Attack Surface Management (Verwaltung der Angriffsfläche)

Erfahren Sie, wie Sie Sichtbarkeit in Ihr Netzwerk bekommen und wie Sie es auf Bedrohungen überwachen können.

CAASM-Demo anfordern

Was ist Attack Surface Management? 

Angriffsflächenmanagement (ASM) ist der Prozess, die Sichtbarkeit in einer sich ständig verändernden Netzwerkumgebung aufrechtzuerhalten, damit Sicherheitsteams Schwachstellen schließen und sich gegen aufkommende Bedrohungen verteidigen können. Was ist also eine Angriffsfläche? Es handelt sich um Ihr gesamtes Netzwerk, sowohl lokal als auch extern, und um potenzielle Angriffspunkte, an denen Angreifer Zugang erhalten könnten.

Forrester definiert Attack Surface Management (Verwaltung der Angriffsfläche) als den Prozess der kontinuierlichen Entdeckung, Identifizierung, Inventarisierung und Bewertung der Gefährdung des IT-Ressourcenbestands eines Unternehmens. Basierend auf dem oben Gesagten können wir mit Sicherheit davon ausgehen, dass Sicherheitsteams hier regelmsäßig Schwierigkeiten haben, den Überblick zu behalten und dagegen vorzugehen. Eine eingeschränkte Sichtbarkeit in einer Umgebung bedeutet, dass Sie nicht über alles Bescheid wissen, was der Organisation und dem Unternehmen möglicherweise schaden könnte.

Wenn die Sichtbarkeit eingeschränkt ist, könnte jeder Prozess in der Anwendungsentwicklung gefährdet sein, weil Aspekte wie das Verhalten des Codes in der Produktion nicht überwacht werden können. Vereinfacht ausgedrückt, führt die eingeschränkte Sichtbarkeit der Angriffsoberfläche dazu, dass viele Aspekte des Geschäftsbetriebs und der Sicherheit unzuverlässig sind.

Sicherheitsorganisationen können Angriffsflächen überwachen und verwalten, indem sie Schwachstellen erfassen, Webanwendungen regelmäßig testen, die Abwehr von erkannten Bedrohungen automatisieren und sich einen Überblick über die aktuellsten Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) verschaffen. Es gibt nicht den einen richtigen Weg für die umfassende Verwaltung einer Angriffsfläche, insbesondere nicht in größeren Unternehmen. Durch eine bessere Sichtbarkeit können Sicherheitsteams jedoch besser auf die individuelle Umgebung zugeschnittene Maßnahmen ergreifen und nach geeigneten Lösungen suchen.

Warum ist Attack Surface Management wichtig? 

Attack Surface Management ist wichtig, weil es die Sichtbarkeit, den Kontext und die Priorisierung bietet, die zur Behebung von Schwachstellen erforderlich sind, bevor diese von Angreifern ausgenutzt werden können. Es ist daher von entscheidender Bedeutung für Teams, die ein tieferes Verständnis für ihre wichtigsten Risikobereiche erhalten möchten. Attack Surface Management trägt auch dazu bei, dass die IT-Abteilung, das Sicherheitspersonal und die Führungsebene Kenntnis davon erhalten, welche Bereiche gefährdet sind, damit die Organisation Wege zur Risikominderung finden kann.

Einige Aspekte dieses Prozesses – wie die Schwachstellenanalyse und Penetrationstests – sind Best Practices, mit denen Teams Einblicke und Zusammenhänge darüber gewinnen können, wo Verstöße entlang der Angriffsoberfläche auftreten könnten. Diese umfassende Strategie zur Analyse der Angriffsoberfläche kann das Bewusstsein für sowohl technische als auch prozessbezogene Risiken schärfen.

  • Schwachstellenanalysen: Eine Schwachstellenanalyse erstellt eine Baseline Ihrer Systeme und deren Schwachstellen. So profitieren Sie von fortlaufender Transparenz Ihrer Umgebung und können Stakeholder auf potenzielle Risiken aufmerksam machen. Der Fokus liegt dabei ausschließlich auf der Identifizierung, nicht auf der Ausnutzung. Dieser Schritt kommt als nächstes …
  • Penetrationstests: NIST definiert Penetrationstests als die Durchführung realer Angriffe auf reale Systeme und Daten, wobei die gleichen Tools und Techniken wie bei tatsächlichen Angreifern zum Einsatz kommen. Penetrationstests – auch Pentesting genannt – haben den zusätzlichen Vorteil, einem Unternehmen dabei zu helfen, konform zu bleiben und belastbare Daten darüber zu erhalten, wie sich Angreifer Zugang verschaffen könnten.

Welche Herausforderungen sind mit dem Mapping externer Angriffsflächen verbunden? 

