CTEM-Schritt-für-Schritt | Phase 1: Scoping
Willkommen zu unserer Blogserie zum Thema Continuous Threat Exposure Management (CTEM), in der wir einen Blick auf die fünf wesentlichen Phasen werfen. Continuous Threat Exposure Management (CTEM) wurde 2022 durch Gartner definiert und stellt einen effektiven Prozess zur kontinuierlichen Verwaltung der Cyberhygiene und des Cyberrisikos Ihrer Organisation dar. Zu Beginn ist es jedoch sehr komplex, daher ist es hilfreich die Implementierung in die einzelnen Phasen zu gliedern. Wir beginnen unsere Serie mit der entscheidenden ersten Phase: Scoping.
Scoping umfasst die Definierung der Assets, die in den Geltungsbereich Ihres CTEM-Ansatzes fallen. Diese Phase dient dazu, sich einen Überblick über Ihre IT-Ressourcen zu verschaffen, aber auch zu entscheiden, welche davon geschäftskritisch sind und besondere Aufmerksamkeit erfordern. Anhand dieses vorläufigen Rahmens lässt sich auch der Nutzen des CTEM-Ansatzes für die Stakeholder ermitteln. Im Rahmen des fortlaufenden Prozesses ist dieser definierte Rahmen nicht in Stein gemeißelt. So kann der Geltungsbereich dynamisch in dem Maße wachsen, wie sich die Angriffsfläche der Organisation vergrößert, das Programm reift und weitere Erkenntnisse gewonnen werden. Kurz: Der Umfang Ihres CTEM-Ansatzes kann sich entsprechend ändern und weiterentwickeln.
Was gehört zu einem gelungenen Scoping für CTEM?
Für den Erfolg des CTEM-Prozesses ist ein genauer Geltungsbereich auf Grundlage von Geschäftsrisiken und potenziellen Folgen entscheidend. Für Ihre Sicherheitsteams ist es wichtig zu wissen, worauf es dem Unternehmen ankommt, sodass sie sich auf die größten Risiken konzentrieren können und gemeinsam Gegenmaßnahmen einleiten können. Dazu gehört es auch, zu verstehen, was für andere Teams wichtig ist, um entsprechende Maßnahmen umzusetzen. Denn letztendlich geht es darum, sich auf das zu konzentrieren, was für die Sicherheit und dem Fortbestand des Unternehmens wichtig ist.
Indem man beim Scoping auch die Angriffsfläche aus der Perspektive eines Angreifers betrachtet, sollen Schwachstellen priorisiert werden, die am ehesten als Einfallstor genutzt werden können. Ein erster Schritt könnte sein, sich auf externe Angriffsflächen oder die Sicherheitslage Ihrer diversen Software-as-a-Service (SaaS)-Plattformen zu konzentrieren. Besonders relevant ist dies in modernen Unternehmen, bei denen SaaS eine wichtige Rolle spielt und deren Mitarbeiter an unterschiedlichen Standorten, oder Remote tätig sind. Beim Scoping geht man über das herkömmliche Schwachstellenmanagement hinaus, indem man einen breiteren Bestand an Assets in Betracht zieht, darunter:
- Traditionelle Geräte
- Cloudanwendungen
- Berufliche Social Media Accounts
- Online-Code-Repositories
- Fest integrierte Systeme innerhalb der Software-Lieferkette
Scoping ist von entscheidender Bedeutung für den Rest des CTEM-Prozesses, da es dazu beiträgt, den Umfang dessen, was für Ihr Unternehmen wichtig ist, zu definieren und zu verfeinern. Auf diese Weise wird der Fokus auf die Schlüsselbereiche des Unternehmens gerichtet, im Gegensatz zur bloßen Ermittlung einer großen Anzahl von Assets und Schwachstellen. Dieser erste Schritt bildet die Grundlage für die nachfolgenden Schritte der Discovery, Priorisierung, Validierung und Mobilisierung und stellt sicher, dass Ihr CTEM-Programm auf das ausgerichtet ist, was für Ihre Organisation am wichtigsten ist.
Wo liegen die Risiken eines mangelhaften Scopings?
Sollte es einer Organisation nicht gelingen, einen angemessenen Umfang zu definieren, könnte dies den restlichen CTEM-Prozess in mehrfacher Hinsicht erheblich beeinträchtigen:
- Verwirrung zwischen Scoping und Discovery: Ein unzureichendes Scoping kann zu Unklarheiten in der zweiten CTEM-Phase (Discovery) führen. Dies kann dazu führen, dass eine große Anzahl von Assets und Schwachstellen untersucht werden, ohne dass ein klares Verständnis zum Risiko besteht, die durch eine Kompromittierung oder Ausnutzung entstehen könnten.
