Erfahren Sie, wie Sie Sichtbarkeit in Ihr Netzwerk bekommen und wie Sie es auf Bedrohungen überwachen können.
Rapid7 Cloud Risk CompleteBeim Attack Surface Management (ASM) geht es darum, den Überblick über eine sich ständig verändernde Netzwerkumgebung zu behalten, damit die Sicherheitsteams Schwachstellen beheben und aufkommende Bedrohungen abwehren können. Was ist jedoch mit dem Begriff „Attack Surface“ bzw. Angriffsfläche gemeint? Es geht hier um Ihr gesamtes Netzwerk, sowohl vor Ort als auch außerhalb, mit allen potenziellen Schwachstellen, über die sich Angreifer Zugang verschaffen können.
Forrester definiert das Attack Surface Management als den Prozess der kontinuierlichen Aufdeckung, Identifizierung, Inventarisierung und Bewertung der Gefährdung des IT-Bestands eines Unternehmens. Auf Grundlage der obigen Ausführungen können wir davon ausgehen, dass Sicherheitsteams regelmäßig Schwierigkeiten haben, dieses Problem unter Kontrolle zu halten und zu bewältigen. Begrenzte Sichtbarkeit in einer Umgebung bedeutet, dass Sie nicht über alles Bescheid wissen, was der Organisation und dem Geschäft möglicherweise schaden könnte.
Wenn die Sichtbarkeit eingeschränkt ist, könnte jeder Prozess in der Anwendungsentwicklung gefährdet sein, weil Aspekte wie das Verhalten des Codes in der Produktion nicht überwacht werden können. Vereinfacht ausgedrückt, führt die eingeschränkte Sichtbarkeit der Angriffsoberfläche dazu, dass viele Aspekte des Geschäftsbetriebs und der Sicherheit unzuverlässig sind.
Sicherheitsorganisationen können Angriffsflächen überwachen und verwalten, indem sie Schwachstellen erfassen, Webanwendungen regelmäßig testen, die Abwehr von erkannten Bedrohungen automatisieren und sich einen Überblick über die aktuellsten Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) verschaffen. Es gibt nicht den einen richtigen Weg für die umfassende Verwaltung einer Angriffsfläche, insbesondere nicht in Großbetrieben. Durch eine bessere Sichtbarkeit können Sicherheitsteams jedoch besser auf die individuelle Umgebung zugeschnittene Maßnahmen ergreifen und nach geeigneten Lösungen suchen.
Attack Surface Management ist wichtig, weil es die Sichtbarkeit, den Kontext und die Priorisierung bietet, die zur Behebung von Schwachstellen erforderlich sind, bevor diese von Angreifern ausgenutzt werden können. Es ist daher von entscheidender Bedeutung für Teams, die ein tieferes Verständnis für ihre wichtigsten Risikobereiche erhalten möchten. Attack Surface Management trägt auch dazu bei, dass die IT-Abteilung, das Sicherheitspersonal und die Führungsebene Kenntnis davon erhalten, welche Bereiche gefährdet sind, damit die Organisation Wege zur Risikominderung finden kann.
Einige Aspekte dieses Prozesses – wie die Schwachstellenanalyse und Penetrationstests – sind Best Practices, mit denen Teams Einblicke und Zusammenhänge darüber gewinnen können, wo Verstöße entlang der Angriffsoberfläche auftreten könnten. Diese umfassende Strategie zur Analyse der Angriffsoberfläche kann das Bewusstsein für sowohl technische als auch prozessbezogene Risiken schärfen.
Beim externen Attack Surface Management (EASM) geht es um die Identifizierung interner Firmen-Assets, die im öffentlichen Internet präsent sind, sowie um die Überwachung von Schwachstellen, Fehlkonfigurationen der öffentlichen Cloud, offengelegten Zugangsdaten oder anderen externen Informationen und Prozessen, die von Angreifern ausgenutzt werden könnten. Diese Assets können niemals vollständig inventarisiert werden. Ziel ist es jedoch, einen möglichst genauen Überblick über sie zu erhalten, um die Sicherheitslage der Cloud zu bewerten.
Wie bereits erwähnt, können Fehlkonfigurationen eine große Rolle in Bezug auf Ihre Schwachstellen spielen. Daher spielt die ordnungsgemäße Konfiguration einer Cloud-Umgebung eine Schlüsselrolle beim Schutz vor einer Vielzahl von Bedrohungen, sei es in Form von absichtlichen Angriffen oder unbeabsichtigten Fehlern.
