RSoP-basierte Indicators of Exposure

Tenable Identity Exposure verwendet eine Reihe von Indicators of Exposure (IoEs), die auf einem resultierenden Richtliniensatz (Resultant Set of Policy, RSoP) basieren, um die Sicherheit und Compliance verschiedener Aspekte zu bewerten und sicherzustellen. Dieser Abschnitt enthält Informationen über das aktuelle Verhalten bestimmter RSoP-basierter IoEs und darüber, wie Tenable Identity Exposure Leistungsprobleme im Zusammenhang mit den Berechnungen dieser IoEs angeht.

Die folgenden RSoP-basierten IoEs spielen im Sicherheits-Framework von Tenable Identity Exposure eine Rolle:

  • Login-Beschränkungen für privilegierte Benutzer

  • Gefährliche sensible Berechtigungen

  • Anwendung von schwachen Passwortrichtlinien auf Benutzer

  • Unzureichende Härtung gegen Ransomware

  • Nicht abgesicherte Konfiguration des Netlogon-Protokolls

Diese IoEs stützen sich auf einen Cache mit RSoP-Berechnungsergebnissen, der bei Bedarf initialisiert wird. Für die Berechnungen werden auf Anfrage hinzugefügte Werte verwendet, anstatt sich auf bereits vorhandene Werte zu verlassen. Bisher führten Änderungen an AdObjects dazu, dass der Cache ungültig gemacht wurde, sodass häufige Neuberechnungen während der RSoP-Ausführungen des IoE erforderlich wurden.

Die mit RSoP-Berechnungen verbundenen Leistungsbeeinträchtigungen werden in Tenable Identity Exposure wie folgt behoben:

  1. Live-IoE-Analyse mit potenziell veralteten Daten – Die Berechnung (Eingabe-/Ausgabe-Ereignis) von RSoP-basierten IoEs erfolgt in Echtzeit, sobald die Ereignisse eintreten, auch wenn für die Verarbeitung möglicherweise nicht die neuesten Daten verwendet werden. Gepufferte Ereignisse, die den RSoP-Cache potenziell ungültig machen können, bleiben gespeichert, bis sie eine bestimmte Bedingung erfüllen und die erwartete Berechnung veranlassen.

  2. Geplante RSoP-Invalidierung – Wenn die Bedingung für die Neuberechnung erfüllt ist, macht das System den RSoP-Cache ungültig, wobei gepufferte Ereignisse während der Invalidierung berücksichtigt werden.

  3. Erneute Ausführung von IoEs mit aktuellem Cache – Nach der Cache-Invalidierung werden IoEs mit der neuesten Version des AdObject aus dem Cache erneut ausgeführt, wobei gepufferte Ereignisse berücksichtigt werden. Tenable Identity Exposure berechnet jeden IoE für jedes gepufferte Ereignis einzeln.

Aus diesen Gründen führt die optimierte Berechnungsdauer für RSoP-basierte IoEs dazu, dass Abweichungen im Zusammenhang mit dem RSoP langsamer berechnet werden.