Die häufigsten Schwachstellen in Ihrer externen Angriffsfläche
Stellen Sie sich die digitale Festung Ihres Unternehmens vor – und jetzt stellen Sie sich tausend versteckte Türen vor, von denen jede ein potenzieller Einfallspunkt für Cyberangriffe ist. Wir bezeichnen diese Türen als Schwachstellen in Ihrer externen Angriffsfläche. Der erste Schritt, um sie zu schließen, besteht darin, sie zu verstehen.
Externe Schwachstellen sind die Schwachstellen in der Infrastruktur einer Organisation, die von außerhalb durch Cyberkriminelle missbraucht werden können. Darunter fallen öffentlich zugängliche Webserver, E-Mail-Server, VPN Ports und andere Dienste. Unternehmen müssen sich der Risiken bewusst sein, die mit diesen Schwachstellen verbunden sind, und die entsprechenden Schritte unternehmen, um ihre Infrastruktur vor Angriffen zu schützen.
In diesem Beitrag werfen wir einen Blick auf die häufigsten Schwachstellen, das potenzielle Risiko, das sie für Ihr Unternehmen darstellen und wie Sie diese Schwachstellen mit einer EASM-Lösung (External Attack Surface Management) verwalten können.
Falsch konfigurierte Zugriffsrechte
Eine Umfrage unter 775 Cybersecurity-Experten auf der ganzen Welt ergab, dass Vorfälle im Zusammenhang mit Fehlkonfigurationen im Jahr 2021 um 10 % zunehmen werden – ein Trend, der sich mit der zunehmenden Verbreitung der Cloud wahrscheinlich noch beschleunigen wird. Noch aufschlussreicher ist die Tatsache, dass 27 % der Unternehmen Fehlkonfigurationen als das Hauptproblem ihrer Organisation bezeichneten, weit vor anderen Problemen wie gefährdeten Daten oder kompromittierten Konten.
Ein aktueller Fall macht dies besonders deutlich. Ein falsch konfigurierter Amazon S3-Bucket führte dazu, dass 3 TB an Flughafendaten – mehr als 1,5 Millionen Dateien – für jeden zugänglich waren, ohne dass ein Passwort erforderlich war. Die Dateien enthielten Fotos von Flughafenmitarbeitern und andere personenbezogene Daten sowie sensible Dokumente über die Wartung von Flugzeugen und Landebahnen.
Ungepatchte Software und Hardware
Ungepatchte Software ist ein weiterer wichtiger Angriffsweg für böswillige Akteure. Ganz gleich, ob es sich um ein Betriebssystem, einen Webbrowser oder sogar eine Hardwarekomponente wie einen Router handelt, wenn diese nicht mit aktuellen Sicherheits-Patches und -Updates versehen ist, können Angreifer möglicherweise die entsprechenden Schwachstellen ausnutzen.
Einem aktuellen Bericht zufolge verfügt mehr als die Hälfte aller Unternehmen über mindestens ein Gerät, auf dem ein veraltetes Betriebssystem oder eine veraltete Anwendung läuft. Ein aktuelles Beispiel für die anhaltende Bedrohung der Cybersicherheit sind die gezielten Angriffe auf die ungepatchte IBM Aspera Faspex File-Exchange-Software durch Ransomware-Gruppen wie Buhti und IceFire. Obwohl IBM die Schwachstelle mit der Bezeichnung CVE-2022-47986 behoben hat, werden weiterhin aktive Versuche gemeldet, anfällige Versionen auszunutzen, einschließlich Verschlüsselungsangriffe auf mehrere Server.
Offene Ports und Services
Offene Ports können ein ernsthaftes Risiko für IT-Umgebungen darstellen, da Bedrohungsakteure diese Schwachstellen durch Techniken wie Spoofing, Ausschnüffeln von Anmeldeinformationen und andere bösartige Methoden ausnutzen.
Einige spezifische Ports wurden als besonders anfällig für Cyberangriffe identifiziert, z. B. Port 20 und 21 (FTP), Port 22 (SSH), Port 3389 (Remote Desktop), aber auch viele andere sind anfällig.
Die Ransomware WannaCry, die eine SMB-Schwachstelle ausnutzte, und laufende Kampagnen, die auf das Remote Desktop Protocol von Microsoft abzielen, veranschaulichen die realen Folgen dieser Schwachstellen.
Schwache Netzwerkabgrenzung
Ein starker Netzwerkperimeter stellt die erste Verteidigungslinie gegen externe Bedrohungen dar. Ohne geeignete Sicherheitsmaßnahmen können böswillige Akteure leicht in das Netzwerk eindringen, was zu unbefugtem Zugriff, Datenverletzungen oder sogar einer vollständigen Systemübernahme führt.
In einem der raffiniertesten Angriffe der jüngeren Vergangenheit haben böswillige Akteure die SolarWinds Orion-Software kompromittiert, indem sie eine Sicherheitslücke in die Software-Updates einfügten. Schwache Netzwerkperimeter und mangelnde Überwachung ermöglichten es den Angreifern, sich seitlich durch die Netzwerke tausender SolarWinds-Kunden zu bewegen, darunter mehrere US-Regierungsbehörden.
