Cyber Asset Attack Surface Management (CAASM)

Identifizieren Sie Gefährdungen und Schwachstellen in Ihrer physischen und digitalen Angriffsfläche.

Rapid7 Attack Surface Security

Was ist Cyber Asset Attack Surface Management (CAASM)?

Das Cyber Asset Attack Surface Management (CAASM) bietet als Plattform-Tool eine einheitliche Ansicht aller physischen und digitalen Cyber-Assets eines Unternehmensnetzwerks durch die Integration, Umwandlung und Analyse von Daten.

Mit CAASM-Richtlinien können Gefährdungen und potenzielle Sicherheitslücken entlang der Angriffsfläche des Netzwerks identifiziert werden. Sie dienen als zuverlässige Quellen für Informationen zu Assets, wie z. B. Kontext zu Eigentümern, Netzwerken und Unternehmen, und sollen IT- und Sicherheitsteams mit zusätzlichem Wissen versorgen.

CAASM kann in bestehende Workflows integriert werden, um die Analyse, Priorisierung und Behebung von Sicherheitslücken zu automatisieren, wodurch die Effizienz gesteigert und operative Silos zwischen Teams und den von ihnen verwendeten Tools aufgebrochen werden. Dabei darf jedoch nicht vergessen werden, dass mit diesen Tools weit mehr als nur Geräte und Infrastrukturen geschützt werden sollen.

Ein Security Operations Center (SOC) kennzeichnet „Assets“ in der Regel als Benutzer, Anwendungen und sogar als Anwendungscode. Entscheidend ist dabei, dass die Sicherheitsexperten innerhalb eines SOC die Vernetzung dieser Assets erkennen.

Angenommen, mehr als 1.000 Server weisen dieselbe Schwachstelle auf. Jeden einzelnen zu analysieren, wäre zeit- und kostenintensiv. Hier können die CAASM-Funktionen Abhilfe schaffen und den Prozess beschleunigen, indem sie die Daten der Cyber-Assets anreichern und dann die Analyse größtenteils automatisieren.

Wie funktioniert CAASM? 

CAASM berücksichtigt die Zusammenhänge und die Gesamtheit der Netzwerk-Assets, analysiert ihre Schwachstellen und setzt dann Richtlinien zur Risikominderung um. Dies sind einige der Key Performance Indicator (KPIs) für das CAASM: 

  • Überblick über die Assets 
  • Abdeckung durch Endpoint-Agenten
  • Service-Level-Agreements (SLAs)
  • Mittlere Reaktionszeit (Mean Time to Respond, MTTR)

Wie bereits erwähnt, kann es sehr zeit- und kostenintensiv sein, jede einzelne Schwachstelle zu bewerten, wenn in einem Netzwerk zahlreiche Assets berücksichtigt werden müssen. Mithilfe der Automatisierung können Schwachstellen schneller analysiert und priorisiert werden, sodass sie schneller behoben werden können.

Dank CAASM können Organisationen ihre Suchanfragen mithilfe von Analysen verfeinern, Trends erkennen oder bestimmte Informationen an bestimmte Gruppen oder Einzelpersonen weitergeben. Durch diesen integrierten Ansatz kann die Angriffsfläche umfassend transparent gemacht und abgebildet werden, sodass das SOC Risiken effizienter angehen und Schwachstellen besser verwalten kann.

Die vielleicht wichtigste Funktion des CAASM ist die Identifizierung und Zuordnung neuer Assets beim Ein- und Austritt in ein Netzwerk. Um ein genaues Bild davon zu erhalten, wie sich die Angriffsfläche mit diesen neuen Assets verändert, sind umfassende Tools zur Erfassung von Assets erforderlich. Auch Funktionen zur Netzwerkzugriffskontrolle (Network Access Control, NAC) können bei der Erstellung von Richtlinien helfen, um unberechtigte Zugriffsversuche zu reduzieren, falls ein Angreifer eine noch nicht identifizierte Asset-Schwachstelle ausnutzt.

