Acht Gründe für die Implementierung von External Attack Surface Management (EASM)

Bei der modernen Cybersicherheit geht es nicht nur darum, was sich innerhalb Ihres Netzwerks befindet, sondern auch darum, was der Außenwelt ausgesetzt ist. Mit der zunehmenden Verbreitung von Cloud-Diensten, der Integration von Drittanbietern und der Einrichtung von Remote-Arbeitsplätzen ist die externe Angriffsfläche Ihres Unternehmens exponentiell gewachsen. Herkömmliche Sicherheitsmaßnahmen können mit dieser Ausbreitung oft nicht Schritt halten und lassen potenzielle Schwachstellen unkontrolliert.

Hier kommt External Attack Surface Management (EASM) ins Spiel. EASM-Lösungen sind so konzipiert, dass sie Ihnen einen Überblick über Ihre nach außen gerichteten Ressourcen verschaffen und Ihnen dabei helfen, Risiken zu erkennen und zu mindern, bevor sie sich zu echten Bedrohungen entwickeln. External Attack Surface Management (EASM) kann Unternehmen auf der ganzen Welt bei der Transparenz, Erfassung, Überwachung und Analyse ihrer Online-Angriffsflächen helfen. Wenn Sie als IT-Experte eine EASM-Lösung in Erwägung ziehen, finden Sie hier acht überzeugende Gründe, warum sie ganz oben auf Ihrer To-Do-Liste stehen sollte.

1. Erfassung & Inventur von IT-Assets 

Einer der wichtigsten Werte des External Attack Surface Management ist die automatische Erkennung und Erfassung aller Online-Assets Ihres Unternehmens. Eine EASM-Lösung führt kontinuierlich Aufzeichnungen über die bekannten, unbekannten und nicht verwalteten IT-Assets, die mit dem Internet verbunden sind. Das zentrale Inventar der Internet-Assets, das aufgebaut wird, wird automatisch auf dem neuesten Stand gehalten. Es gibt Ihnen einen Echtzeit-Status der externen Angriffsfläche und warnt Sie, wenn neue Assets und Probleme auftreten. Was Sie wissen, können Sie auch schützen.

Sweetpatic Asset Discovery Dashboard

In der ersten Phase der Cyber Kill Chain führen böswillige Akteure Untersuchungen in Unternehmen durch, um ihre Opfer auszuwählen. Sie werden versuchen, alles über das Unternehmen zu finden, was sie finden können, einschließlich aller online exponierten Assets. Indem Sie Ihre Angriffsfläche kartieren und kennen, bevor Cyberkriminelle es tun, können Sie Cyberangriffe verhindern, indem Sie Ihre Online-Exposition reduzieren und Assets ohne geschäftliche Rechtfertigung entfernen, Fehlkonfigurationen beheben, Sicherheitsprobleme sowie -risiken beseitigen und Ihre Angriffsfläche bereinigen, um sie so schlank und agil wie möglich zu machen. Damit werden Sie weniger attraktiv für Cyber-Kriminelle.

Unsere automatisierte (primäre) Domain-Erkennung stellt sicher, dass Ihre horizontale Angriffsfläche in der Sweepatic-Plattform kontinuierlich vervollständigt wird, und behält mögliche Look-alike-Domains im Auge. Eine Bestandsaufnahme der Assets, die mit dem Internet verbunden sind, ist extrem wichtig, aber sie muss auf dem neuesten Stand bleiben. Die Sweepatic-Plattform überwacht automatisch und kontinuierlich die entdeckte Angriffsfläche Ihres Unternehmens auf Veränderungen. Seien Sie der Erste, der erfährt, wenn sich Ihre Angriffsfläche ändert oder Probleme, Schwachstellen oder Fehlkonfigurationen auftauchen.

A reason for EASM: Asset Discovery and Inventory Example

2. Angriffsflächenbewertung & Reporting

EASM-Lösungen bieten häufig eine Bewertung der Angriffsfläche. Dabei handelt es sich um eine Einschätzung der Cyber Security-Lage des Unternehmens, die angibt, wie gut die Angriffsfläche zu einem bestimmten Zeitpunkt verwaltet wird und wie sie sich in Zukunft verbessert.