Phishing und Social Engineering
Das menschliche Element macht immer noch die überwältigende Mehrheit der Vorfälle aus und ist ein ernstzunehmender Grund für 74 % aller Sicherheitsverstöße, auch wenn Unternehmen weiterhin Anstrengungen unternehmen, um ihre kritischen Assets zu schützen und umfassende Schulungen zu Cybersicherheitsthemen durchführen.
Laut dem jährlichen Data Breach Investigations Report (DBIR) 2023 von Verizon haben sich Social-Engineering-Angriffe, einschließlich Business Email Compromise (BEC)-Angriffe, als äußerst effektiv und profitabl erwiesen. Dies könnte erklären, warum diese Art von Angriffen erheblich zugenommen hat und sich von Jahr zu Jahr fast verdoppelt.
Ungesicherte APIs
Da Unternehmen immer mehr auf vernetzte Anwendungen und Cloud-basierte Dienste setzen, ist die Sicherheit von APIs zu einem Schwerpunkt der Cybersicherheitsstrategien geworden. APIs sind ein lukratives Ziel für Hacker, die sich Zugang zu personenbezogenen Daten verschaffen und raffinierte Social-Engineering-Angriffe durchführen wollen.
Im Juni 2021 wurde eine Sicherheitslücke in der API von Twitter entdeckt und anschließend gepatcht, was jedoch später zu erheblichen Konsequenzen führte. Im Dezember behauptete ein Hacker, er habe die persönlichen Daten von 400 Millionen Nutzern im Dark Web zum Verkauf, und die Kontodaten und E-Mail-Adressen von 235 Millionen Nutzern wurden kostenlos veröffentlicht. Durch den Einbruch wurden Informationen wie Kontonamen, Benutzerhandles, Erstellungsdaten, Anzahl der Follower und E-Mail-Adressen der Nutzer offengelegt.
Veraltete oder mangelhafte Verschlüsselung
Verschlüsselung ist ein wesentlicher Bestandteil jeder Sicherheitsstrategie. Veraltete oder mangelhafte Verschlüsselungsprotokolle können jedoch ein großes Risiko darstellen.
Der jüngste Sicherheitsvorfall mit einem kompromittierten Microsoft-Key, der dem chinesischen Threat-Actor Storm-0558 zugeschrieben wird, hat weitreichende Folgen. Forscher fanden heraus, dass der kompromittierte Schlüssel nicht nur auf Outlook.com und Exchange Online beschränkt war, sondern auch zum Fälschen von Zugriffstokens für verschiedene Azure Active Directory-Anwendungen wie SharePoint, Teams und OneDrive verwendet werden konnte.
Microsoft hat das Risiko zwar durch den Widerruf des betroffenen Schlüssels entschärft, aber die Identifizierung gefälschter Token kann für Kunden aufgrund fehlender Protokolle im Token-Verifizierungsprozess immer noch eine Herausforderung sein. Der Vorfall unterstreicht die immense Macht der Signierschlüssel von Identitätsanbietern und verlangt nach mehr Sicherheit und Transparenz beim Schutz solcher Schlüssel, um ähnliche Vorfälle in Zukunft zu verhindern und ihre möglichen Konsequenzen zu minimieren.
Abhängigkeiten von Drittanbietern
Externe Bibliotheken bieten zwar den Vorteil zusätzlicher Funktionen, ohne dass sie von Grund auf neu entwickelt werden müssen, haben aber den Nachteil, dass das Unternehmen nur begrenzte Kontrolle über ihre Sicherheit hat. Dieser Mangel an Kontrolle bedeutet, dass Schwachstellen innerhalb dieser Komponenten das gesamte System gefährden können.
Die Gefahr ist bei Open-Source-Komponenten besonders groß, da Schwachstellen in diesen Komponenten von böswilligen Akteuren relativ leicht ausgenutzt werden können. Beunruhigenderweise haben Forscher einen Anstieg der Cyberangriffe auf Open-Source-Repositories um 633 % festgestellt, was das wachsende Risiko widerspiegelt, das mit der Abhängigkeit von diesen externen Elementen verbunden ist.
DDoS-Angriffe
Einem neuen Bericht zufolge, der Bloomberg erstmals zur Verfügung gestellt wurde, ist das Volumen der DDoS-Angriffe auf Finanzunternehmen im November gegenüber dem Vorjahr um 22 % gestiegen. Die Angreifer nutzten in erster Linie Angriffe auf dem Application Layer, die schwer zu erkennen sind und spezielle Tools und Fachkenntnisse erfordern, um sie erfolgreich abzuschwächen.
Hauptmerkmale und Fähigkeiten von EASM-Lösungen
Ausgenutzte Schwachstellen können zu erheblichen Schäden führen, darunter finanzielle Einbußen, Imageverluste und Betriebsstörungen. EASM ist ein moderner Ansatz, der es Unternehmen ermöglicht, Einblick in ihre externen Angriffsflächen zu erhalten, Schwachstellen zu identifizieren und Risiken effektiv zu verwalten. Lösungen wie Sweepatic EASM von Outpost24 bieten eine verbesserte Erkennung von Bedrohungen, ein proaktives Schwachstellenmanagement und verbessern die Reaktionsmöglichkeiten auf Vorfälle.
