Unter Angriffsflächenmanagement, auch Attack Surface Management (ASM) genannt, wird die kontinuierliche Erkennung, Analyse, Behebung und das Monitoring von Sicherheitslücken und potenziellen Angriffsvektoren verstanden, die die Angriffsfläche eines Unternehmens bilden.
Im Gegensatz zu anderen Cybersicherheitsdisziplinen wird das ASM vollständig aus der Perspektive eines Hackers und nicht aus der Perspektive des Verteidigers durchgeführt. Es identifiziert Ziele und bewertet die Risiken auf der Grundlage der Möglichkeiten, die sie für einen heimtückischen Angreifer bieten. ASM stützt sich auf viele der gleichen Methoden und Ressourcen, die auch Hacker verwenden. Zahlreiche ASM-Aufgaben und -Technologien werden von „ethischen Hackern“ entwickelt und durchgeführt, die mit den Verhaltensweisen von Cyberkriminellen vertraut sind und deren Handlungen nachahmen können.
Externes Angriffsflächenmanagement, auch External Attack Surface Management (EASM) genannt, ist eine relativ neue ASM-Technologie, die manchmal gleichbedeutend mit ASM verwendet wird. EASM konzentriert sich jedoch speziell auf die Schwachstellen und Risiken, die von den externen oder den IT-Assets mit Internetverbindung eines Unternehmens ausgehen. (Sie werden manchmal auch zusammenfassend als die digitale Angriffsfläche eines Unternehmens bezeichnet). ASM befasst sich ebenfalls mit Schwachstellen in den physischen und Social-Engineering-Angriffsflächen eines Unternehmens, z. B. mit hinterlistigen Bedrohungen von Insidern oder unzureichender Schulung der Endbenutzer gegen Phishing-Betrügereien.
Cloudeinführung, digitale Transformation und Erweiterung der Remote-Arbeit – alle beschleunigt durch die COVID-19-Pandemie – haben den digitalen Fußabdruck und die Angriffsfläche eines durchschnittlichen Unternehmens größer, verteilter und dynamischer gemacht, da täglich neue Ressourcen mit dem Unternehmensnetz verbunden werden.
Laut Randoris Bericht State of Attack Surface Management 2022 (Link befindet sich außerhalb von ibm.com) verzeichneten 67 Prozent der Unternehmen in den vergangenen 12 Monaten eine Ausweitung ihrer Angriffsflächen. Dazu wurden 69 Prozent der Unternehmen im vergangenen Jahr durch eine unbekannte oder schlecht verwaltete Internet-Verbindung kompromittiert (Randori ist eine Tochtergesellschaft der IBM Corp.). Branchenanalysten bei Gartner (Link befindet sich außerhalb von ibm.com) nannten die Zunahme der Angriffsfläche als eine der höchsten Prioritäten im Bereich Sicherheit und Risikomanagement für CISOs in 2022.
Herkömmliche Verfahren zur Asseterkennung, zur Risikobeurteilung und zum Schwachstellenmanagement, die entwickelt wurden, als Unternehmensnetze noch stabiler und zentraler waren, können mit der Geschwindigkeit, mit der neue Schwachstellen und Angriffsvektoren in heutigen Netzen auftauchen, nicht mehr mithalten. Penetrationstests können beispielsweise nach vermuteten Schwachstellen in bekannten Assets suchen, aber sie können den Sicherheitsteams nicht dabei helfen, neue Cyberrisiken und Schwachstellen zu identifizieren, die täglich auftreten.
Der kontinuierliche Workflow von ASM und die Perspektive der Hacker ermöglichen es Sicherheitsteams und Security Operations Centers (SOCs) jedoch, angesichts einer ständig wachsenden und sich verändernden Angriffsfläche eine proaktive Sicherheitsposition einzunehmen. ASM-Lösungen bieten Echtzeiteinblicke in Schwachstellen und Angriffsvektoren, sobald diese auftauchen. Sie können auf Informationen aus traditionellen Tools und Prozessen für die Risikobeurteilung und das Schwachstellenmanagement zurückgreifen, um bei der Analyse und Priorisierung von Schwachstellen mehr Kontext zu erhalten. Darüber hinaus können sie mit Technologien zur Erkennung von und Reaktion auf Bedrohungen integriert werden. Dazu gehören Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR), um die Bedrohungsabwehr zu verbessern und die Reaktion auf Bedrohungen unternehmensweit zu beschleunigen.
