Verwendung der Mac Endpoint-Telemetrie für die Compliance mit regulatorischen Frameworks

Die Anfang des Jahres veröffentlichte, aktualisierte Mac Endpoint Telemetriefunktion bietet Organisationen aussagekräftige und umsetzbare Einblicke, um sie bei Compliance-Audits, Untersuchungen von Vorfällen, der Suche nach Bedrohungen und IT-Operationen zu unterstützen. Dieser Blogbeitrag konzentriert sich auf Governance und Compliance und zeigt, wie die Telemetrie von Jamf Unternehmen dabei unterstützt, Telemetriedaten, die Teil der Daten sind, die zur Einhaltung wichtiger Compliance-Rahmenbedingungen erforderlich sind, einfach zu konfigurieren und zu erfassen.

Was bedeutet Governance und Compliance im IT-Bereich?

Governance ist ein System, ähnlich wie Frameworks, das die Kriterien für Konfigurationen, Funktionen und/oder Prozesse festlegt, die erforderlich sind, um ein Mindestmaß an Datensicherheit basierend auf branchenweit anerkannten Standards zu erreichen.

Compliance ist der Akt der Erfüllung der Governance (sowohl interner als auch externer Standards) durch die Implementierung von Kontrollen, die Konfiguration von Hardware/Software und die Umsetzung von Prozessen innerhalb der Vorgaben zum Schutz von Daten, zum Schutz des Datenschutzes und zur Gewährleistung der Audit-Bereitschaft.

Gemeinsam stützen sie sich auf verwertbare Erkenntnisse aus der Mac Endpoint-Telemetrie, um Anomalien zu erkennen, Richtlinien durchzusetzen und die Einhaltung interner und externer Anforderungen zu belegen.

Warum sind Governance und Compliance im IT-Bereich so wichtig?

Governance und Compliance sind für Organisationen von entscheidender Bedeutung, um sensible Daten zu schützen, etwaige Lücken im Sicherheitsstatus der Organisation zu erkennen und das Risiko finanzieller Schäden oder Reputationsschäden zu verringern. Eine starke Governance sorgt dafür, dass Richtlinien durchgesetzt werden, um Risiken zu minimieren, während die Compliance die Einhaltung externer Richtlinien und interner Standards belegt, um Strafen oder Verstöße zu vermeiden.

Zum Beispiel:

• Bedrohungen durch Insider verhindern: Die Protokollierung der Nutzeraktivitäten und der Ausweitung von Berechtigungen hilft Organisationen bei der Erkennung von und Reaktion auf unbefugte Aktionen und erfüllt Frameworks wie NIST 800-53 und ISO 27001.
• Ermöglichung der Audit-Bereitschaft: Die Erfassung von Systemaktivitäten und Konfigurationsänderungen stellt sicher, dass Organisationen die Compliance mit PCI DSS- und HIPAA-Audits nachweisen können.
• Verringerung der Auswirkungen von Sicherheitsverletzungen: Durch die Verfolgung von Anomalien und die Durchsetzung von Richtlinien mittels Telemetrie können Organisationen fortschrittliche Bedrohungen frühzeitig erkennen und Störungen minimieren.

Governance und Compliance sind nicht nur Verpflichtungen - sie sind der Schlüssel zur Aufrechterhaltung eines sicheren und effizienten Betriebs.

Was sind Compliance-Frameworks?

Es gibt mehrere gängige Frameworks für Cybersicherheit, die Organisationen in allen Branchen und Regionen einhalten müssen oder anstreben. Die Endpoint-Telemetrie von Jamf bietet Organisationen einen Einblick in den aktuellen Zustand der Geräte. Diese wichtigen Daten sind nützlich, wenn es darum geht, Sicherheitskonfigurationen mit den Anforderungen dieser Compliance-Frameworks in Einklang zu bringen. Die folgende Liste ist nicht erschöpfend, enthält aber Informationen über die gängigsten Frameworks.

Regulatorische Compliance-Frameworks

Diese Frameworks sind an gesetzliche oder branchenspezifische Vorschriften gebunden und verlangen in der Regel, dass Unternehmen bestimmte Anforderungen erfüllen, um den Datenschutz, den Schutz der Privatsphäre oder die betriebliche Integrität zu gewährleisten. Die Einhaltung dieser Frameworks ist obligatorisch.

