Was ist Angriffsflächenmanagement?
Angriffsflächenmanagement hilft Unternehmen, Schwachstellen für Cyberangriffe zu erkennen, zu priorisieren und zu korrigieren.
Person sitzt am Schreibtisch und benutzt einen Laptop
Was ist Angriffsflächenmanagement?

Unter Angriffsflächenmanagement, auch Attack Surface Management (ASM) genannt, wird die kontinuierliche Erkennung, Analyse, Behebung und das Monitoring von Sicherheitslücken und potenziellen Angriffsvektoren verstanden, die die Angriffsfläche eines Unternehmens bilden.

Im Gegensatz zu anderen Cybersicherheitsdisziplinen wird das ASM vollständig aus der Perspektive eines Hackers und nicht aus der Perspektive des Verteidigers durchgeführt. Es identifiziert Ziele und bewertet die Risiken auf der Grundlage der Möglichkeiten, die sie für einen heimtückischen Angreifer bieten. ASM stützt sich auf viele der gleichen Methoden und Ressourcen, die auch Hacker verwenden. Zahlreiche ASM-Aufgaben und -Technologien werden von „ethischen Hackern“ entwickelt und durchgeführt, die mit den Verhaltensweisen von Cyberkriminellen vertraut sind und deren Handlungen nachahmen können.

Externes Angriffsflächenmanagement, auch External Attack Surface Management (EASM) genannt, ist eine relativ neue ASM-Technologie, die manchmal gleichbedeutend mit ASM verwendet wird. EASM konzentriert sich jedoch speziell auf die Schwachstellen und Risiken, die von den externen oder den IT-Assets mit Internetverbindung eines Unternehmens ausgehen. (Sie werden manchmal auch zusammenfassend als die digitale Angriffsfläche eines Unternehmens bezeichnet). ASM befasst sich ebenfalls mit Schwachstellen in den physischen und Social-Engineering-Angriffsflächen eines Unternehmens, z. B. mit hinterlistigen Bedrohungen von Insidern oder unzureichender Schulung der Endbenutzer gegen Phishing-Betrügereien.
Warum Unternehmen sich dem Angriffsflächenmanagement zuwenden

Cloudeinführung, digitale Transformation und Erweiterung der Remote-Arbeit – alle beschleunigt durch die COVID-19-Pandemie – haben den digitalen Fußabdruck und die Angriffsfläche eines durchschnittlichen Unternehmens größer, verteilter und dynamischer gemacht, da täglich neue Ressourcen mit dem Unternehmensnetz verbunden werden.

Laut Randoris Bericht State of Attack Surface Management 2022 (Link befindet sich außerhalb von ibm.com) verzeichneten 67 Prozent der Unternehmen in den vergangenen 12 Monaten eine Ausweitung ihrer Angriffsflächen. Dazu wurden 69 Prozent der Unternehmen im vergangenen Jahr durch eine unbekannte oder schlecht verwaltete Internet-Verbindung kompromittiert (Randori ist eine Tochtergesellschaft der IBM Corp.). Branchenanalysten bei Gartner (Link befindet sich außerhalb von ibm.com) nannten die Zunahme der Angriffsfläche als eine der höchsten Prioritäten im Bereich Sicherheit und Risikomanagement für CISOs in 2022.

Herkömmliche Verfahren zur Asseterkennung, zur Risikobeurteilung und zum Schwachstellenmanagement, die entwickelt wurden, als Unternehmensnetze noch stabiler und zentraler waren, können mit der Geschwindigkeit, mit der neue Schwachstellen und Angriffsvektoren in heutigen Netzen auftauchen, nicht mehr mithalten. Penetrationstests können beispielsweise nach vermuteten Schwachstellen in bekannten Assets suchen, aber sie können den Sicherheitsteams nicht dabei helfen, neue Cyberrisiken und Schwachstellen zu identifizieren, die täglich auftreten.

Der kontinuierliche Workflow von ASM und die Perspektive der Hacker ermöglichen es Sicherheitsteams und Security Operations Centers (SOCs) jedoch, angesichts einer ständig wachsenden und sich verändernden Angriffsfläche eine proaktive Sicherheitsposition einzunehmen. ASM-Lösungen bieten Echtzeiteinblicke in Schwachstellen und Angriffsvektoren, sobald diese auftauchen. Sie können auf Informationen aus traditionellen Tools und Prozessen für die Risikobeurteilung und das Schwachstellenmanagement zurückgreifen, um bei der Analyse und Priorisierung von Schwachstellen mehr Kontext zu erhalten. Darüber hinaus können sie mit Technologien zur Erkennung von und Reaktion auf Bedrohungen integriert werden. Dazu gehören Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR), um die Bedrohungsabwehr zu verbessern und die Reaktion auf Bedrohungen unternehmensweit zu beschleunigen.
So funktioniert ASM

ASM besteht aus vier Kernprozessen: Erkennung von Assets, Klassifizierung und Priorisierung, Korrektur und Monitoring. Auch hier gilt: Da sich Größe und Form der digitalen Angriffsfläche ständig ändern, werden die Prozesse kontinuierlich durchgeführt. ASM-Lösungen automatisieren diese Prozesse dann, wann immer dies möglich ist. Ziel ist es, sicherzustellen, dass das Sicherheitsteam stets über ein vollständiges und aktuelles Inventar der gefährdeten Assets verfügt. Es muss die Reaktion auf die Schwachstellen und Bedrohungen beschleunigen können, die das größte Risiko für das Unternehmen darstellen.

