RSoP-basierte Indicators of Exposure

Tenable Identity Exposure verwendet eine Reihe von Indicators of Exposure (IoEs), die auf einem resultierenden Richtliniensatz (Resultant Set of Policy, RSoP) basieren, um die Sicherheit und Compliance verschiedener Aspekte zu bewerten und sicherzustellen. Dieser Abschnitt enthält Informationen über das aktuelle Verhalten bestimmter RSoP-basierter IoEs und darüber, wie Tenable Identity Exposure Leistungsprobleme im Zusammenhang mit den Berechnungen dieser IoEs angeht.

Die folgenden RSoP-basierten IoEs spielen im Sicherheits-Framework von Tenable Identity Exposure eine Rolle:

  • Login-Beschränkungen für privilegierte Benutzer

  • Gefährliche sensible Berechtigungen

  • Anwendung von schwachen Passwortrichtlinien auf Benutzer

  • Unzureichende Härtung gegen Ransomware

  • Nicht abgesicherte Konfiguration des Netlogon-Protokolls

Diese IoEs stützen sich auf einen Cache mit RSoP-Berechnungsergebnissen, der bei Bedarf initialisiert wird. Für die Berechnungen werden auf Anfrage hinzugefügte Werte verwendet, anstatt sich auf bereits vorhandene Werte zu verlassen. Bisher führten Änderungen an AdObjects dazu, dass der Cache ungültig gemacht wurde, sodass häufige Neuberechnungen während der RSoP-Ausführungen des IoE erforderlich wurden.

Die mit RSoP-Berechnungen verbundenen Leistungsbeeinträchtigungen werden in Tenable Identity Exposure wie folgt behoben:

  1. Live-IoE-Analyse mit potenziell veralteten Daten – Die Berechnung (Eingabe-/Ausgabe-Ereignis) von RSoP-basierten IoEs erfolgt in Echtzeit, sobald die Ereignisse eintreten, auch wenn für die Verarbeitung möglicherweise nicht die neuesten Daten verwendet werden. Gepufferte Ereignisse, die den RSoP-Cache potenziell ungültig machen können, bleiben gespeichert, bis sie eine bestimmte Bedingung erfüllen und die erwartete Berechnung veranlassen.

  2. Geplante RSoP-Invalidierung – Wenn die Bedingung für die Neuberechnung erfüllt ist, macht das System den RSoP-Cache ungültig, wobei gepufferte Ereignisse während der Invalidierung berücksichtigt werden.

  3. Erneute Ausführung von IoEs mit aktuellem Cache – Nach der Cache-Invalidierung werden IoEs mit der neuesten Version des AdObject aus dem Cache erneut ausgeführt, wobei gepufferte Ereignisse berücksichtigt werden. Tenable Identity Exposure berechnet jeden IoE für jedes gepufferte Ereignis einzeln.

Aus diesen Gründen führt die optimierte Berechnungsdauer für RSoP-basierte IoEs dazu, dass Abweichungen im Zusammenhang mit dem RSoP langsamer berechnet werden.

Verbesserungen

In Tenable Identity Exposure wurden Änderungen an Indicators of Exposure bezüglich RSoP-Aufgaben implementiert, um deren Gesamtleistung und Reaktionsfähigkeit zu verbessern.

  • Intelligentere Sicherheitsprüfungen – Die Durchführung bestimmter Sicherheitsprüfungen (so genannter RSoP-Prüfungen) wurde neu gestaltet, um Systemverlangsamungen zu reduzieren.

  • Adaptive Planung – Das System wählt anhand der aktuellen Workload automatisch die besten Zeiten für die Ausführung dieser Prüfungen.

  • Überlastungsschutz – Wir haben neue Maßnahmen implementiert, um eine Systemüberlastung in Stoßzeiten zu verhindern.

  • Sicherheitsanalyse für GPO-Dateien – Indicators of Exposure, mit denen die Sicherheit von GPO-Dateien analysiert wird, werden jetzt alle 30 Minuten verarbeitet, anstatt in Echtzeit wie andere IoEs.

Vorteile

  • Kürzere Reaktionszeiten – Durch die Optimierung unseres Prozesses für Sicherheitsprüfungen sollten Sie schnellere Systemreaktionen feststellen, insbesondere zu Spitzenzeiten.

  • Verbesserte Zuverlässigkeit – Die neue adaptive Planung sorgt dafür, dass wichtige Sicherheitsprüfungen Ihre Arbeit nicht beeinträchtigen.

  • Reibungsloseres Erlebnis – Dank eines besseren Überlastungsschutzes sollte das System auch bei starker Beanspruchung eine konstante Leistung erbringen.

  • Verbesserte Plattformstabilität – Von diesen Änderungen werden besonders Clients mit hoher AD-Aktivität profitieren, da sie für eine konstantere Leistung sorgen.

Technische Aspekte

  • RSoP-Prüfungen und Sicherheitsanalysen für GPO-Dateien werden in regelmäßigen Abständen anstatt in Echtzeit ausgeführt.

  • Alle 30 Minuten bewertet die Plattform ihre Arbeitslast. Wenn feststellt wird, dass eine Analyse durchgeführt werden kann, wird der Vorgang fortgesetzt. Andernfalls wird gewartet, bis die Auslastung abnimmt.

  • Implementierung eines Algorithmus zur Erkennung einer Systemüberlastung unter Berücksichtigung von Faktoren wie Länge der Nachrichtenwarteschlange und Verarbeitungstrends.

  • Während Überlastungszeiten werden nicht-kritische Prüfungen verschoben, um die Reaktionsfähigkeit des Systems aufrechtzuerhalten.