• Executive Order 14028 (M-21-31) in den Vereinigten Staaten für den Sektor der Bundesregierung
• HIPAA / HITRUST CSF in den Vereinigten Staaten für das Gesundheitswesen und den Sektor der Serviceanbieter
• PCI DSS, ein globales Framework für die Zahlungsabwicklung
• SOC, ein globales Framework für Serviceanbieter

Sicherheitsgrundlagen und Benchmarks

Diese Frameworks oder Anforderungen bieten verbindliche technische Kontrollen oder Best Practises zur Sicherung von IT-Systemen und werden häufig als Referenz zur Erreichung umfassenderer Compliance-Ziele verwendet. Je nach Organisation und Sektor sind diese Frameworks entweder obligatorisch oder optional.

• ISO 27001/2, ein globaler Standard, für alle Sektoren
• NIST 800-53 in den Vereinigten Staaten (aber mit Einfluss auf andere Länder) für die Regierung und den privaten Sektor
• NIST 800-171 in den Vereinigten Staaten (aber mit Einfluss auf andere Länder) für die Regierung, Auftragnehmer des Verteidigungssektors und verwandte Regierungs- oder Verteidigungsbehörden oder Unternehmen
• CNSSI 1253 für die nationalen Sicherheitssysteme der Regierung der Vereinigten Staaten
• DISA STIG in den Vereinigten Staaten für Militär- und Verteidigungsunternehmen
• CIS Level 1 und 2, ein globaler Benchmark, für alle Sektoren

Reifegradmodelle für die Sicherheit

Diese Frameworks betonen die Verbesserung der Cybersicherheitslage einer Organisation durch schrittweise Empfehlungen, die sich auf Widerstandsfähigkeit und Anpassungsfähigkeit konzentrieren.

• CMMC-Stufen 1 und 2 in den Vereinigten Staaten für Rüstungsunternehmen
• Essential 8 in Australien für alle Branchen
• Australisches ISM in Australien für die Regierung und den privaten Sektor
• Cyber Essentials im Vereinigten Königreich für die Regierung und den privaten Sektor
• ENISA Framework in der Europäischen Union für kritische Infrastrukturen (wie Energie, Telekommunikation und Verkehr)

Wie hilft die Mac Endpoint-Telemetrie von Jamf?

Da wir nun wissen, welche Governance- und Compliance-Frameworks existieren, lautet die nächste Frage: Welche Vorteile bringt die Mac Endpoint-Telemetriefunktion von Jamf? Die Mac Endpoint-Telemetrie von Jamf umfasst Telemetriekategorien, die Sicherheitsteams einfach konfigurieren und protokollieren können. Im Folgenden werden wir uns die allgemeinen Anforderungen ansehen, warum sie wichtig sind, die Frameworks für die einzelnen Anforderungen und die Telemetriekategorie, die zur Erfüllung der Anforderungen beiträgt.

Einen ausführlichen Überblick über die Kategorien, die bei der Erstellung einer Telemetriekonfiguration zu erfassen sind, finden Sie in unserer technischen Dokumentation .

Ausführung und Rückverfolgbarkeit von Prozessen

Bei der Prozessausführung und -rückverfolgbarkeit geht es um die Erfassung von Details zu ausgeführten Prozessen, deren Ursprüngen, wie sie zueinander in Beziehung stehen und der Codeintegrität. Protokolle über die Prozessausführung sind für die Erkennung nicht autorisierter Prozesse, die Identifizierung von Malware und die Rekonstruktion des Verhaltens von Angreifern unerlässlich. Organisationen, die die Konformität mit NIST SP 800-53, EO14028 (M-21-31), PCI DSS und Essential 8 erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Authentifizierung und Zugang

Zur Authentifizierung und zum Zugang gehört die Aufzeichnung von Ereignissen zur Authentifizierung von Nutzer:innen, einschließlich An- und Abmeldungen, fehlgeschlagener Versuche und des Zugangs aus der Ferne (z. B. SSH und Bildschirmfreigabe). Organisationen benötigen Protokolle über erfolgreiche und erfolglose Authentifizierungen, um Richtlinien zur Zugangskontrolle durchzusetzen, nicht autorisierte Versuche zu tracken und Compliance-Audits zu unterstützen. Organisationen, die die Konformität mit NIST SP 800-53, EO 14028 (M-21-31), HIPAA, PCI DSS und Cyber Essentials erreichen müssen, müssen diese Art von Telemetrie aufzeichnen.