EASM-Lösungen konzentrieren sich zunehmend auf die Identifizierung gefährlicher externer Assets, die einen Teil der Angriffsfläche eines Unternehmens bilden könnten. Sie sollten auf Threat Feeds zugreifen können, die ein aktives Threat Hunting ermöglichen, damit Anwender nachvollziehen können, welche Verhaltensweisen bösartige Akteure im Internet an den Tag legen und wie diese eine Bedrohung für die interne Umgebung darstellen könnten.
Außerdem sollten sie externe Bedrohungsinformationen von der Angriffsoberfläche außerhalb des Netzwerks nutzen können, um Risiken und Bedrohungen richtig zu erkennen und zu priorisieren – von den unmittelbarsten Netzwerkendpunkten bis hin zum Deep- und Dark-Web. Dadurch wird zusätzlich das Signal-Rausch-Verhältnis insgesamt gesenkt.
Die Herausforderungen im Zusammenhang mit dem Mapping externer Angriffsflächen sind vielfältig, was aber nicht bedeutet, dass ein kompetentes SOC dafür keine Lösungen findet. Unabhängig davon, ob sich dieses Team an einem Ort befindet oder über die ganze Welt verteilt ist, muss eine global aufgestellte Belegschaft unbedingt ihre moderne Angriffsfläche sichern. Werfen wir einen Blick auf einige der wichtigsten der damit verbundenen Herausforderungen:
Da der Großteil des Geschäftsbetriebs in der Cloud stattfindet, gibt es keine festen Grenzen mehr wie in den früheren Zeiten der reinen Bereitstellung vor Ort. Die Grenzen verändern und erweitern sich ständig. Vor diesem Hintergrund besteht die Herausforderung verteilter IT-Ökosysteme, die die Clouds eines Unternehmens hosten und beherbergen, in der Schwierigkeit, einen nationalen oder globalen Bereich zu überwachen und zu sichern, der jenseits von Firewalls und anderen Protokollen zum Schutz lokaler Netzwerke liegt.
Beim Versuch, Ihre Angriffsfläche auf entstehende Bedrohungen zu überwachen und zu kartieren, kann die Zusammenarbeit zwischen bisher getrennt arbeitenden Teams eine Herausforderung darstellen. Dies gilt insbesondere dann, wenn diese Teams geografisch verteilt sind, sei es über ein Netzwerk von Remote-Mitarbeitern, regionalen Büros oder einem multinationalen Hauptsitz. Heute liegt der Schwerpunkt verstärkt auf Lösungen, die eine gemeinsame Perspektive und einheitliche Sprache bieten, um diese traditionell voneinander getrennten Teams zusammenzubringen und gemeinsam an dem Ziel der Gefahrenabwehr zu arbeiten.
Täglich bauen bekannte und unbekannte Assets, die dem Netzwerk beitreten, Ihre Angriffsfläche aus und verändern diese. Meistens ist dies auf ein Wachstum des Unternehmens zurückzuführen, was natürlich positiv ist. Ein professionelles SOC möchte jedoch sicherstellen, dass die erweiterten Sicherheitsgrenzen so sicher wie nur möglich sind. Die Automatisierung von Abläufen kann die Zeit, die für die Sicherung einer wachsenden Angriffsfläche benötigt wird, sicherlich verkürzen und es Entwicklern und Sicherheitsanalysten so ermöglichen, enger zusammenzuarbeiten und Schwachstellen zu priorisieren.
Dies umfasst umfangreiche Scans zur Aufdeckung von Systemen und/oder Assets, die besonders anfällig für Bedrohungen sein könnten. Solche Assets können beispielsweise Anwendungsentwicklungen sein, persönliche Assets, die auf das Netzwerk eines Unternehmens zugreifen, oder die Hardware/Software eines Lieferkettenpartners. Vor allem der letzte Punkt ist sehr wichtig, da fast jedes Unternehmen die Dienste verschiedener Anbieter in Anspruch nimmt, die auch ihrerseits auf diverse Anbieter zurückgreifen usw.
Diese Komplexität und die Abhängigkeit von so vielen Partnernetzwerken verdeutlicht, wie wichtig es ist, über die Aufdeckung hinauszugehen, um Scans und Sichtbarkeit in Echtzeit zu ermöglichen. Bedrohungsakteure werden immer schneller mit ihren Methoden. Sicherheitsorganisationen müssen damit Schritt halten, da die Zeit bis zur Ausnutzung immer kürzer wird.
