Das Dokument behandelt die Vor- und Nachteile traditioneller netzwerkbasierter Scans im Vergleich zu agentenbasiertem Scanning zur Verbesserung der Sicherheit in Unternehmen. Es beschreibt einen 2-Phasen-Ansatz mit Agenten, um Sicherheitsrisiken besser zu identifizieren und zu managen, sowie die Notwendigkeit, hybride Ansätze zu nutzen, um Sicherheits- und Geschäftsanforderungen zu balancieren. Empfehlungen beinhalten die Notwendigkeit eines klaren Zielbildes und regelmäßige Überprüfungen der gewählten Strategie.

1. Outpost24 Template
2019
Mit oder ohne Agenten?
Die optimale Strategie finden
Carolin Berger
24 März 2020

2. Wir helfen unseren Kunden sicherer zu werden seit 2001
Full Stack Security Ansatz
Über 2.000 Kunden weltweit
Wir wissen sehr gut wie Technologie ausgenutzt werden kann

3. Outpost24 Template
2019
Unser heutiges Thema
3
• Vor- und Nachteile des traditionellen
Netzwerkscans vs. Agenten
• Wie unser 2 Phasen Ansatz mit Agenten
funktioniert
• Agenten-basiertes Datensammeln
• Optimierung der Risikobetrachtung durch
die Kombination beider Techniken
• Empfehlungen

4. Outpost24 Template
2019
Today’s topic
4
Why risk is the new normal
Adapting to the threat landscape
Bringing in the business context
Business aligned remediation
Takeaways
Meine Sichtweise:
• Business Perspektive
• Mit etwas Technologie

5. Outpost24 Template
2019Security Assessment
Was wollen wir erreichen?

6. Was sollen Security Assessments erreichen?
• Richtlinien / Interne Vorgaben
• Gesetzliche Vorgaben (Compliance)
• Unabhängige Prüfung / Auditierung
• Verifizierung von Dritten / Externen

7. 77
Security Assessment
Klassifizieren
Bearbeitung der Rohdaten um
relevante Datenstrukturen zu erhalten
Report
Aufbereitung der Daten für ein bestimmtes Element
im Netzwerk oder das gesamte Netzwerk
Kontinuierliches Monitoring
Regelmäßige Überprüfung um Änderungen zu
übernehmen
Korrelieren
Abgleich mit historischen Daten um
Anomalien, Trends und Risiken zu
erkennen
Meldungen
Automatisierte Meldungen
basierend auf der Konfiguration /
Vorgaben des Systems
Finden
Starten mit den Rohdaten

8. Was wollen wir wissen?
9
Wer kann
Sicherheitsrisiken
des Assets
beheben?
Welches
Sicherheitsrisiko
stellt dieses
Asset für meine
Organisation
dar?
Was läuft auf
dem Asset?
Wie kann es
beurteilt
werden?
Wo ist das Asset?

9. Welches Ergebnis wollen wir erzielen?
• Verbesserung des Risikoprofils des Unternehmens
• Erfüllung interner Vorgaben und Richtlinien
• Erfüllung externer / gesetzlicher Vorgaben und Standards*
• Dokumentation gegenüber Dritten
10
*Security Standards sind immer Minimum-Vorgaben. Diese zu
erfüllen führt niemals zu einer maximalen Sicherheit

10. Outpost24 Template
2019Vor- und Nachteile
Traditionelle Netzwerkscans vs. Agenten

11. Netzwerkbasiertes Vulnerability Scanning
12
Respond
Request
VM
Scanner
• Liste von Aktivitäten
• Liste mit Informationen die gesammelt werden
• Scanner sendet Requests, Endgerät sendet Response
Netzwerkverbindung benötigt während des Scans

12. Vorteile des netzwerkbasierten Vulnerability Scanning
• Optimierte Sichtbarkeit
• „Gesehen. Gescannt.“
• Keinerlei Maintenance Aufwände
• Authenticated und Unauthenticated Scans
• Änderungen in Richtlinien (Policy) sind unmittelbar gültig
13

13. Agentenbasiertes Vulnerability Scanning
14
Request VM
Scanner
Installation
Netzwerkverbindung nur zum Report der Ergebnisse
Respond

14. Vorteile des agentenbasierten Vulnerability Scanning
• “Martini” Scanning (Anytime, Any Place, Anywhere)
• Weniger Netzwerklast durch das Scannen
• Ideal für ein dynamisches Netzwerk
• Ideal für Organisationen mit vielen „Remote“ Arbeitsplätzen
• Kann in den „Build“ Prozess integriert werden
• Keine Zugangsdaten / PAM Integration notwendig
• Optimale ‘Zero-Trust’ Unterstützung
15

15. 16
• Zentralisierung
• Scanner fordert die Informationen an
• Endgerät sendet Informationen
• Scanner verarbeitet die Daten
• Erzeugung eines „Blueprint“
Gemeinsame Vorteile

16. • Netzwerklast
• Nicht verbundene Endpoints sind
unsichtbar
• Erzeugt üblicherweise sehr viele
„Commodity“ Elemente
• Komplizierte Architektur
• Änderungen im Netzwerk müssen
fortlaufend abgebildet werden
17
• Agenten können nicht überall
installiert werden
• Erfordert Maintenance
• Last auf den Endgeräten
• Sicherheitsbedenken
• Oh nein – NOCH ein Agent
Und die Nachteile…
Netzwerkbasiert Agentenbasiert

17. Outpost24 Template
2019Agentenbasiert oder Netzwerkbasiert
Welche Ansatz ist für mich der Richtige?

18. Starten Sie mit dem: WARUM?
• Was soll geschützt werden?
1. Perimeter
2. User Netzwerke
3. Server/Netzwerk Infrastruktur
• Gibt es Limitierungen im Netzwerk?
• Gibt es Limitierungen in den Endgeräten?
• Gibt es ein bestimmtes Problem das adressiert werden muss?

19. Was wollen wir wissen?
20
Wer kann
Sicherheitsrisiken
des Assets
beheben?
Welches
Sicherheitsrisiko
stellt dieses
Asset für meine
Organisation
dar?
Was läuft auf
dem Asset?
Wie kann es
beurteilt
werden?
Wo ist das Asset?

20. Ich möchte meine Serverinfrastruktur scannen
21
VM
Scanner

21. Ich möchte User-Endgeräte scannen
22
VM
Scanner

22. “Defense in Depth”
23
VM
Scanner
Netzwerkbasiert
• Server Infrastruktur
• Netzwerk Infrastruktur
Agentenbasiert
• Mobile Endgeräte
• Adhoc Server Infrastruktur

23. Was muss ich noch im Blick haben?
• Cloud Infrastruktur
• Container Infrastruktur
• Mobile Geräte (Smartphones)
• IoT Endgeräte
24

24. Outpost24 Template
2019Empfehlungen…
25

25. • Das „Warum“ ist ausschlaggebend
• Klares Zielbild was mit dem Scan
erreicht werden soll
• Alle Ansätze haben Vor- und Nachteile:
es gibt kein Falsch und Richtig
• Hybride Ansätze helfen Sicherheits-
und Geschäftsanforderungen optimal
zu balancieren
• Regelmäßige Überprüfung der
Strategie
Empfehlungen

26. Outpost24 Template
2019
Carolin Berger
cbe@outpost24.com
Fragen?