Erweiterung der Berechtigungen und administrative Aktionen

Die Erweiterung von Berechtigungen und administrative Aktionen umfassen die Überwachung von Ereignissen, bei denen Nutzer:innen ihre Berechtigungen erweiteren (z. B. sudo) oder administrative Aktionen durchführen (z. B. Benutzersubstitution, kritische Systemänderungen). Die Verwaltung und Verfolgung von Berechtigungen ist entscheidend für die Erkennung des Missbrauchs erweiterter Berechtigungen und die Bereitstellung forensischer Erkenntnisse über Aktionen. Organisationen, die die Konformität mit NIST SP 800-53, EO14028 (M-21-31), PCI DSS und DISA STIG erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Verwaltung von Nutzer:innen und Gruppen

Bei der Nutzer- und Gruppenverwaltung werden Änderungen an Nutzer- und Gruppenkonfigurationen protokolliert, einschließlich der Erstellung, Löschung und Änderung von Konten und Attributen (z. B. Passwort). Organisationen benötigen häufig Einblick in die Lebenszyklusereignisse von Konten, um das Prinzip der geringsten Berechtigungen einzuhalten und unbefugten Zugriff zu verhindern. Organisationen, die die Konformität mit NIST SP 800-53, EO 14028 (M-21-31), ISO/IEC 27001 und CMMC erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Persistenzmechanismen

Persistenzmechanismen umfassen die Überwachung der Erstellung oder Entfernung von Technologien, die von Bedrohungsakteuren zur Erreichung der Persistenz eingesetzt werden, wie LaunchAgents, LaunchDaemons oder andere Aufgaben auf Systemebene. Es hilft dabei, heimliche, langfristige Angriffspunkte in macOS Systemen zu erkennen. Organisationen, die die Konformität mit NIST SP 800-53, EO 14028 (M-21-31) und DISA STIG erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Volume-Mounts und Anschluss von Geräten

Bei Volume-Mounts und beim Anschluss von Geräten werden Ereignisse protokolliert, bei denen Volumes gemountet/unmountet oder externe Geräte (z. B. USB-Laufwerke, Netzwerkgeräte) angeschlossen werden. Es hilft Organisationen, Verbindungsprotokolle von Geräten zu sammeln, um die unbefugte Nutzung von Hardware zu verfolgen und die Exfiltration von Daten oder die Installation von Malware zu verhindern. Die Frameworks NIST SP 800-53, EO 14028 (M-21-31) und PCI DSS müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen des jeweiligen Frameworks zu erfüllen.

Integrierte Sicherheitsereignisse

Integrierte Sicherheitsereignisse erfassen Ereignisse von macOS Sicherheitstools (z. B. XProtect) und berichten über Aktionen zur Erkennung und Durchsetzung von Malware. Es unterstützt Unternehmen, indem es Nachweise für aktive Abwehrmaßnahmen und die Beseitigung von Bedrohungen liefert und so die Anforderungen an den Malware-Schutz erfüllt. Organisationen, die die Konformität mit NIST SP 800-53, EO 14028 (M-21-31) und Cyber Essentials erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Änderungen an der Systemkonfiguration

Änderungen der Systemkonfiguration überwachen Änderungen an Systemeinstellungen, wie z. B. Profilinstallationen, VPN-Konfigurationen und Kernel Extensions. Es hilft bei der Durchsetzung von Richtlinien zur Systemhärtung und bei der Identifizierung nicht autorisierter Abweichungen. Organisationen, die die Konformität mit NIST SP 800-53, EO 14028 (M-21-31) und DISA STIG erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Diagnose- und Absturzberichte

