Eine Konfiguration geändert. Niemand hat es bemerkt.

Wo die Lücke tatsächlich entsteht

Ein Registrierungswert ändert sich an einem Domänencontroller um 2:14 Uhr. Einer Datei in /etc/ssh/sshd_config wird eine einzelne Zeile hinzugefügt. Eine Firewall-ACL an einem Switch in einer Regionalniederlassung erhält eine neue Erlaubnisregel. Keiner dieser Vorgänge löst einen SIEM-Alarm aus. Keiner von ihnen verursacht Schäden. Keiner erscheint in einem Schwachstellenscan, da der Scanner gestern lief und erst nächste Woche wieder ausgeführt wird.

Die Lücke ist offen. Der Angreifer liest sie vor dir, weil er genau danach sucht, die kleine Abweichung, die nicht protokollierte Änderung, die Drift, die niemandem gehört.

Deshalb funktioniert file integrity monitoring als nachträglicher Gedanke nicht. Ereignisprotokolle zu ziehen und nach 4663 zu suchen, ist wie ein Spiel mit Verzögerung zu schauen. Du drückst nicht. Du reagierst. Die Abweichung muss auf der I/O-Ebene erkannt werden, in dem Moment, in dem sie passiert, anhand einer Basislinie, der du wirklich vertraust.

Die Presse, im Kernel

Der Gen 7 Agent unter Windows registriert einen Minifilter-Treiber beim Filter Manager auf Höhe 388790. Jede Datei-E/A-Operation (Erstellen, Schreiben, Löschen, Umbenennen, Attributänderung) läuft durch den Filterstapel, und der Treiber protokolliert die Ereignisse, die der Nachverfolgungsvorlage entsprechen, in einem Speicherpuffer. Der Agent fragt den Puffer alle 100 Millisekunden ab. Keine Dateisperren. Keine E/A-Modifikation. Kein Neustart erforderlich, um ihn zu aktivieren.

Das ist der Pressvorgang. Du wartest nicht darauf, dass ein Log geleert wird. Du fragst nicht alle fünf Minuten das Dateisystem ab und hoffst, dass dazwischen nichts passiert ist. Du bist direkt am I/O-Pfad angeschlossen, liest jede Berührung in Echtzeit und vergleichst sie mit der von dir definierten Form.

Unter Linux verwendet der Gen 7 Agent Sysdig, um dieselbe Tiefe, Änderungen der Dateiintegrität und die dahinterstehende Benutzeridentität zu erfassen. Wer die Änderung vorgenommen hat. Nicht nur, was sich geändert hat. Denn „jemand hat /etc/pam.d/sshd geändert“ ist nur halb eine Warnung. „Das Dienstkonto svc-backup hat /etc/pam.d/sshd um 02:14 aus einer Sitzung außerhalb des Wartungsfensters geändert“ ist eine Entscheidung.

Agentenfreie Abdeckung übernimmt den Rest. Netzwerkgeräte über SSH. Windows-Hosts über die Remote-Registry auf Port 445. Linux und Unix über Shell. ESXi und vCenter über PowerCLI. Cloud-Plattformen über Anbieter-APIs. Eine einheitliche Basislinie über die gesamte Backline, nicht neun verschiedene Tools, die neun verschiedene Positionen überwachen.

Den Kreis schließen

Echtzeit-Erkennung ohne Kontext ist wie ein Mittelfeldspieler, der jeden Spieler foult, der vorbeiläuft. Nach zwanzig Minuten bist du nur noch zu zehnt und die Bank schreit.

Die meisten Änderungen in einer realen Umgebung sind legitim. Patches werden eingespielt. Administratoren erledigen administrative Aufgaben. Geplante Jobs greifen auf Dateien zu. Ein FIM-Tool, das bei jedem dieser Fälle anschlägt, ist Rauschen, und Rauschen wird ignoriert, und ignoriert zu werden ist schlimmer als nichts – jetzt haben Sie ein Tool und ein falsches Sicherheitsgefühl.