Dadurch kann die Cybersecurity-Mitarbeiter leichter spezifische Ergebnisse für Assets oder Asset-Gruppen definieren. Wurden diese Ergebnisse einmal festgelegt, müssen nur noch alle Assets, die diese Sicherheitskriterien nicht erfüllen, gesucht und anschließend zur Behebung priorisiert werden. So kann CAASM ein SOC bei der Optimierung der Bestandsverwaltung und Gegenmaßnahmen zur Steigerung der Effizienz unterstützen.

Wie unterscheidet sich CAASM von anderen Technologien?

CAASM unterscheidet sich in vielerlei Hinsicht von anderen Technologien, weist aber auch Ähnlichkeiten auf. Heutzutage gibt es unzählige Plattformen und Methoden, mit denen Sicherheitsexperten ihre Angriffsflächen so gut wie möglich schützen können. Auf welche wichtigen Unterschiede sollten Käufer also bei der Suche nach einer Lösung zum Schutz der Angriffsfläche ihres Unternehmens achten?

CAASM vs. Attack Surface Management (ASM)

Das kontinuierliche Attack Surface Management (ASM) beschreibt die kontinuierliche Überwachung des digitalen Fußabdrucks eines Unternehmens mit dem Ziel, die Angriffsfläche zu verkleinern und die Sicherheitslage des Unternehmens zu verbessern. ASM umfasst alle hier erläuterten Methoden. CAASM entspricht im Wesentlichen ASM, wobei jedoch alle Cyber-Assets eines Unternehmens im Netzwerk oder alle, die Zugriff auf das Netzwerk zu erlangen versuchen – sowohl intern als auch extern, berücksichtigt werden.

CAASM vs. External Attack Surface Management (EASM)

Der Hauptunterschied zwischen einem EASM- und einem CAASM-Sicherheitsmodell besteht darin, dass sich EASM in der Regel nur auf externe Assets konzentriert, während CAASM sowohl externe als auch interne Netzwerk-Assets berücksichtigt und somit ein umfassenderes Bild der aktuellen Angriffsfläche bietet. EASM-Lösungen sind im Vergleich zu CAASM-Lösungen einfacher aufgebaut und daher leichter einzurichten, weshalb sie häufiger eingesetzt werden.

CAASM vs. Digital Risk Protection (DRP)

Während sich CAASM-Lösungen in der Regel auf interne und externe Netzwerk-Assets und damit auf die Daten konzentrieren, die sie mit dem Netzwerk teilen und von ihm abrufen, liegt der Schwerpunkt einer DRP-Lösung normalerweise auf den sensiblen digitalen Assets eines Unternehmens und deren Gefährdung durch das Internet und potenzielle Angreifer sowie auf den Schwachstellen, die sich aus dieser Gefährdung ergeben könnten.

Anwendungsfälle von CAASM

Sehen wir uns nun die Szenarien an, in denen die Implementierung einer CAASM-Lösung zum Schutz eines Unternehmensnetzwerks aufgrund der zunehmenden Verbreitung von Cyber-Assets besonders sinnvoll ist.