- Schleichende Expansion des Aufgabenbereichs: Ohne einen klar definierten Aufgabenbereich könnte die Steuerung des CTEM-Ansatzes zunehmend komplizierter werden, da Assets und Schwachstellen in späteren Phasen entfernt oder hinzugefügt werden, was wiederum den Prozess verkompliziert.
- Eine schwierige Priorisierung: Ein unklarer Scope verlagert die Verantwortung auf die Phase der Priorisierung („Phase drei“ des CTEM). Das erfordert dann zusätzliche Anstrengungen, um das Chaos zu überblicken und sich auf das zu konzentrieren, was wirklich wichtig ist. Einfacher und zeitsparender ist es, dies zu Beginn der Scoping- Phase zu tun.
- Unrealistische Bewertung: Bemühungen zur realistischen Bewertung von Schwachstellen und Bedrohungsinformationen werden beeinträchtigt, wenn dieser Fokus auf weniger kritische Bereiche gelenkt wird.
- Allgemeine Ineffizienz: Unzureichendes Scoping kann dazu führen, dass der komplette CTEM-Ansatz wirkungslos und ineffizient wird, was dazu führen kann, dass kritische Schwachstellen nicht behoben werden und das Unternehmen dadurch gefährdet wird.
Welche Tools eigenen sich zum Scoping im Rahmen eines CTEM-Ansatzes?
Es gibt eine Reihe von Tools, die beim Scoping hilfreich sein können. Dazu gehören Tools zur Inventarisierung und Kategorisierung von Assets, sowie Tools zum Simulieren oder Testen von realistischen Angriffsszenarien. Diese Arbeiten sind für die Festlegung des anfänglichen Scopes des CTEM-Projektes von entscheidender Bedeutung. Sie helfen nicht nur dabei, den Stakeholdern den Mehrwert des Projektes zu demonstrieren, sondern bilden auch die Grundlage für die Weiterentwicklung des Projektes im Laufe der Zeit.
External Attack Surface Management (EASM) spielt in der Scoping-Phase eine entscheidende Rolle, da es die Identifikation von Assets und Domains in der gesamten Angriffsfläche weitgehend automatisiert. Dafür werden sowohl bereits bekannte als auch unbekannte Objekte identifiziert, so dass ein umfassender und aktueller Blick auf die Angriffsfläche gewonnen wird. Dadurch wird sichergestellt, dass alle relevanten Assets in den Scope für weitere Analysen und Schutzmaßnahmen aufgenommen werden. Beispielsweise können Features wie KI-gestützte Domain Discovery Unternehmen dabei helfen, die zu ihnen gehörenden Domains schnell zu identifizieren.
Die Fähigkeit von EASM-Lösungen, Risiken kontinuierlich zu beobachten und zu bewerten, macht sie zu einem wesentlichen Instrument zur Ermittlung eines genauen und aktuellen Scopes im CTEM-Prozess. Gerne zeigen wir Ihnen in einer Demo, wie EASM Sie bei der Ermittlung Ihres CTEM-Scopes unterstützen kann.
So nutzen Sie EASM für die Scoping-Analyse
Eine der Funktionen von EASM besteht darin, Einblicke in unbekannte Bereiche zu geben. In diesem Sinne können wir sagen, dass die EASM-Plattform wie ein Live-Tool zur Kartierung von Angriffsflächen funktioniert. Und alle Ergebnisse werden unter dem Scope – dem Bereich der externen Angriffsfläche des Unternehmens – gesammelt. Folglich werden alle Schwachstellen, die innerhalb des Unternehmens gefunden werden, einschließlich der vergessenen, unbekannten oder unbeaufsichtigten Domänen, Technologien, Websites usw., an einem Ort zur weiteren Analyse gesammelt.
EASM verwendet einen Null-Wissens-Ansatz. Das bedeutet, dass die Plattform mit dem Mapping und Scannen externer IT-Assets mit begrenzten Daten beginnt, z. B. einem Firmennamen oder primären Domäneninformationen. Der Onboarding-Prozess ist superschnell und einfach.
Nichtsdestotrotz ist es von entscheidender Bedeutung, eine gründliche und präzise Definition des Anwendungsbereichs beizubehalten, um bösartigen Akteuren immer einen Schritt voraus zu sein. Dieser proaktive Ansatz garantiert, dass die Plattform kontinuierlich genaue und relevante Informationen für ein effektives Risikomanagement liefert.
Die gute Nachricht ist, dass Sie nicht viel Zeit aufwenden müssen, um Ihren Bereich jederzeit anzupassen. Die EASM-Plattform verfügt über ein leistungsfähiges automatisches Domänenerkennungsmodul, das nach allem sucht, was Sie online besitzen (oder möglicherweise besitzen).