Die Herausforderungen im Zusammenhang mit dem Mapping externer Angriffsflächen sind vielfältig, was aber nicht bedeutet, dass ein kompetentes SOC dafür keine Lösungen findet. Unabhängig davon, ob sich dieses Team an einem Ort befindet oder über die ganze Welt verteilt ist, muss eine global aufgestellte Belegschaft unbedingt ihre moderne Angriffsfläche sichern. Werfen wir einen Blick auf einige der wichtigsten der damit verbundenen Herausforderungen:

Verteilte IT-Ökosysteme

Da der Großteil des Geschäftsbetriebs in der Cloud stattfindet, gibt es keine festen Grenzen mehr wie in den früheren Zeiten der reinen Bereitstellung vor Ort. Die Grenzen verändern und erweitern sich ständig. Vor diesem Hintergrund besteht die Herausforderung verteilter IT-Ökosysteme, die die Clouds eines Unternehmens hosten und beherbergen, in der Schwierigkeit, einen nationalen oder globalen Bereich zu überwachen und zu sichern, der jenseits von Firewalls und anderen Protokollen zum Schutz lokaler Netzwerke liegt.

Getrennt agierende Teams

Beim Versuch, Ihre Angriffsfläche auf entstehende Bedrohungen zu überwachen und zu kartieren, kann die Zusammenarbeit zwischen bisher getrennt arbeitenden Teams eine Herausforderung darstellen. Dies gilt insbesondere dann, wenn diese Teams geografisch verteilt sind, sei es über ein Netzwerk von Remote-Mitarbeitern, regionalen Büros oder einem multinationalen Hauptsitz. Heute liegt der Schwerpunkt verstärkt auf Lösungen, die eine gemeinsame Perspektive und einheitliche Sprache bieten, um diese traditionell voneinander getrennten Teams zusammenzubringen und gemeinsam an dem Ziel der Gefahrenabwehr zu arbeiten.

Ihre externe Angriffsfläche verändert sich ständig 

Da sich bekannte und unbekannte Assets ständig dem Netzwerk anschließen, wächst und verändert sich Ihre Angriffsfläche täglich. Durch die Automatisierung von Abläufen im Rahmen einer effektiven EASM-Strategie (External Attack Surface Management) kann die Zeit verkürzt werden, die zum Sichern von Post-Perimeter-Assets benötigt wird, wie zum Beispiel solche, die dem öffentlichen Internet ausgesetzt sind und möglicherweise von Fehlkonfigurationen in der öffentlichen Cloud betroffen sein könnten.

EASM-Lösungen können die Cloud-Sicherheitslage weiter optimieren und konzentrieren sich zunehmend auf die Identifizierung unerwünschter externer Ressourcen. Sie sollten in der Lage sein, externe Bedrohungsinformationen zu nutzen, um gezielte Bedrohungssuchen durchzuführen und deren Behebung zu priorisieren, von den nächstgelegenen Netzwerkendpunkten bis hin zum Deep und Dark Web. Auf diese Weise können Anwender verstehen, was Bedrohungsakteure in freier Wildbahn tun und wie sich dies auf die interne Umgebung auswirken könnte.

Was sind die Hauptfunktionen des Attack Surface Management? 

Erkennung

Dies umfasst umfangreiche Scans zur Aufdeckung von Systemen und/oder Assets, die besonders anfällig für Bedrohungen sein könnten. Solche Assets können beispielsweise Anwendungsentwicklungen sein, persönliche Assets, die auf das Netzwerk eines Unternehmens zugreifen, oder die Hardware/Software eines Lieferkettenpartners. Vor allem der letzte Punkt ist sehr wichtig, da fast jedes Unternehmen die Dienste verschiedener Anbieter in Anspruch nimmt, die auch ihrerseits auf diverse Anbieter zurückgreifen usw.

Diese Komplexität und die Abhängigkeit von so vielen Partnernetzwerken verdeutlicht, wie wichtig es ist, über die Aufdeckung hinauszugehen, um Scans und Sichtbarkeit in Echtzeit zu ermöglichen. Bedrohungsakteure werden immer schneller mit ihren Methoden. Sicherheitsorganisationen müssen damit Schritt halten, da die Zeit bis zur Ausnutzung immer kürzer wird.

Tests 

Regelmäßige Tests – unterschiedlicher Art – sind eine zuverlässige Methode, um sicherzustellen, dass Anwendungen und Systeme ordnungsgemäß gesichert sind. Von dort aus können Sie feststellen, welche Maßnahmen ergriffen werden müssen, um die Perimeter zu stärken.

