Was ist Angriffsflächenmanagement?

Im Gegensatz zu anderen Cybersicherheitsdisziplinen wird bei ASM vollständig die Perspektive des Angreifers eingenommen, statt der Perspektive des Verteidigers. Es identifiziert Ziele und bewertet Risiken auf der Grundlage der Chancen, die sie für einen böswilligen Angreifer bieten.

ASM nutzt viele der gleichen Methoden und Ressourcen, die auch von Hackern verwendet werden. Viele ASM-Aufgaben und -Technologien werden von „ethischen Hackern“ entwickelt und durchgeführt, die mit den Verhaltensweisen von Cyberkriminellen vertraut sind und deren Handlungen nachahmen können.

External Attack Surface Management (EASM), eine relativ neue ASM-Technologie, wird manchmal gleichbedeutend mit ASM verwendet. Allerdings konzentriert sich EASM speziell auf die Schwachstellen und Risiken, die von den externen oder dem Internet zugewandten IT-Assets eines Unternehmens ausgehen – manchmal auch als digitale Angriffsfläche eines Unternehmens bezeichnet.

ASM behebt auch Schwachstellen in den physischen und Social-Engineering-Angriffsflächen eines Unternehmens, z. B. böswillige Insider oder unzureichende Schulung der Endbenutzer gegen Phishing-Betrug.

Die zunehmende Einführung der Cloud, die digitale Transformation und die Ausweitung der Remote-Arbeit in den letzten Jahren haben dazu geführt, dass der digitale Fußabdruck und die Angriffsfläche eines durchschnittlichen Unternehmens größer, verteilter und dynamischer geworden sind – mit immer neuen Ressourcen, die sich täglich mit dem Unternehmensnetzwerk verbinden.

Herkömmliche Verfahren zur Erkennung von Assets, zur Risikobewertung und zum Schwachstellenmanagement, die entwickelt wurden, als Unternehmensnetzwerke noch stabiler und zentraler waren, können mit der Geschwindigkeit, mit der neue Schwachstellen und Angriffsvektoren in den heutigen Netzwerken auftauchen, nicht Schritt halten. Penetrationsprüfungen können zum Beispiel auf vermutete Schwachstellen in bekannten Assets testen, aber sie können den Sicherheitsteams nicht dabei helfen, neue Cyberrisiken und Schwachstellen zu erkennen, die täglich auftreten.

Aber der kontinuierliche Workflow von ASM und die Hackerperspektive ermöglichen es Sicherheitsteams und Security Operations Centers (SOCs), angesichts einer ständig wachsenden und sich wandelnden Angriffsfläche einen proaktiven Sicherheitsstatus aufzubauen. ASM-Lösungen bieten Echtzeiteinblick in Schwachstellen und Angriffsvektoren, sobald sie auftauchen.

Sie können auf Informationen aus traditionellen Risikobewertungs- und Schwachstellenmanagement-Tools und -Prozessen zurückgreifen, um bei der Analyse und Priorisierung von Schwachstellen mehr Kontext zu erhalten. Und sie können in Technologien zur Erkennung von und Reaktion auf Bedrohungen integriert werden – einschließlich Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR). So können Bedrohungen besser abgewehrt und die Reaktion auf Bedrohungen unternehmensweit verkürzt werden.

ASM besteht aus vier Kernprozessen: Asset-Erkennung, Klassifizierung und Priorisierung, Behebung und Überwachung. Auch hier gilt: Da sich die Größe und Form der digitalen Angriffsfläche ständig ändert, werden die Prozesse kontinuierlich durchgeführt, und ASM-Lösungen automatisieren diese Prozesse, wann immer es möglich ist. Ziel ist es, die Sicherheitsteams mit einem vollständigen und aktuellen Inventar der gefährdeten Anlagen auszustatten und die Reaktion auf die Schwachstellen und Bedrohungen zu beschleunigen, die das größte Risiko für das Unternehmen darstellen.

Asset Discovery sucht automatisch und kontinuierlich nach Hardware-, Software- und Cloud-Ressourcen, die mit dem Internet verbunden sind und als Einfallstor für Hacker oder Cyberkriminelle dienen könnten, um ein Unternehmen anzugreifen, und identifiziert diese. Zu diesen Assets gehören:

• Bekannte Assets: alle IT-Infrastrukturen und –Ressourcen, die dem Unternehmen bekannt sind und aktiv verwaltet werden – Router, Server, firmeneigene oder private Geräte (PCs, Laptops, mobile Geräte), IoT-Geräte, Benutzerverzeichnisse, Anwendungen, die lokal und in der Cloud bereitgestellt werden, Websites und proprietäre Datenbanken.
  
  
• Unbekannte Assets: „nicht erfasste“ Assets, die Netzwerkressourcen ohne das Wissen des IT- oder Sicherheitsteams nutzen. Schatten-IT – Hardware oder Software, die ohne offizielle administrative Genehmigung und/oder Aufsicht im Netzwerk eingesetzt wird – ist die häufigste Art von unbekannten Assets. Beispiele für Schatten-IT sind persönliche Websites, Cloud-Anwendungen und nicht verwaltete mobile Geräte, die das Netzwerk des Unternehmens nutzen. Verwaiste IT – alte Software, Websites und Geräte, die nicht mehr genutzt werden und nicht ordnungsgemäß stillgelegt wurden – sind eine weitere häufige Art von unbekannten Assets.
  