Im Folgenden finden Sie einen Überblick über die wesentlichen Funktionen einer EASM-Lösung und wie sie zur Aufrechterhaltung einer stabilen Cybersicherheit beitragen:
Automatisierte 24/7-Überwachung
- Was sie leistet: Kontinuierliche Überwachung der externen Angriffsfläche auf Veränderungen und Anomalien, die Schwachstellen aufdecken könnten.
- Warum Sie es brauchen: Durch die Rund-um-die-Uhr-Überwachung wird sichergestellt, dass potenzielle Bedrohungen frühzeitig erkannt werden, so dass eine rasche Abhilfe möglich ist. Diese kontinuierliche Kontrolle trägt zur Widerstandsfähigkeit eines Unternehmens bei.
Asset-Erkennung
- Was es leistet: Entdeckt und katalogisiert alle nach außen gerichteten Assets wie Domains, Subdomains, IP-Adressen und mehr.
- Warum Sie es brauchen: Die Kenntnis aller externen Ressourcen ist der erste Schritt, um sie zu sichern. Die Bestandsermittlung ermöglicht es Unternehmen, ihre Online-Präsenz zu verstehen und somit fundiertere Sicherheitsentscheidungen zu treffen.
Bewertung der Schwachstellen
- Was wird getan: Identifizierung und Priorisierung von Schwachstellen in der gesamten externen Angriffsfläche, damit Unternehmen erkennen können, wo sie am meisten gefährdet sind.
- Warum Sie es brauchen: Durch regelmäßiges Scannen nach bekannten Schwachstellen können Unternehmen diese Schwachstellen schließen, bevor sie ausgenutzt werden.
Analyse von Konfigurationen
- Was wird damit erreicht: Überprüfung der Einstellungen von nach außen gerichteten Assets, um sicherzustellen, dass sie mit den Best Practices und den Compliance-Standards übereinstimmen.
- Warum Sie das brauchen: Fehlkonfigurationen können oft zu unerwarteten Risiken führen. Durch eine regelmäßige Bewertung der Einstellungen können Unternehmen diese potenziellen Schwachstellen beheben und die Angriffsfläche verringern.
Bewertung der Angriffsfläche
- Was es bewirkt: Bietet ein quantifizierbares Maß für das Sicherheitsrisiko der externen Angriffsfläche eines Unternehmens, oft auf der Grundlage verschiedener Faktoren wie Schwachstellen, Konfigurationen und anderer Risikoparameter.
- Warum Sie es brauchen: Anhand einer messbaren Kennzahl können Unternehmen ihre Fortschritte im Laufe der Zeit verfolgen und ihre Ressourcen auf die Bereiche konzentrieren, die am meisten Aufmerksamkeit erfordern. Dies trägt zu einer insgesamt robusteren Cybersicherheitsstrategie bei.
Best Practices für EASM
Bei der Implementierung und Nutzung von EASM-Lösungen sollten sich Unternehmen an eine Reihe von Best Practices halten, darunter:
- Proaktives Schwachstellenmanagement: Aktives Aufspüren von Schwachstellen mit Hilfe von Tools, die einen Einblick in Echtzeit bieten.
- Regelmäßiges Scannen und Überwachen: Kontinuierliches Scannen und Monitoring zur Früherkennung von Bedrohungen.
- Rechtzeitiges Patchen: Halten Sie die Software auf dem neuesten Stand und wenden Sie systematisch Patches an, um das Risiko eines Angriffs zu verringern.
- Kontinuierliche Verbesserung der Sicherheitskontrollen: Regelmäßige Überprüfung und Aktualisierung der Sicherheitskontrollen, um sie an die sich entwickelnde Bedrohungslandschaft anzupassen.
- Mitarbeiterschulung: Informieren Sie Ihre Mitarbeiter über gängige Angriffsmethoden und fördern Sie eine Kultur der Achtsamkeit in Bezug auf die Cybersicherheit.
Eine solide EASM-Strategie erfordert einen proaktiven Ansatz, ständige Wachsamkeit und einen Schwerpunkt auf Schulung und Zusammenarbeit. Wenn Unternehmen diese Best Practices befolgen, können sie eine widerstandsfähige Verteidigung gegen die sich ständig verändernde Landschaft der Cyber-Bedrohungen aufbauen.
Die EASM-Lösung von Outpost24 bietet einen mehrschichtigen Ansatz für die Cybersicherheit. Die Synergie aus 24/7-Überwachung, Bestandsermittlung, Schwachstellen- und Konfigurationsbewertungen sowie Angriffsflächenbewertung stellt sicher, dass Unternehmen nicht nur ihre aktuelle Sicherheitslage kennen, sondern auch in der Lage sind, sich weiterzuentwickeln und an neue Bedrohungen anzupassen.