Willkommen zu unserer Blogserie zum Thema Continuous Threat Exposure Management (CTEM), in der wir einen Blick auf die fünf wesentlichen Phasen werfen. Continuous Threat Exposure Management (CTEM) wurde 2022 durch Gartner definiert und stellt einen effektiven Prozess zur kontinuierlichen Verwaltung der Cyberhygiene und des Cyberrisikos Ihrer Organisation dar. Zu Beginn ist es jedoch sehr komplex, daher ist es hilfreich die Implementierung in die einzelnen Phasen zu gliedern.

Wir haben die erste Phase (Scoping) bereits in diesem Blog behandelt und aufgezeigt, wie wichtig diese für den Erfolg des CTEM-Prozesses ist. In diesem Beitrag werden wir ein wenig tiefer in die zweite Phase eintauchen: Discovery.

Was macht eine erfolgreiche Discovery-Phase aus?

Das Ziel besteht nun darin, alle bekannten und bisher unbekannten Assets, im Scoping-Prozesse festgelegten Rahmen, zu identifizieren und die Gefahren innerhalb dieses Rahmens aufzudecken. Dabei geht es über die bloße Ermittlung von Schwachstellen hinaus – Beispielsweise können auch gefälschte Assets, kompromittierte Passwörter oder unzureichender Umgang mit Phishing-Tests können als Gefahr eingestuft werden.

Die Discovery-Phase soll dabei helfen, die Geschäftsbereiche, die während des Scoping-Prozesses identifiziert wurden, zu priorisieren und ein umfassendes Verständnis der Angriffsfläche des Unternehmens zu erlangen, wobei der Schwerpunkt eher auf der Qualität und Relevanz der Ergebnisse als auf der Quantität liegt. Wahrscheinlich ist ein gewisses Maß an „Rauschunterdrückung“ erforderlich, aber das wird in der Priorisierungsphase, die auf die Discovery-Phase folgt, geschehen.

Welche Risiken bestehen, wenn die Discovery nicht korrekt durchgeführt wird?

Die größte Schwierigkeit besteht darin, die Scoping- und Discovery-Phase auseinanderzuhalten. Zwar kann man in der Discovery-Phase eine große Anzahl von Schwachstellen finden, aber das ist weniger wertvoll, wenn die Schwachstellen nicht genau auf Grundlage des Geschäftsrisikos ermittelt wurden. In der Discovery-Phase geht es darum, diejenigen Schwachstellen zu identifizieren, die für das Unternehmen von Bedeutung sind und ernstzunehmende Auswirkungen haben könnten.

Im Allgemeinen kann sich eine ungenaue Ermittlung der Schwachstellen negativ auf die Priorisierung („Phase drei“) dieser auswirken. Dadurch kann ein falsches Bild über die Assets und Gefahren innerhalb eines Unternehmens entstehen, was zu einem Priorisierungsprozess führt, der auf unvollständigen oder falschen Daten aufbaut. Dadurch gestaltet es sich schwierig, die Bedrohungen, die am ehesten ausgenutzt werden können, zu identifizieren und zu bekämpfen. Infolgedessen besteht die Gefahr, dass sich Ressourcen auf weniger kritische Probleme konzentrieren, während bedeutendere Risiken unbeachtet bleiben, was die Wirksamkeit des CTEM-Programms insgesamt beeinträchtigt.

Welche Tools von Outpost24 helfen in der Discovery-Phase?

Risikobasiertes Schwachstellenmanagement (RBVM): RVBM-Lösungen wie Outscan NX von Outpost24 untersuchen Ihre bekannte Angriffsfläche und helfen Ihnen, die dringendsten Bedrohungen zu identifizieren und zu entschärfen. Oft klafft eine Lücke zwischen der Identifizierung von Schwachstellen und den verfügbaren IT-Ressourcen zu deren Remediation. Durch den Einsatz einer RVBM-Lösung wird der Prozess gestrafft und Unternehmen können relevante Probleme rechtzeitig angehen, bevor diese eskalieren. Dieser Ansatz trägt dazu bei, eine proaktive Haltung gegenüber der Verwaltung von Schwachstellen und Cloud-Security einzunehmen.