Attack Surface Scores bewerten die Angriffsfläche über den gesamten Bereich, auf Asset-Ebene und auf Beobachtungen (Angriffsflächenprobleme). Dabei werden sechs Dimensionen der Cybersecurity berücksichtigt, nämlich Schwachstellen, Konfiguration, exponierte Services, Verschlüsselung, Reputation und Hygiene. Die Bewertung der Angriffsfläche hilft Unternehmen bei dem Reporting, indem sie angibt, wie gut die Angriffsfläche zu einem bestimmten Zeitpunkt verwaltet wird und wie sie sich in Zukunft verbessern wird.

Für große Unternehmen kann es interessant sein, die externe Angriffsfläche logisch in Teilbereiche zu unterteilen. Diese Teilbereiche können auf Niederlassungen, Marken, Standorten, logischen Geschäftsbereichen usw. basieren und stellen eine einfache Möglichkeit dar, die Angriffsfläche zu gruppieren, zu strukturieren und zu filtern.

Neben der Angriffsflächenbewertung nutzen Unternehmen die visuellen Darstellungen, Trendlinien und Analysen im Dashboard für ihre Reportings. Durch die Aufteilung der Ergebnisse in der Plattform in verschiedene Teilbereiche für jede Ihrer Marken oder Unterabteilungen erhalten Sie außerdem einen spezifischen Bericht für jeden Teil des Unternehmens.

Darüber hinaus bietet das Dashboard der Sweepatic-Plattform einen visuellen Überblick über Ihre Angriffsfläche und dient als effizientes Berichtswerkzeug. Alle Bereiche der Plattform können exportiert werden, und es kann ein Reporting erstellt werden, das den aktuellen Zustand der Angriffsfläche zusammenfasst. Zusätzlich bietet die Plattform eine vollständig dokumentierte API und Integrationen.

Attack Surface Scoring in Sweepatic Platform

3. Schutz der Marke

Die Sweepatic-Plattform von Outpost24 verwendet verschiedene Techniken zur Überwachung des Zustands der Marke(n) Ihres Unternehmens. Mit unserer automatisierten Cybersquatting– oder Look-alike-Domain-Erkennung und unseren Verdachtsindikatoren haben Sie Zugang zu einem Frühwarnsystem, das Ihre Maßnahmen ankurbeln kann, bevor ein böser Akteur davon profitiert.

Das Ziel bösartiger Akteure, die Cybersquatting-Domains registrieren, ist es, entweder den Ruf der Marke zu schädigen oder durch eine Phishing-Kampagne sensible Informationen von ahnungslosen Besuchern zu sammeln. Cybersquatting-Domain-Kandidaten werden automatisch entdeckt und auf der Grundlage verschiedener Techniken wie TLD-Swap, NS-Match und Website-Links als verdächtig eingestuft.

Ein spezielles Beispiel für eine Methode zum Auffinden von Cybersquatting-Domains sind geparkte Domains. Eine geparkte Domain zeigt an, dass ein Domain-Kandidat bei einer Registrierstelle zum Kauf verfügbar ist. Es ist wichtig, diese geparkten Domain-Kandidaten im Auge zu behalten, da sie von einem Kriminellen erworben und missbraucht werden können. Sie können die Domain entweder selbst proaktiv kaufen oder sie über die Sweepatic-Plattform weiter überwachen (z.B. um zu sehen, wer sie kauft).

Mit der Funktion des Markenschutzes können Sie Keywords – wie Marken-, Produkt- oder Firmennamen – zu Ihrem Geltungsbereich hinzufügen. Mit diesen Keywords kann die Plattform mehr Domains, Subdomains und ähnliche Websites aufspüren, die entweder Ihrem Unternehmen gehören oder eine Bedrohung durch Domainsquatting darstellen können.

Die auf diesen Keywords basierenden Domain-Funde werden im Abschnitt Domain Discovery in unserer EASM-Plattform angezeigt und nach der Wahrscheinlichkeit, dass sie Ihrem Unternehmen gehören, sowie nach dem Grad der Verdächtigkeit bewertet.