Erkennung von Assets

Asseterkennung sucht automatisch und kontinuierlich nach Hardware-, Software- und Cloud-Ressourcen, die mit dem Internet verbunden sind. Sie identifiziert diejenigen, die Hackern oder Cyberkriminellen als Einstiegspunkte für Angriffe auf ein Unternehmen dienen könnten. Diese Assets können folgendes umfassen:

  • Bekannte Assets: Sämtliche IT-Infrastrukturen und -Ressourcen, die dem Unternehmen bekannt sind und die aktiv verwaltet werden – Router, Server, firmeneigene oder private Geräte (PCs, Laptops, mobile Geräte), IoT-Geräte, Benutzerverzeichnisse, lokale und in der Cloud bereitgestellte Anwendungen, Websites und proprietäre Datenbanken.

  • Unbekannte Assets: Hierbei handelt es sich um „nicht inventarisierte“ Assets, die Netzressourcen ohne das Wissen des IT- oder Sicherheitsteams nutzen. Schatten-IT – Hardware oder Software, die ohne offizielle administrative Genehmigung bzw. Aufsicht im Netz eingesetzt wird – ist die häufigste unbekannte Assetart. Beispiele für Schatten-IT sind eine kostenlose Schriftart, die auf den Computer eines Benutzers heruntergeladen wird, persönliche Websites oder Cloud-Anwendungen, die über das Netz des Unternehmens genutzt werden, oder ein nicht verwaltetes persönliches Mobilgerät, das für den Zugriff auf Unternehmensinformationen verwendet wird. Verwaiste IT ist der Begriff für veraltete Software, Websites und Geräte, die nicht mehr genutzt werden und nicht ordnungsgemäß aus dem Verkehr gezogen wurden. Hierbei handelt es sich um eine weitere häufige Art unbekannter Assets.

  • Assets von Dritten oder Anbietern: Hierbei handelt es sich um Assets, die dem Unternehmen nicht gehören, die aber Teil der IT-Infrastruktur oder der digitalen Supply-Chain des Unternehmens bilden. Dazu gehören Software-as-a-Service-Anwendungen (SaaS), APIs, öffentliche Cloud-Assets oder Services von Drittanbietern, die auf der Website des Unternehmens genutzt werden.

  • Assets von Tochtergesellschaften: Hierbei handelt es sich um alle bekannten, unbekannten oder fremden Assets, die zu Netzen von Tochtergesellschaften eines Unternehmens gehören. Nach einer Fusion oder Übernahme erfahren die IT- und Sicherheitsteams des Mutterunternehmens möglicherweise nicht sofort von diesen Assets.

  • Böswillige oder missbräuchliche Assets: Hierbei handelt es sich um Assets, die von Bedrohungsakteuren erstellt oder gestohlen wurden, um dem Unternehmen zu schaden. Dies kann eine Phishing-Website umfassen, die sich als die Marke eines Unternehmens ausgibt, oder vertrauliche Daten, die im Rahmen einer Datenschutzverletzung gestohlen wurden und im Dark Web verbreitet werden.

Klassifizierung, Analyse und Priorisierung

Sobald die Assets identifiziert sind, werden sie klassifiziert, auf Schwachstellen analysiert und nach ihrer „Angreifbarkeit“ priorisiert. Es handelt sich dabei im Wesentlichen um einen objektiven Maßstab dafür, wie wahrscheinlich es ist, dass Hacker sie angreifen.

Die Assets werden nach Identität, IP-Adresse, Eigentumsverhältnissen und Verbindungen zu den anderen Assets in der IT-Infrastruktur inventarisiert. Sie werden auf mögliche Schwachstellen, die Ursachen für diese Schwachstellen (z. B. Fehlkonfigurationen, Programmierfehler, fehlende Patches) und die Arten von Angriffen untersucht, die Hacker über diese Schwachstellen ausführen können (z. B. Diebstahl vertraulicher Daten, Verbreitung von Ransomware oder anderer Malware). 

Anschließend werden die Schwachstellen nach Prioritäten geordnet und korrigiert. Die Priorisierung ist eine Übung der Risikobewertung. In der Regel wird jede Schwachstelle mit einer Sicherheits- oder Risikobewertung versehen, die auf folgenden Kriterien basiert:

  • Informationen, die während der Klassifizierung und Analyse gesammelt wurden;

  • Daten, die aus den Feeds der Bedrohungsdaten (proprietäre und Open Source), Sicherheitsbewertungsservices, dem Dark Web und anderen Quellen stammen und die Aufschluss darüber geben, wie sichtbar Schwachstellen für Hacker sind, wie leicht sie auszunutzen sind, wie sie ausgenutzt wurden usw.;

  • Ergebnisse der eigenen Aktivitäten des Unternehmens zum Schwachstellenmanagement und zur Sicherheitsrisikobewertung. Eine dieser Aktivitäten, das so genannte Red Teaming, ist aus der Sicht des Hackers ein Penetrationstest (der oft von internen oder externen ethischen Hackern durchgeführt wird). Anstatt bekannte oder vermutete Schwachstellen zu testen, überprüfen Red Teamer alle Ressourcen, die ein Hacker auszunutzen versuchen könnte.