External Attack Surface Management (EASM): EASM-Tools wie Sweepatic von Outpost24 bieten eine kontinuierliche Identifizierung, Kartierung und Überwachung aller mit Ihrem Unternehmen verbundenen und durch das Internet erreichbaren Assets. Automatische Datenerfassung, -anreicherung und KI-gesteuerte Analysemodule untersuchen all Ihre bekannten und bisher unbekannten Ressourcen auf Schwachstellen und Angriffspunkte.

Pentests von Webanwendungen: Pen Testing as a Service (PTaaS)-Lösung von Outpost24 zielen speziell auf Schwachstellen in Webanwendungen ab. Sie führt Analysen durch, um gängige Sicherheitsprobleme wie SQL-Injection, Cross-Site-Scripting (XSS) und weitere Bedrohungen zu erkennen, die in Webumgebungen weit verbreitet sind und oftmals nicht zuverlässig von automatischen Scans erkannt werden. Durch das Aufspüren dieser Schwachstellen können Organisationen ihre Webanwendungen gegen Angriffe absichern und die Angriffsfläche signifikant reduzieren.

Active Directory Password Auditor: Gestohlene oder anderweitig kompromittierte Zugangsdaten sind der Einspiegspunkt für viele Cyberangriffe und Datenschutzverletzungen. Ein Audit der Passwörter in Active Directory hilft dabei die Stärke und Sicherheit der Passwörter in Ihrem Unternehmen zu bewerten. Auch werden mit dem Specops Password Auditor Ihre bestehenden Passwortrichtlinien überprüft und die Einhaltung von Best Practices, Hygieneprozesse und Sicherheitsstandards kontrolliert. Der Skostenlose Specops Password Auditor identifiziert schwache, wiederverwendete oder kompromittierte Passwörter um unbefugten Zugriff zu verhindern und die Sicherheitslage Ihrer Organisation zu verbessern.

Tipps und Tricks für eine erfolgreiche Discovery Phase

• Identifizieren Sie alle bekannten und bisher unbekannten Assets und bestimmen Sie mithilfe von EASM, welche in den Geltungsbereich Ihres CTEM-Projektes fallen.
• Verwenden Sie Tools wie EASM, RBVM und PTaaS, um Schwachstellen in den jeweiligen Assets zu ermitteln – denken Sie daran, sowohl lokale als auch Cloud-Umgebungen zu berücksichtigen.
• Setzen Sie Prioritäten bei der Analyse von Assets und deren Risiken basierend auf den während des Scoping-Prozesses identifizierten Bereichen.
• Berücksichtigen Sie, neben den klasssischen Schwachstellen, auch Fehlkonfigurationen, gefälschte Assets, kompromittierte Zugangsdaten, fehlerhafte Zertifikate und andere Themen, die eine Gefahr für Ihre Organisation darstellen können.
• Der Discovery-Prozess kann über den ursprünglich festgelegten Geltungsbereich hinausgehen, wodurch eine weitere Priorisierung erforderlich werden wird.

Der nächste Schritt – Phase 3: Priorisierung

Wenn Sie die Discovery-Phase erfolgreich abgeschlossen haben, dann sind Sie für den nächsten Schritt im CTEM-Prozess, die Priorisierung, gut gerüstet, da Sie bereits alle bekannten und bisher unbekannten Assets und die damit verbundenen Schwachstellen gründlich identifiziert haben. Diese ermöglicht Ihnen nun eine genaue Bewertung des Risikos, das mit den einzelnen Assets verbunden ist, und der damit verbundenen potenziellen Auswirkungen auf Ihr Unternehmen.

Mit einem vollständigen Überblick über die Schwachstellen können Ihre Sicherheitsteams Bedrohungsinformationen nutzen, um kritische Risiken zu priorisieren. So stellen Sie sicher, dass Ihre begrenzten Ressourcen auf die Schwachstellen konzentriert werden, die dem Unternehmen am ehesten Schaden zufügen können, und erhöhen so die Gesamteffektivität des CTEM-Programms.

Erfahren Sie hier mehr über die Threat Exposure Management-Plattform von Outpost24 und beginnen Sie Ihren CTEM-Prozess noch heute!