Asset and Domain Discovery to identify cybersquatting - detail Screenshot

4. Überwachung von Verschlüsselungszertifikaten

Mit EASM werden Ihre Verschlüsselungs- und Zertifikatsketten kontinuierlich überwacht. Das System warnt Sie vor Websites und Online-Portalen ohne gültiges SSL-Zertifikat, vor Zertifikaten, die (bald) ablaufen, sowie vor schwachen oder veralteten TLS-Protokollen. Eine ordnungsgemäße Verschlüsselung verhindert Datenverluste und Man-in-the-Middle-Angriffe.

Das Certificate Modul in der Sweepatic-Plattform behält alle Ihre Webseiten und deren SSL-Zertifikate im Auge, einschließlich der Ablaufdaten, der Zertifikatskette, der TLS-Protokolle und der Aussteller. Auf diese Weise können Sie Ihren Verschlüsselungsstandard kontinuierlich überwachen und werden bei Verstößen gewarnt. Die Verschlüsselung ist auch eine der sechs Cybersecurity-Dimensionen, die zur Bewertung der Angriffsfläche herangezogen werden. Dies bedeutet, dass gültige SSL-Zertifikate zu einer besseren Gesamtbewertung Ihrer Angriffsfläche und damit zu einer besseren Cybersecurity-Lage beitragen.

Encryption certificate monitoring with EASM platform Sweepatic

5. Einhaltung der DSGVO

Ein fünfter Einsatzbereich von EASM ist die Einhaltung der Datenschutz-Grundverordnung. EASM kann dazu beitragen, alle Ihre internetfähigen Assets zu lokalisieren. Finden Sie Hosts in Ihrem externen Perimeter, die in einem Land eingesetzt werden, zu dem Sie keine Beziehung haben. Auf der Grundlage einer Liste von Marketing- und Analyse-Cookies (d.h. Tracking-Cookies) erkennt Sweepatic Cookies, die gesetzt werden, bevor (oder ohne dass) die Zustimmung der Nutzer vorliegt. Außerdem verfolgt die Plattform Verstöße gegen die Cookie-Zustimmung auf Ihren Websites Dies ist nämlich ein Verstoß gegen die EU-DSGVO, und die lokalen Datenschutzbehörden verhängen Geldstrafen für Verstöße.

6. Fusionen und Akquisitionen

Mit EASM erhalten Sie nicht nur automatisch Einblick in die Angriffsfläche Ihres Unternehmens, sondern auch in die von (zukünftig) übernommenen Unternehmen. Ohne jegliche Installation, auf der Grundlage von OSINT und öffentlich zugänglichen Informationen, bietet Ihnen EASM von Sweepatic einen sofortigen Überblick über mögliche Schwachstellen, Fehlkonfigurationen, die Gesamtbewertung der Angriffsfläche und vieles mehr.

Eine intelligente Auflistung aller primären Domains, Subdomains, Websites, SSL-Zertifikate, Hosts, Technologien und anderer IT-Assets ist in den automatisch aktualisierten und zentralisierten Asset-Inventaren der Sweepatic-Plattform jederzeit zugänglich. Die Subscope-Funktionalität ermöglicht es Ihnen, die Daten nach bestimmten Unterkategorien zu filtern.

Durch die automatische und kontinuierliche Erkennung, Kartierung und Überwachung aller mit dem Unternehmen verbundenen Internet-Assets haben Sie die sich verändernde und wachsende Angriffsfläche jederzeit im Blick. Sie können dann Schwachstellen bewerten und beheben. Das Asset und Attack Surface Scoring der Plattform zeigt den Zustand der Cybersicherheitslage des Unternehmens an. Dies kann bei der Bewertung vor einer Fusion oder Übernahme helfen.

Network graph in the Sweepatic Platform

7. Schatten-IT

Durch die kontinuierliche Erkennung von Assets im Internet findet EASM unbekannte und nicht verwaltete IT-Assets. Dazu gehört auch Schatten-IT, auf die Sie aufmerksam gemacht werden, damit Sie die entsprechenden Maßnahmen ergreifen können.