Durch regelmäßige Tests verschiedener Art lässt sich zuverlässig sicherstellen, dass Anwendungen und Systeme ausreichend gesichert sind. Auf dieser Grundlage können Sie bestimmen, was zur Stärkung der Sicherheitsgrenzen unternommen werden muss.
Es ist wichtig, den Kontext potenzieller Risiken oder Bedrohungen zu kennen. Unübersichtliche Daten und Komplexität können zu einer unhandlichen Angriffsfläche führen, welche die Sicherheitsteams (SecOps) bei ihrem Bestreben, Bedrohungen umfassend zu verstehen und Schwachstellen immer schneller zu verwalten, vor große Herausforderungen stellt.
Mit kontextueller Threat Intelligence können Sie Einblicke in jede Schicht Ihres Tech-Stacks erhalten, sodass Sie effektiv Prioritäten setzen und auf Risiken und Bedrohungen reagieren können. Dies beinhaltet mehr als nur die Aufnahme von Informationen: Sie müssen auch die öffentliche Zugänglichkeit, das Vorliegen von Schwachstellen, die Frage, ob eine Ressource mit einer geschäftskritischen Anwendung verbunden ist oder nicht, und vieles mehr verstehen. Schwachstellen sind mit einem gewissen Risiko behaftet, wie jedes Asset in Ihrem Netzwerk. Deshalb müssen Sie unbedingt über Strategien verfügen, die der Beseitigung besonders heikler Risiken Vorrang einräumen, bevor sie zu einer echten Bedrohung werden.
Die Anzahl der Sicherheitsprobleme, die im SOC oder an anderer Stelle in einer Sicherheitsorganisation auftreten können, ist nicht unbedingt ein Indikator für die Fähigkeit des Teams, Bedrohungen abzuwehren und Schwachstellen zu beheben. Eine moderne Angriffsfläche umfasst sowohl On-Premises- als auch Cloud-Umgebungen. Eine solche Ausbreitung umfasst zum Beispiel, dass ein Team für Identity and Access Management (IAM) mit Millionen von unterschiedlichen Identitäten umgehen muss, da jeder Ressource und jedem Service eine Rolle zugewiesen wird. Jede dieser Rollen verfügt über ihre eigenen Berechtigungen und Privilegien, die ausgenutzt werden können.
Letztes Jahr gaben 88 % der Unternehmen an, dass sie ihre Ausgaben u. a. für die Verbesserung des Kontextes und der Priorisierung von Warnmeldungen erhöhen wollen. Die Automatisierung von Prozessen wie Risikoanalysen und Frameworks für Workflows kann die Komplexität und den Aufwand bei der Beurteilung, welche Vorfälle am dringendsten zeitnah behoben werden müssen, erheblich reduzieren.
Die Implementierung und kontinuierliche Durchsetzung interner Compliance- und ggf. gesetzlicher Standards, die Ihre Angriffsfläche so weit wie möglich verkleinern, ist von entscheidender Bedeutung.
Die konsequente Einhaltung von Compliance-Richtlinien kann den Vorteil haben, dass die Reaktionszeiten auf diese kleinere Angriffsfläche verkürzt werden. Indem Sie außerdem so viel wie möglich automatisieren, können Sie den Ausbreitungsradius im Falle eines Angriffs oder Verstoßes verringern. Eine Vorverlagerung der Sicherheit ist ein Beispiel dafür, wie diese Standards auch eine Kultur der schnelleren Abwehr schaffen können. Das bedeutet, dass Sicherheit durch kontinuierliche Vorlagenscans während des Builds und auch nach der Bereitstellung noch früher in die Anwendungsentwicklung und -bereitstellung integriert werden muss.
Mit dem Ausbau Ihres Netzwerks vergrößert sich auch Ihre Angriffsfläche. Für Angreifer bietet das reichlich Möglichkeiten, in das Netzwerk einzudringen und es bis zum Äußersten auszunutzen. Mit kontextbezogener Threat Intelligence und Priorisierung können Sie sich mit der Zeit wie ein Angreifer verhalten, der immer einen Schritt voraus ist und Probleme behebt, bevor sie ausgenutzt werden können. Die automatisierte Behebung spielt eine entscheidende Rolle bei der Fähigkeit, eine potenzielle Bedrohung nach der anderen schnell zu beseitigen.
Attack Surface Security: Aktuelles aus dem Rapid7 Blog
Rapid7 Blog: Das 1x1 des Attack Surface Management für Cyber-Assets