  • Dynamic Application Security Testing (DAST): DAST, ein dynamisches Testverfahren, beinhaltet die Suche nach Schwachstellen in einer Webanwendung, die Angreifer ausnutzen könnten.
  • Static Application Security Testing (SAST): SAST, ein statisches Testverfahren, setzt eher im Inneren der Anwendung an, d. h. im Gegensatz zu DAST wird nach Schwachstellen im Quellcode der Webanwendung gesucht.
  • Application Penetration Testing: Penetrationstests beinhalten ein menschliches Element. Sicherheitsexperten versuchen zu imitieren, wie Angreifer in eine Web-App eindringen könnten. Dazu verwenden sie sowohl ihr persönliches Sicherheitswissen als auch eine Vielzahl von Tools für Penetrationstests, um auf diese Weise Schwachstellen zu finden, die ausgenutzt werden könnten.

Kontext

Es ist wichtig, den Kontext potenzieller Risiken oder Bedrohungen zu kennen. Unübersichtliche Daten und Komplexität können zu einer unhandlichen Angriffsfläche führen, welche die Sicherheitsteams (SecOps) bei ihrem Bestreben, Bedrohungen umfassend zu verstehen und Schwachstellen immer schneller zu verwalten, vor große Herausforderungen stellt.

Mit kontextueller Threat Intelligence können Sie Einblicke in jede Schicht Ihres Tech-Stacks erhalten, sodass Sie effektiv Prioritäten setzen und auf Risiken und Bedrohungen reagieren können. Dies beinhaltet mehr als nur die Aufnahme von Informationen: Sie müssen auch die öffentliche Zugänglichkeit, das Vorliegen von Schwachstellen, die Frage, ob eine Ressource mit einer geschäftskritischen Anwendung verbunden ist oder nicht, und vieles mehr verstehen. Schwachstellen sind mit einem gewissen Risiko behaftet, wie jedes Asset in Ihrem Netzwerk. Deshalb müssen Sie unbedingt über Strategien verfügen, die der Beseitigung besonders heikler Risiken Vorrang einräumen, bevor sie zu einer echten Bedrohung werden.

Priorisierung 

Die Anzahl der Sicherheitsprobleme, die im SOC oder an anderer Stelle in einer Sicherheitsorganisation auftreten können, ist nicht unbedingt ein Indikator für die Fähigkeit des Teams, Bedrohungen abzuwehren und Schwachstellen zu beheben. Eine moderne Angriffsfläche umfasst sowohl On-Premises- als auch Cloud-Umgebungen. Eine solche Ausbreitung umfasst zum Beispiel, dass ein Team für Identity and Access Management (IAM) mit Millionen von unterschiedlichen Identitäten umgehen muss, da jeder Ressource und jedem Service eine Rolle zugewiesen wird. Jede dieser Rollen verfügt über ihre eigenen Berechtigungen und Privilegien, die ausgenutzt werden können.

Letztes Jahr gaben 88 % der Unternehmen an, dass sie ihre Ausgaben u. a. für die Verbesserung des Kontextes und der Priorisierung von Warnmeldungen erhöhen wollen. Die Automatisierung von Prozessen wie Risikoanalysen und Frameworks für Workflows kann die Komplexität und den Aufwand bei der Beurteilung, welche Vorfälle am dringendsten zeitnah behoben werden müssen, erheblich reduzieren.

Festlegung und Durchsetzung der Compliance

Es ist von entscheidender Bedeutung, interne Compliance-Standards – und gegebenenfalls behördliche Standards – zu implementieren und kontinuierlich durchzusetzen, die Ihre Angriffsfläche so weit wie möglich verkleinern.

Die konsequente Einhaltung von Compliance-Richtlinien kann den Vorteil haben, dass die Reaktionszeiten auf diese kleinere Angriffsfläche verkürzt werden. Indem Sie außerdem so viel wie möglich automatisieren, können Sie den Ausbreitungsradius im Falle eines Angriffs oder Verstoßes verringern. Eine Vorverlagerung der Sicherheit ist ein Beispiel dafür, wie diese Standards auch eine Kultur der schnelleren Abwehr schaffen können. Das bedeutet, dass Sicherheit durch kontinuierliche Vorlagenscans während des Builds und auch nach der Bereitstellung noch früher in die Anwendungsentwicklung und -bereitstellung integriert werden muss.

Gegenmaßnahmen

Mit dem Ausbau Ihres Netzwerks vergrößert sich auch Ihre Angriffsfläche. Für Angreifer bietet das reichlich Möglichkeiten, in das Netzwerk einzudringen und es bis zum Äußersten auszunutzen. Mit kontextbezogener Threat Intelligence und Priorisierung können Sie sich mit der Zeit wie ein Angreifer verhalten, der immer einen Schritt voraus ist und Probleme behebt, bevor sie ausgenutzt werden können. Die automatisierte Behebung spielt eine entscheidende Rolle bei der Fähigkeit, eine potenzielle Bedrohung nach der anderen schnell zu beseitigen.

Erfahren Sie mehr über Attack Surface Security 

Attack Surface Security: Aktuelles aus dem Rapid7 Blog

Rapid7 Blog: Das 1x1 des Attack Surface Management für Cyber-Assets