ASM besteht aus vier Kernprozessen: Erkennung von Assets, Klassifizierung und Priorisierung, Korrektur und Monitoring. Auch hier gilt: Da sich Größe und Form der digitalen Angriffsfläche ständig ändern, werden die Prozesse kontinuierlich durchgeführt. ASM-Lösungen automatisieren diese Prozesse dann, wann immer dies möglich ist. Ziel ist es, sicherzustellen, dass das Sicherheitsteam stets über ein vollständiges und aktuelles Inventar der gefährdeten Assets verfügt. Es muss die Reaktion auf die Schwachstellen und Bedrohungen beschleunigen können, die das größte Risiko für das Unternehmen darstellen.
Erkennung von Assets
Asseterkennung sucht automatisch und kontinuierlich nach Hardware-, Software- und Cloud-Ressourcen, die mit dem Internet verbunden sind. Sie identifiziert diejenigen, die Hackern oder Cyberkriminellen als Einstiegspunkte für Angriffe auf ein Unternehmen dienen könnten. Diese Assets können folgendes umfassen:
Klassifizierung, Analyse und Priorisierung
Sobald die Assets identifiziert sind, werden sie klassifiziert, auf Schwachstellen analysiert und nach ihrer „Angreifbarkeit“ priorisiert. Es handelt sich dabei im Wesentlichen um einen objektiven Maßstab dafür, wie wahrscheinlich es ist, dass Hacker sie angreifen.
Die Assets werden nach Identität, IP-Adresse, Eigentumsverhältnissen und Verbindungen zu den anderen Assets in der IT-Infrastruktur inventarisiert. Sie werden auf mögliche Schwachstellen, die Ursachen für diese Schwachstellen (z. B. Fehlkonfigurationen, Programmierfehler, fehlende Patches) und die Arten von Angriffen untersucht, die Hacker über diese Schwachstellen ausführen können (z. B. Diebstahl vertraulicher Daten, Verbreitung von Ransomware oder anderer Malware).
Anschließend werden die Schwachstellen nach Prioritäten geordnet und korrigiert. Die Priorisierung ist eine Übung der Risikobewertung. In der Regel wird jede Schwachstelle mit einer Sicherheits- oder Risikobewertung versehen, die auf folgenden Kriterien basiert:
Korrektur
In der Regel werden die Schwachstellen in der Reihenfolge ihrer Priorität behoben. Das kann Folgendes umfassen:
Die Korrektur kann auch umfassendere, assetübergreifende Maßnahmen zur Behebung von Schwachstellen umfassen, wie z. B. die Implementierung des am wenigsten privilegierten Zugriffs oder der Multi-Faktor-Authentifizierung (MFA).
Monitoring
Da sich die Sicherheitsrisiken in Bezug auf die Angriffsfläche des Unternehmens jedes Mal ändern, wenn neue Assets eingesetzt oder vorhandene Ressourcen auf neue Weise genutzt werden, unterliegen sowohl die inventarisierten Assets des Netzes als auch das Netz selbst einer ständigen Überwachung und Überprüfung auf Schwachstellen. Kontinuierliches Monitoring ermöglicht es ASM, neue Schwachstellen und Angriffsvektoren in Echtzeit zu erkennen und zu bewerten und Sicherheitsteams auf neue Schwachstellen aufmerksam zu machen, die sofort behoben werden müssen.
Verwalten Sie die Ausdehnung Ihrer digitalen Stellfläche und erzielen Sie weniger Fehlalarme, um die Cyberresilienz Ihres Unternehmens schnell zu verbessern.
Verbinden Sie Ihre Tools, automatisieren Sie Ihr Security Operations Center (SOC) und gewinnen Sie Zeit für das Wesentliche.
Führen Sie ein Programm zum Schwachstellenmanagement ein, das Schwachstellen, die Ihre wichtigsten Assets gefährden könnten, identifiziert, nach Prioritäten ordnet und deren Korrektur verwaltet.
Die Angriffsfläche eines Unternehmens ist die Summe seiner Cybersicherheitsschwachstellen.
Bedrohungen durch Insider treten auf, wenn Benutzer mit autorisiertem Zugang zu den Assets eines Unternehmens diese Assets absichtlich oder versehentlich gefährden.
Ein Zero-Trust-Ansatz erfordert, dass alle Benutzer, ob außerhalb oder bereits innerhalb des Netzes, authentifiziert, autorisiert und kontinuierlich validiert werden, um Zugriff auf Anwendungen und Daten zu erhalten und zu behalten
Malware ist Softwarecode, der geschrieben wurde, um Computer oder Netze zu beschädigen oder zu zerstören oder um unbefugten Zugriff auf Computer, Netze oder Daten zu ermöglichen.
Ein Leitfaden zur Sicherung Ihrer Cloud-Computing-Umgebung und Ihrer Workloads.
Datensicherheit ist die Praxis des Schutzes digitaler Daten vor Diebstahl und Beschädigung oder vor unberechtigtem Zugriff während ihres gesamten Lebenszyklus.