CMDB und Inventory Management - Bedeutung im Rahmen des Cyber Security Konzepts
Als unverzichtbare Basis möglichst effizienter und effektiver Information Security Maßnahmen, sei es zur Verhinderung von Angriffen oder zur nachträglichen Analyse, ist ein vollständiges, aktuelles (täglich) und verlässliches Inventory Management einer der wichtigsten Kernbausteine in der Cyber Security Fabrik.
Die besten Werkzeuge zu Abwehr und Analyse nützen wenig, wenn zwar die angegriffene IP Adresse erkannt ist, es dann aber Stunden bis Tage dauert, bis diese einem Gerät, einem Gerätetyp, einem Standort, einem verantwortlichen IT Asset Owner und/oder den zuständigen Support Mitarbeitern zugeordnet werden kann.
In vielen Betrieben existiert bisher nur selten eine umfassende, zentralisiert gespeicherte und täglich aktualisierte Dokumentation über die Geräte, die mit ihren internen Netzen verbunden sind.
Oft verteilen sich die Daten auf viele verschiedene Tools, Datenbanken, Excel Dokumente ohne einheitliches Layout, abgestimmte Informationsstruktur oder geeignete Zugriffsmöglichkeiten. Darüber hinaus sind die Daten oft nachlässig gepflegt hinsichtlich normiertem Inhalt und Aktualität.
Je größer und diversifizierter eine Organisation ist, um so größer ist das daraus resultierende potentielle Sicherheitsrisiko. Offensichtlich wird dieser Mißstand meist erst in dem Moment eines Angriffs. Und davon gab es in den vergangenen Monaten (Stand: Juli 2017) einige weltweit und in großem Umfang.
Meine besondere Dienstleistung in diesem Zusammenhang besteht aus Unterstützung oder komplettem Neu-Aufbau einer CMDB (Configuration Management Database), deren Informationsgehalt von den technischen Basisdaten für Systemadministratoren und Support Personal, über elementare Daten für Einkauf, Datenbank- und Netzwerk Management, Lokationsinformationen bis zu Daten aus aktiven Inventory Scans reicht.
In einem beständigen Kreislauf und gemeinsam mit Stakeholdern / ITAO's einerseits und aktiven Scans andererseits wird in kurzer Zeit ein sehr guter Aktualitätsgrad dieser Daten erreicht und kann so auch dauerhaft gehalten werden.
Quasi en passant kann im Rahmen dieser Inventory Scans auch die Compliance Prüfung hinsichtlich Vorgaben z. B. für geschlossene Ports, Namenskonventionen für hostnames, Zuordnung zu Sub-Netzen etc. stattfinden.
Spezielle Reports über bis dato unbekannte Geräte ermöglichen eine ganze Bandbreite möglicher Reaktionen: von einfacher Stakeholder Suche und Kommunikation bis hin zu automatischer Ticket Generierung im Problem Management und Entzug der DHCP Verbindung ist alles möglich. Gleiches gilt natürlich auch für Geräte, die sich als non-compliant im Scan erweisen.
Meine Dienstleistungen als Stichpunkte:
- Konzeption und Aufbau der CMDB
- vorhandenes Datenmodell als Basis für CMDB, einzelne CI (Configuration Items), Support, ITAO Zuordnung, Procurement
und nicht zuletzt die Inventory Scan Daten inkl. Historisierung der Einträg - Automatisierung der Aktualisierungen und der Imports von Scan Daten
- Export der Daten z. B. an Splunk
- Verknüpfung mit anderen Datenbanken z. B. für die Auswertung von Vulnerability Scans
- vorhandenes Datenmodell als Basis für CMDB, einzelne CI (Configuration Items), Support, ITAO Zuordnung, Procurement
- Konvertierung und Import bereits vorhandener Daten
- Aufbau stakeholder-orienter Prozesse und Kommunikation
- Lieferung entsprechender Auswertungen für IT Security Status Report
- Definition von KPI's im Kontext
- Langzeit Analysen durch die Historienführung (z. B. von MAC Adressen, um MAC Spoofing zu erkennen)
Tätigkeiten in diesem Rahmen biete ich auch als Werkvertrag und auf Festpreisbasis gemeinsam mit Partnern an. Mehr dazu erfahren Sie hier.
Darüber hinaus lässt sich die CMDB mit der Datenbank der Vulnerability Scan Ergebnisse verknüpfen. Daraus ergibt sich dann ein aktuelles, gepflegtes und integres Gesamtbild der Geräte im eigenen Netzwerk.