Diagnose- und Absturzberichte sammeln Diagnose- und Absturzprotokolle von integrierten und Drittanbieter-Apps. Diese Protokolle helfen dabei, Stabilitätsprobleme, fehlgeschlagene Angriffsversuche oder Fehlkonfigurationen von Anwendungen zu erkennen. Organisationen, die die Konformität mit NIST SP 800-55, EO 14028 (M-21-31) und ISO/IEC 27001 erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Anwendungsleistung und Ressourcennutzung

Anwendungsleistung und Ressourcennutzung protokolliert Leistungskennzahlen wie CPU-Nutzung, Energieeffizienz und Ressourcenverbrauch durch Prozesse und/oder Apps. Die Überwachung der App-Leistung hilft bei der Erkennung von Anomalien wie dem Hijacking von Ressourcen (z. B. Kryptojacking) und der Optimierung der Systeme im Hinblick auf die betriebliche Effizienz. Organisationen, die die Konformität mit NIST SP 800-53, ISO/IEC 27001 und Essential 8 erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Benutzerdefinierte Erfassung von Protokolldateien

Die benutzerdefinierte Erfassung von Protokolldateien überwacht und berichtet über System- und Drittanbieter-Protokolldateien für bestimmte Anwendungsfälle. Durch die Erfassung benutzerdefinierter Protokolldateien können Unternehmen bestimmte Workflows oder Compliance-kritische Prozesse über die Standardtelemetrie hinaus überwachen. Organisationen, die die Konformität mit NIST SP 800-53, ISO/IEC 27001 und Essential 8 erreichen müssen, müssen diese Telemetrie protokollieren, um die Protokollierungsanforderungen jedes Frameworks zu erfüllen.

Wichtige Erkenntnisse zu den Kategorien der Mac Endpoint-Telemetrie

Jamf bietet IT- und Sicherheitsteams die Möglichkeit, bestimmte Telemetriekategorien einfach zu konfigurieren. Für jede Kategorie können die Admins die gewünschten Telemetriedaten erfassen. Welche Kategorien sind das?

• Anwendung und Prozesse protokolliert die Ausführung von Prozessen mit Vererbung (Eltern-Kind-Beziehungen) und trackt die Details der Code-Signaturdetails zur Validierung
• Zugang und Authentifizierung erfassen detaillierte Protokolle von Versuchen der Berechtigungserweiterung und von administrativen Aktionen, die mit Nutzer:innen und zugehörigen Verfahren verknüpft sind, um die Rückverfolgbarkeit zu gewährleisten.
• Nutzer und Gruppen protokolliert alle Änderungen an Nutzer- und Gruppenkonfigurationen (z. B. Erstellung, Gruppenänderungen) und korreliert diese mit anderen Telemetriedaten (z. B. Erweiterung von Berechtigungen).
• Persistenz erkennt neue oder geänderte Persistenzmechanismen und bietet Sichtbarkeit in macOS-spezifische Vektoren.
• Hardware und Volumen verfolgt das Ein- und Aushängen von externen Volumes und die Verbindung von Geräten, um die unbefugte Nutzung von Hardware zu erkennen.
• Apple Sicherheit erfasst Ereignisse von den integrerten Sicherheitstools auf Mac Geräten.
• Das System erfasst sensible Konfigurationsänderungen (z. B. die Installation von Konfigurationsprofilen oder das Laden von Kernel Extensions) und stellt sicher, dass Organisationen Sicherheitseinstellungen validieren und Abweichungen erkennen können.
• Diagnose- und Absturzberichte erfassen Diagnoseberichte und Absturzereignisse und verknüpfen sie mit Prozessen oder Nutzer:innen für die forensische Analyse.
• Leistungskennzahlen verfolgen die Effizienz von Apps und unterstützen Organisationen bei der Aufrechterhaltung der Betriebsleistung und Ausfallsicherheit.

Erste Schritte mit Jamfs Mac Endpoint-Telemetrie

Mac Endpoint-Telemetrie deckt ein breites Spektrum von Anwendungsfällen für Organisationen ab, die mehr Sichtbarkeit in ihrer Mac Umgebung benötigen. Die Mac Endpoint-Telemetrie von Jamf bietet unvergleichliche Transparenz und liefert genauere, zuverlässigere und umsetzbare Erkenntnisse, um Ihre Compliance-, Sicherheits- und IT-Anforderungen zu erfüllen.