  
• Assets von Drittanbietern oder Lieferanten: Assets, die dem Unternehmen nicht gehören, aber Teil der IT-Infrastruktur oder der digitalen Lieferkette des Unternehmens sind. Dazu gehören Software-as-a-Service (SaaS)-Anwendungen, APIs, Public Cloud Assets oder Services von Drittanbietern, die auf der Website des Unternehmens genutzt werden.
  
  
• Tochtergesellschaften: alle bekannten, unbekannten oder Drittanbieter-Vermögenswerte, die zu Netzwerken der Tochtergesellschaften eines Unternehmens gehören. Nach einer Fusion oder Übernahme werden diese Ressourcen möglicherweise nicht sofort von den IT- und Sicherheitsteams der Mutterorganisation wahrgenommen.
  
  
• Böswillige oder abtrünnige Assets: Assets, die von Bedrohungsakteuren erstellt oder gestohlen werden, um das Unternehmen zu schädigen. Das kann eine Phishing-Website sein, die sich als die Marke eines Unternehmens ausgibt, oder sensible Daten, die im Rahmen einer Datenschutzverletzung gestohlen wurden und im Dark Web verbreitet werden.

Sobald Assets identifiziert sind, werden sie klassifiziert, auf Schwachstellen analysiert und nach „Angreifbarkeit“ priorisiert – im Wesentlichen ein objektives Maß dafür, wie wahrscheinlich es ist, dass Hacker sie ins Visier nehmen.

Die Assets werden nach Identität, IP-Adresse, Eigentum und Verbindungen zu anderen Assets in der IT-Infrastruktur inventarisiert. Sie werden auf mögliche Schwachstellen, die Ursachen für diese Schwachstellen (z. B. Fehlkonfigurationen, Programmierfehler, fehlende Patches) und die Arten von Angriffen untersucht, die Hacker durch diese Schwachstellen ausführen können (z. B. Diebstahl sensibler Daten, Verbreitung von Ransomware oder anderer Formen von Malware). 

Als Nächstes werden die Sicherheitslücken für die Sanierung priorisiert. Bei der Priorisierung handelt es sich um eine Risikobewertung: In der Regel erhält jede Schwachstelle eine Sicherheitsbewertung oder Risikobewertung auf der Grundlage von:

• Informationen, die während der Klassifizierung und Analyse gesammelt wurden.
  
  
• Daten aus Threat Intelligence Feeds (proprietär und Open Source), Sicherheitsbewertungsdiensten, dem Dark Web und anderen Quellen, die Aufschluss darüber geben, wie sichtbar Schwachstellen für Hacker sind, wie leicht sie auszunutzen sind, wie sie ausgenutzt wurden usw.
  
  
• Ergebnisse des Schwachstellenmanagements und der Sicherheitsrisikobewertung des Unternehmens. Eine dieser Aktivitäten, Red Teaming genannt, ist im Wesentlichen eine Penetrationsprüfung aus der Sicht eines Hackers (und wird oft von internen oder externen ethischen Hackern durchgeführt). Anstatt bekannte oder vermutete Sicherheitslücken zu testen, prüfen Red Teamer alle Assets, die ein Hacker ausnutzen könnte.

In der Regel werden Sicherheitslücken in der Reihenfolge ihrer Priorität behoben. Dies kann Folgendes umfassen:

• Angemessene Sicherheitskontrollen für das betreffende Asset anwenden – z. B. Software- oder Betriebssystem-Patches anwenden, Anwendungscode debuggen, stärkere Datenverschlüsselung implementieren.
  
• Bisher unbekannte Assets unter Kontrolle bringen – Sicherheitsstandards für bisher nicht verwaltete IT setzen, verwaiste IT auf sichere Weise in den Ruhestand versetzen, abtrünnige Assets beseitigen, untergeordnete Assets in die Cybersicherheitsstrategien, -richtlinien und -workflows des Unternehmens integrieren.

Die Behebung kann auch breitere, Asset-übergreifende Maßnahmen zur Behebung von Schwachstellen umfassen, z. B. die Implementierung von Zugang mit den geringsten Zugriffsrechten oder die Multi-Faktor-Authentifizierung (MFA).

Da sich die Sicherheitsrisiken in der Angriffsfläche des Unternehmens jedes Mal ändern, wenn neue Assets oder bestehende Assets auf neue Weise bereitgestellt werden, werden sowohl die inventarisierten Assets des Netzwerks als auch das Netzwerk selbst kontinuierlich überwacht und auf Schwachstellen gescannt. Durch die kontinuierliche Überwachung kann ASM neue Sicherheitslücken und Angriffsvektoren in Echtzeit erkennen und bewerten und Sicherheitsteams auf neue Sicherheitslücken aufmerksam machen, die sofortige Aufmerksamkeit erfordern.