mit mehreren Mitarbeitern, die außerhalb unserer Firewall arbeiten. Zuvor hatte ein kleiner Teil unserer Mitarbeiter Laptops und nahm diese mit nach Hause, und das wird jetzt immer mehr." Die Sichtbarkeit Ihrer "Endpunkte", auch außerhalb der traditionellen Grenzen des Unternehmens, ist für ein wirksames Sicherheitsprogramm von entscheidender Bedeutung.
Schutz der Angriffsfläche durch eine komplexe Cloud-Migration
Die Behörde war auch mit der Sicherung ihrer Infrastruktur beschäftigt. Das Sicherheitsteam befand sich mitten in der Migration von Ressourcen von einem herkömmlichen, von der Regierung gehosteten Rechenzentrum zu einem neuen Anbieter in ihrer privaten Cloud. Außerdem bereitete man sich darauf vor, zusätzliche Ressourcen in die Amazon AWS-Infrastruktur zu verlagern. Bei jeder Migration ist es von entscheidender Bedeutung, die sichere Übertragung aller Daten zu gewährleisten. Insbesondere muss sichergestellt werden, dass Ihre Server und alles, was mit dem öffentlichen Internet in Berührung kommt, ordnungsgemäß konfiguriert sind und beim Aufbau und Abbau von Komponenten Ihrer Infrastruktur berücksichtigt werden.
Angriffsflächenmanagement einführen
Attack Surface Management (ASM) ist der kontinuierliche Prozess der Erkennung, Bestandsaufnahme und Beseitigung von Risiken, die sich auf Ihre mit dem Internet verbundenen Anlagen auswirken. Unternehmen gestalten ihre Angriffsfläche im Internet ständig neu, ob sie es wissen oder nicht. Dienste und die von diesen Diensten genutzten Daten werden mehrmals pro Woche im Internet entwickelt, bereitgestellt und neu konfiguriert. Jeff Ford, CISO: "Wir wussten, dass sich unsere Bedrohungsfläche vergrößert, und wir wollten sicherstellen, dass wir Tools einsetzen, insbesondere Censys [ASM], um zu verstehen, wie diese Bedrohungsfläche aussieht."
Was bedeutet das für die tägliche Arbeit der Sicherheitsexperten? Die staatliche Behörde hat die Erkenntnisse der Censys Attack Surface Management Platform wie folgt umgesetzt.
Kontinuierliches Port-Scanning zur Eindämmung von Bedrohungen für externe Server - Das Team nutzt jetzt die Censys Attack Surface Management Platform, um nach offenen Ports/Protokollen auf öffentlich zugänglichen Servern zu suchen. Auf diese Weise konnte das Team seine Angriffsfläche schnell und effektiv reduzieren, indem es bestimmte Hosts als solche kennzeichnete, die bestimmte Ports/Protokolle offen haben dürfen, und die Sicherheitslage fortlaufend überwachte.
Verfolgung einer wachsenden Angriffsfläche durch Mitarbeiter, die von zu Hause aus arbeiten - Da immer mehr Mitarbeiter außerhalb der Unternehmens-Firewall von zu Hause aus arbeiten, wollte die staatliche Behörde einen besseren Einblick in die Endpunkte ihrer Mitarbeiter, die sich täglich einloggen - von wo aus sie sich einloggen und wie sich dies auf ihre Angriffsfläche auswirkt. Die erweiterte Transparenz durch die Censys Attack Surface Management Platform ermöglichte es, Mitarbeiter, die von zu Hause aus arbeiten, zu schützen, indem sie auf potenziell gefährdete Dienste überwacht wurden, die nicht gefährdet sein sollten.
Zertifikatsmanagement zur Gewährleistung der Geschäftskontinuität - Censys sammelt eindeutige Zertifikate und analysiert sie, um anzuzeigen, wie weit sie vertrauenswürdig sind, wie hoch ihr Verschlüsselungsgrad ist, ob sie selbst signiert sind und wie lange sie gültig sind. Censys sammelt Zertifikate durch internetweites Scannen und Synchronisierung mit Certificate Transparency-Protokollen für eine umfassende Abdeckung. Diese Wachsamkeit ist wichtig, denn ein abgelaufenes Zertifikat kann die Durchführung sicherer Online-Transaktionen behindern. Mit den Worten des Sicherheitsanalysten der staatlichen Behörde: "Die ablaufenden Zertifikate sind eine gute Erinnerung daran, dass wir sehen, welche Zertifikate abgelaufen sind und welche nicht."
Verbesserte Cloud-Transparenz zur Bekämpfung von Konfigurationsfehlern - Während die staatliche Behörde ihre Cloud-Umgebung migriert und erweitert, gibt es immer wieder Bedenken über Fehlkonfigurationen und nicht genehmigte Cloud-Dienste, die von Mitarbeitern bereitgestellt und genutzt werden. Mit den Cloud-Konnektoren der Plattform gewann die Organisation zusätzliche Transparenz und Einblicke in ihre neue Cloud-Umgebung, indem sie Dinge wie freiliegende S3-Buckets (oder andere Objektspeicher), nicht genehmigte Cloud-Konten außerhalb der Kontrolle des Sicherheitsteams sowie freiliegende Dienste in Cloud-Umgebungen wie Datenbanken und RDP identifizierte. Mithilfe von Cloud-Konnektoren können sie diese Assets im Laufe der Zeit leicht nachverfolgen und die vorgenommenen und implementierten Sicherheitsänderungen messen.
Möchten Sie mehr lesen?
Laden Sie die vollständige Fallstudie herunter