  • Inventarisierung und Zuordnung: Die übergeordnete Aufgabe einer CAASM-Lösung ist es, eine detaillierte und automatisierte Erfassung der Cyber-Assets zu gewährleisten, die die Angriffsfläche eines Netzwerks kontinuierlich vergrößern.
  • Optimierung der Workflows für das Schwachstellen-Management (VM): Durch die Definition von Asset-Ergebnissen und die Verfeinerung und Automatisierung von Prozessen können Schwachstellen noch schneller erkannt, priorisiert und behoben werden. Dadurch verbessert sich die Sicherheitslage der Angriffsfläche und es können auf Grundlage telemetrischer Daten proaktivere Maßnahmen ergriffen werden.
  • Einhaltung von Compliance-Anforderungen: Für die Einhaltung von gesetzlichen und internen Compliance-Anforderungen sind lückenlose Bestandsaufnahmen der Assets unerlässlich. CAASM-Lösungen umfassen in der Regel Compliance-Frameworks, mit denen Unternehmen die Einhaltung von Standards wie NIST, SOC2 und anderen gewährleisten können.
  • Identifizierung gefährdeter Anwendungsserver: Ein CAASM-Tool kann bei der Suche nach Anwendungsservern helfen, die in einem bestimmten Kontext für eine Ausnutzung anfällig sind, und auf Basis von telemetrischen Anmeldedaten die Eigentümer identifizieren. So können der Eigentümer des Servers und das Sicherheitsteam über die Gefährdung benachrichtigt werden. Durch diesen integrierten Ansatz kann die Angriffsfläche umfassend transparent gemacht und abgebildet werden.
  • Gewährleistung des Access Management: Wie bereits erwähnt, können NAC-Kontrollen die CAASM-Tools dahingehend optimieren, dass mithilfe von Authentifizierungsprotokollen Assets, die sich im Netzwerk befinden dürfen, leichter verifiziert werden können. Mit CAASM kann das Sicherheitspersonal Richtlinien für das Identity and Access Management (IAM) wirksam einsetzen, um falsch eskalierte Berechtigungen schnell zu berichtigen und besser nachvollziehen zu können, wer und was sich im Netzwerk befindet.

Die Vorteile von CAASM

ASM soll die Angriffsfläche verkleinern, damit potenzielle Angreifer weniger Möglichkeiten haben, auf das Netzwerk zuzugreifen und einen Verstoß durchzuführen. Doch wie bereits erwähnt, bedeutet eine größere Anzahl von Assets, die mit einem Unternehmensnetzwerk interagieren, auch eine größere Anzahl von Zugriffspunkten.

Mit einer wirksamen CAASM-Lösung können diese Bedenken ausgeräumt werden, auch wenn immer mehr Assets in das Netzwerk aufgenommen werden. Dies sind einige der Vorteile einer solchen Lösung:

  • Geringeres Risikoprofil: In Bezug auf die Sicherheitsautomatisierung hat IDC festgestellt, dass „die Verwendung kontinuierlicher Automatisierungstools zur Erkennung extern exponierter Assets einer Organisation dabei hilft, Risiken in zuvor unbekannten Assets mit einer Häufigkeit und Breite zu begegnen, die nur durch Automatisierung möglich sind.“
  • Reduzierung der Angriffsfläche: An dieser Stelle muss noch einmal betont werden, dass eine verkleinerte Angriffsfläche ein kleineres Ziel für Bedrohungsakteure und potenzielle Verstöße darstellt. Durch den Einsatz von Automatisierung zur schnelleren Behebung von Schwachstellen sowie von Tools zur Authentifizierung des Netzwerkzugriffs kann eine Sicherheitsorganisation ihre Ziele in Bezug auf die Verkleinerung der Angriffsfläche ihres Netzwerks erreichen.
  • Stärkung von Partnerschaften: Da es für IT-Teams zur Gewohnheit geworden ist, Daten von Assets, die in das Netzwerk gelangen und es wieder verlassen, untereinander auszutauschen, können Sicherheitsteams diese Daten mithilfe der in CAASM-Tools integrierten Automatisierung schneller durchsuchen. So können Schwachstellen und aktive Exploits effizienter aufgedeckt werden.

Eine CAASM-Plattform ist jedoch keine sofort einsatzbereite Lösung für das Cyber-Asset-Management. Für die korrekte Implementierung einer solchen Lösung sind die Fähigkeiten erfahrener Sicherheitsexperten erforderlich. Der Wert eines gut gewarteten und wirksamen CAASM-Tools ist jedoch ein stabileres und sichereres Netzwerk.

Erfahren Sie mehr über die Absicherung von Cyber-Assets

Attack Surface Security: Aktuelles aus dem Rapid7 Blog

Rapid7 Blog: Das 1x1 des Attack Surface Management für Cyber-Assets