Change Tracker gleicht jede erkannte Änderung mit dem ab, was hätte passieren sollen. Der Sync Service zieht genehmigte Änderungsanfragen aus ServiceNow, BMC Remedy, Cherwell, ManageEngine, ChangeGear, OpenText SMAX und Samanage. Jede RFC wird zu einer geplanten Änderung mit einem geplanten Zeitfenster, einem Konfigurationselement und im Fall von ServiceNow dem Feld AssignedTo, sodass Ereignisse darauf abgestimmt werden können, wer die Änderung hätte vornehmen sollen, nicht nur wann. Erkannte Ereignisse werden anhand des Regelwerks der geplanten Änderung bewertet und klassifiziert.

Geplant. Bestätigt. Gefiltert.

Ungeplant. Aufgedeckt. Untersucht.

Das ist der geschlossene Kreislauf. Zu wissen, welche Läufe Köder sind und welche die tatsächliche Bedrohung darstellen, und sich nur auf die wichtigen zu konzentrieren.

Wenn kein Ticket vorliegt, wenn die Änderung keine passende RFC und keine dokumentierte Begründung hat, kann Change Tracker den Vorfall automatisch in ServiceNow weiterleiten, der an den Eigentümer des Konfigurationselements gerichtet ist. Die unautorisierte Änderung erzeugt das Arbeitselement, das sie behebt. Der Druck gewinnt nicht nur den Ball. Er startet den Zähler.

Die Basislinie ist die Ausbildung

Eine Viererkette ohne Form ist einfach nur vier Leute, die auf einem Feld stehen. Erkennung ohne Basislinie ist dasselbe. Du kannst keine Abweichung erkennen, wenn du das Normale nicht definiert hast.

Die Funktion Baseline-Konfiguration behandelt dies wie ein Trainer eine taktische Aufstellung behandelt. Wählen Sie ein Quellgerät: Ihr Gold-Image, Ihren gehärteten Referenz-Build. Erfassen Sie dessen Zustand. Dateiintegrität. Installierte Software. Laufende Prozesse. Dienste und deren Status. Lokale Konten. Offene Ports. Registrierungsschlüssel unter Windows. Die Baseline wird zur Formation, und jedes andere Gerät in der Gruppe wird daran gemessen. Abweichungen erscheinen als Ausnahme. Ausnahmen werden überprüft. Genehmigte Abweichungen werden zur Baseline befördert. Nicht genehmigte Abweichungen werden behoben.

Das ist, was NERC CIP-010-4 und 5 wollen, wenn sie über autorisierte Basiskonfigurationen und 35-tägige Änderungsüberwachung sprechen. Es ist, was die Anforderung 11.5 von PCI DSS will, wenn sie über Änderungsdetektionsmechanismen spricht. Es ist, was CIS Control 4 will, wenn es um die sichere Konfiguration von Unternehmensressourcen geht. Die Frameworks beschreiben alle dasselbe mit unterschiedlichen Worten: die Form definieren, die Form halten, die Abweichung sichtbar machen. Change Tracker ist genau um diese Schleife herum aufgebaut, mit über 250 vorgefertigten Compliance-Berichten, die die Baseline auf das Framework abbilden, das der Auditor im März anfragen wird.

Nichts bewegt sich ohne Aufzeichnung

Das Dashboard ist grün. Tickets sind überschaubar. Das Team fühlt sich wohl.

Das ist der gefährlichste Moment im Spiel.

Irgendwo in Ihrer Umgebung hat sich gerade etwas geändert. Die Frage ist nicht, ob Ihre Tools es schließlich bemerkt haben. Die Frage ist, wie viele Durchgänge der Angreifer zwischen dem Moment, in dem die Lücke entstand, und dem Moment, in dem Ihre Erkennung tatsächlich ausgelöst wurde, abgeschlossen hat.

Drücken Sie früher. Lesen Sie das Spiel zum Zeitpunkt der Veränderung. Definieren Sie die Form, halten Sie die Form und stellen Sie sicher, dass sich nichts ohne Aufzeichnung bewegt.

Das ist der Job. Das ist der Standard. So verteidigst du, was dir gehört.