Nachstehend finden Sie eine Übersicht über alle Optionen, die Sie wählen können, um Ihren Scope auf dem neuesten Stand zu halten.
Primäre Domänen hinzufügen
Dies ist eine Standardoption. Sobald die EASM-Plattform Informationen über mindestens eine Ihrer primären Domänen erhält, ermöglicht sie der Suchmaschine, die digitale Oberfläche des Unternehmens abzubilden und zu untersuchen.
Alternativ dazu ist es auch möglich:
IPs/IP-Bereiche hinzufügen
Die Verwendung dieser Funktion ist nicht zwingend erforderlich. Sie kann zum Beispiel hilfreich sein, wenn Sie nur bestimmte IP-Bereiche scannen möchten, die mit einem bestimmten Projekt verbunden sind.
Subdomains hinzufügen
Die Angabe von Subdomains ist nicht notwendig, da sie automatisch erkannt werden. Sollten bestimmte Subdomains im Anwendungsbereich fehlen, können sie manuell hinzugefügt werden
Hinzufügen einer Cloud-Integration
Sie können eine Integration mit Amazon Web Services (AWS) und/oder Microsoft Azure hinzufügen, um regelmäßig Route 53- und DNS-Zonendaten abzurufen. So können Sie die Ergebnisse verbessern und Ihre Domains im Auge behalten.
Markenschutz-Schlüsselwörter
Mit markenbezogenen Schlüsselwörtern kann die Plattform noch mehr Domains entdecken, die entweder zu Ihrem Unternehmen gehören oder eine Bedrohung durch Domain-Squatting darstellen können. Sie möchten von dieser Funktion profitieren, um die Marke Ihres Unternehmens vor Phishing und anderen schädlichen Aktivitäten zu schützen und die Definition Ihres Geltungsbereichs zu vervollständigen.
Domain Discovery
Unser Modul Domain Discovery wurde entwickelt, um alles zu finden, was Sie online besitzen. Dieses Modul erkennt primäre Domain-Kandidaten und liefert eine verifizierte Liste von ähnlich aussehenden Domains mit den Qualifizierungsstufen “ Eigentum“ und “ verdächtig“. Darüber hinaus können Sie einen Screenshot der Domäne sehen, und natürlich gibt es eine Reihe von Optionen, um zu entscheiden, was mit dieser Entdeckung geschehen soll (ablehnen, überwachen, zu Ihren primären Domänen hinzufügen oder zu einer potenziellen primären Domäne hinzufügen).
Vier zentrale Punkte für ein erfolgreiches CTEM-Scoping
- Beachten Sie alle Assets: Berücksichtigen Sie nicht nur klassische Assets, sondern auch alle Bestandteile einer modernen Angriffsfläche, SaaS-Systeme, Endgeräte, Apps, Social-Media-Konten, Online-Code-Repositories und Lieferantensysteme, die mit Ihrem Netzwerken verbunden sind.
- Ursprünglicher Scope und Nutzenversprechen: Starten Sie mit einem überschaubaren Anwendungsbereich, um kritischen Stakeholdern den Mehrwert des CTEM-Ansatzes aufzuzeigen. Eine Konzentration auf eine Reihe von geschäftskritischen Assets bietet mehr Einblicke als die gesamte Liste aller entdeckten Assets, Domains und Schwachstellen.
- Externes Angriffsflächenmanagement (EASM): Implementieren Sie EASM, um die Erkennung von bekannten und unbekannten Assets in Ihrer Angriffsfläche zu vereinfachen. Damit haben Sie den perfekten Ausgangspunkt, um daraus den Scope abzuleiten.
- Pilotprojekte: Bevor Sie den CTEM- Ansatz auf das gesamte Unternehmen übertragen, können Sie ihn zunächst in kleinerem Rahmen mit Pilotinitiativen testen. Dies gilt insbesondere für Bereiche wie beispielsweise externe Angriffsflächen und SaaS-Sicherheit, die im Zusammenhang mit Remote- Work und Cloud-basierten Geschäftsprozessen entscheidend sind.
Übergang zur Phase zwei: Discovery
Wie bereits erwähnt, stellt der Scoping-Prozess die Grundlage für die darauf folgende Discovery-Phase des CTEM-Ansatzes dar, indem während des Scopings sichergestellt wird, dass der Fokus auf die wichtigen und relevanten Bereiche des Unternehmens gelegt wurde. Dank dieser Vorarbeit wird sichergestellt, dass der Discovery-Prozess mit den wirtschaftlichen Prioritäten übereinstimmt und die Wahrscheinlichkeit von Unklarheiten oder Unstimmigkeiten im weiteren Verlauf verringert wird. Ein präzises Scoping ist nicht nur für die Identifizierung zahlreicher Assets wichtig, sondern auch für das Aufzeigen konkreter Risiken.