Durch die digitale Transformation wächst die Angriffsfläche von Unternehmen stetig. Die Anzahl der mit dem Internet verbundenen Assets wie Websites, Subdomains, Hosts, Technologien und Cloud-Ressourcen nimmt rasant zu. Das Gleiche gilt für Schatten-IT – IT-Assets, die dem Wissen oder der Aufmerksamkeit der zentralen IT-Abteilung entgehen. Schatten-IT verschlingt unnötig Budget und erhöht Sicherheitsrisiken, die möglicherweise weder verfolgt noch verwaltet werden.

Mit der kontinuierlichen Erkennung von Internet-Assets kann die EASM dabei helfen, diese Schatten-IT zu finden, indem sie Sie auf unbekannte und/oder nicht verwaltete Assets aufmerksam macht und entsprechende Maßnahmen ergreift. Die Verwaltung der Angriffsfläche fördert die Reduzierung von Schatten-IT-Ressourcen. Die Benachrichtigungen der Sweepatic-Plattform halten Sie über neue Assets auf dem Laufenden, die in Ihrer Angriffsfläche auftauchen. Auf diese Weise sind Sie immer informiert, wenn ein mögliches Schatten-IT-Asset kurz vor der Erstellung stand.

Network visualization to find shadow IT with External Attack Surface Management

8. Bewertung von Schwachstellen und Fehlkonfigurationen

Alle in einer EASM-Plattform entdeckten Internet-Assets werden auf Schwachstellen und Fehlkonfigurationen untersucht. Durch Benachrichtigungen werden Sie auf Probleme aufmerksam gemacht, die Sie (dringend) überprüfen müssen. Auf diese Weise können Unternehmen ihre Angriffsfläche entsprechend verwalten und den Behebungsprozess einleiten.

Alle von der Sweepatic-Plattform erzeugten Daten werden nach ihrer Wichtigkeit eingestuft, hier einige Beispiele:

  • Leichte Bewertung der Schwachstellen: Die von Ihren Internet-Assets verwendeten Technologien werden auf bekannte Schwachstellen geprüft und u.a. nach ihrem CVSS-Score (Common Vulnerability Scoring System) priorisiert.
  • Exponierte Services: Haben Sie offene Ports, die für Außenstehende nicht direkt erkennbar sein sollten?
  • Überwachung von Verschlüsselungszertifikaten: Die Plattform prüft alle Webanwendungen auf SSL-Zertifikate, deren Gültigkeit sowie Ablaufdatum und vieles mehr.
  • Verstöße gegen die Cookie-Zustimmung: Ist Ihr Cookie-Zustimmungsmechanismus auf Ihren Websites richtig konfiguriert?
  • Reputationsprüfungen: Stehen Ihre Mailserver auf Sperrlisten?

Dadurch wird eine Priorisierung anhand einer Liste mit Maßnahmen vorgenommen, die in Ihrer Angriffsfläche berücksichtigt werden müssen. Erkannte Schwachstellen und Fehlkonfigurationen spiegeln sich auch in der Bewertung der Angriffsfläche wider.

EASM tracker

Lassen Sie Ihre Angriffsfläche bewerten

Sweepatic, die EASM-Lösung von Outpost24, erkennt und inventarisiert alle internetfähigen Anlagen, die mit Ihrem Unternehmen verbunden sind. Dazu gehören auch unbekannte und nicht verwaltete IT-Assets, die Sie einsehen können und die automatisch im zentralen Inventar der internetfähigen Assets auf dem neuesten Stand gehalten werden. Eine EASM-Plattform kann den Echtzeit-Status der Angriffsfläche liefern, einschließlich visueller Darstellungen und Trends. Darüber hinaus werden Benachrichtigungen verschickt, wenn eine neue Asset-Entdeckung oder eine Änderung der Angriffsoberfläche auftritt, was zu priorisierten Beobachtungen führt, die Sie (dringend) in Augenschein nehmen müssen.

Unser einfaches Onboarding-Verfahren erfordert keine Software- oder Agenteninstallation – die Plattform ist Cloud-basiert und über eine sichere Anmeldung über Ihren Internetbrowser leicht zugänglich. Um loszulegen, benötigen wir nur grundlegende Informationen wie Ihren Firmennamen und Ihre primären Domains. Buchen Sie noch heute Ihre kostenlose Angriffsflächenanalyse.