Korrektur

In der Regel werden die Schwachstellen in der Reihenfolge ihrer Priorität behoben. Das kann Folgendes umfassen:

  • Anwendung geeigneter Sicherheitskontrollen für das betreffende Asset – z. B. Anwendung von Software- oder Betriebssystem-Patches, Debugging von Anwendungscode, Implementierung einer stärkeren Datenverschlüsselung

  • Bisher unbekannte Assets unter Kontrolle bringen, Sicherheitsstandards für bisher nicht verwaltete IT festlegen, verwaiste IT sicher ausmustern, schädliche Assets eliminieren, Assets von Tochterunternehmen in die Cybersicherheitsstrategie, -richtlinien und -workflows des Unternehmens integrieren.

Die Korrektur kann auch umfassendere, assetübergreifende Maßnahmen zur Behebung von Schwachstellen umfassen, wie z. B. die Implementierung des am wenigsten privilegierten Zugriffs oder der Multi-Faktor-Authentifizierung (MFA).

Monitoring

Da sich die Sicherheitsrisiken in Bezug auf die Angriffsfläche des Unternehmens jedes Mal ändern, wenn neue Assets eingesetzt oder vorhandene Ressourcen auf neue Weise genutzt werden, unterliegen sowohl die inventarisierten Assets des Netzes als auch das Netz selbst einer ständigen Überwachung und Überprüfung auf Schwachstellen. Kontinuierliches Monitoring ermöglicht es ASM, neue Schwachstellen und Angriffsvektoren in Echtzeit zu erkennen und zu bewerten und Sicherheitsteams auf neue Schwachstellen aufmerksam zu machen, die sofort behoben werden müssen.
Relevante Lösungen
IBM Security Randori Recon

Verwalten Sie die Ausdehnung Ihrer digitalen Stellfläche und erzielen Sie weniger Fehlalarme, um die Cyberresilienz Ihres Unternehmens schnell zu verbessern.

Randori Recon erkunden
IBM Security QRadar XDR Connect

Verbinden Sie Ihre Tools, automatisieren Sie Ihr Security Operations Center (SOC) und gewinnen Sie Zeit für das Wesentliche.

QRadar XDR Connect erkunden
Schwachstellenmanagement-Services

Führen Sie ein Programm zum Schwachstellenmanagement ein, das Schwachstellen, die Ihre wichtigsten Assets gefährden könnten, identifiziert, nach Prioritäten ordnet und deren Korrektur verwaltet.

Services zum Schwachstellenmanagement erkunden
Ressourcen Was ist eine Angriffsfläche?

Die Angriffsfläche eines Unternehmens ist die Summe seiner Cybersicherheitsschwachstellen.

 Was sind Bedrohungen durch Insider?

Bedrohungen durch Insider treten auf, wenn Benutzer mit autorisiertem Zugang zu den Assets eines Unternehmens diese Assets absichtlich oder versehentlich gefährden.

 Was ist Zero Trust?

Ein Zero-Trust-Ansatz erfordert, dass alle Benutzer, ob außerhalb oder bereits innerhalb des Netzes, authentifiziert, autorisiert und kontinuierlich validiert werden, um Zugriff auf Anwendungen und Daten zu erhalten und zu behalten

 Was ist Malware?

Malware ist Softwarecode, der geschrieben wurde, um Computer oder Netze zu beschädigen oder zu zerstören oder um unbefugten Zugriff auf Computer, Netze oder Daten zu ermöglichen.

 Was ist Cloud-Sicherheit?

Ein Leitfaden zur Sicherung Ihrer Cloud-Computing-Umgebung und Ihrer Workloads.

 Was ist Datensicherheit?

Datensicherheit ist die Praxis des Schutzes digitaler Daten vor Diebstahl und Beschädigung oder vor unberechtigtem Zugriff während ihres gesamten Lebenszyklus.
Machen Sie den nächsten Schritt

Unternehmen haben gute Arbeit dabei geleistet, bekannte Schwachstellen in verwalteten Unternehmensassets zu finden und zu beheben. Doch die schnelle Einführung von Hybrid-Cloud-Modellen und der permanente Support durch Remote-Personal haben es Sicherheitsteams deutlich erschwert, die Ausdehnung der Unternehmensangriffsfläche zu verwalten.IBM Security Randori Recon verwendet einen kontinuierlichen, präzisen Erkennungsprozess zur Aufdeckung von Schatten-IT und bringt Sie mit korrelierten, sachlichen Erkenntnissen, basierend auf Gegnerversuchen, schnell ans Ziel. Die optimierten Workflows verbessern Ihre gesamte Resilienz durch Integrationen mit Ihrem bestehenden Sicherheits-Ökosystem.

Randori Recon erkunden