Angesichts der Tatsache, dass Unternehmen mit einem immer größer werdenden digitalen Fußabdruck zu kämpfen haben – angetrieben durch die zunehmende Nutzung von Cloud-Services, Telearbeit und Internet of Things (IoT)-Geräten – steht Ihr IT-Team vor einer wichtigen Entscheidung. Wie können Sie Gefahren und Schwachstellen in Ihrem gesamten digitalen Ökosystem effektiv identifizieren und entschärfen, um weiterhin einen wirksamen Schutz Ihrer Organisation zu gewährleisten? 

Zwei beliebte Lösungsansätze, External Attack Surface Management (EASM) und Schwachstellenmanagement (Vulnerability Management; VM), bieten dabei unterschiedliche, aber komplementäre Antworten auf diese Frage. In diesem Beitrag gehen wir auf die Unterschiede zwischen diesen Tools ein und zeigen ihre Stärken und Schwächen auf. Wir erörtern auch, warum eine Investition in beide Tools der Schlüssel zu einer ganzheitlichen Cybersecurity-Strategie sein kann.

Schwachstellenmanagement: Definition und Funktionsweise

Schwachstellenmanagement beschreibt den systematischen Prozess der Identifizierung, Bewertung, Behandlung und Meldung von Sicherheitslücken in der Infrastruktur und Software eines Unternehmens, wobei der Schwerpunkt auf softwarebasierten Schwachstellen liegt. 

Dieser Prozess fußt auf einer Bestandsliste, die anhand einer Liste von IP-Adressen und Systemen erstellt wird, und führt regelmäßige Scans durch, um bereits bekannte Schwachstellen zu erkennen. Die IT-Mitarbeiter planen diese Scans in der Regel wöchentlich, monatlich oder vierteljährlich, je nach Bedarf und Risikoprofil des Unternehmens. 

Nach dem Scannen bestimmt das Schwachstellenmanagement den Schweregrad der einzelnen Schwachstellen, wobei häufig das Common Vulnerability Scoring System (CVSS) zur Bewertung herangezogen wird. Anschließend können die Tools die Schwachstellen priorisieren, z.B. nach ihren möglichen Auswirkungen auf das Unternehmen. Anschließend werden die gefundenen Schwachstellen von den IT-Mitarbeitern behoben, indem Patches und andere Gegenmaßnahmen implementiert werden. Die Ergebnisse werden dokumentiert, um die Einhaltung von Vorschriften und die Rückverfolgbarkeit zu gewährleisten.

Stärken des Schwachstellenmanagements

Schwachstellenmanagement hat zahlreiche Vorteile, darunter:

• Detaillierte Analyse: VM bietet detaillierte Einblicke in spezifische Schwachstellen innerhalb der überwachten Systeme.
• Einhaltung von Richtlinien und Vorgaben: Schwachstellenmanagement (oder analoge Prozesse) wird von einer Reihe von Gesetzen, Standards und Richtlinien vorgeschrieben, um regelmäßige Schwachstellenanalysen einzuhalten.
• Quantifizierbare Ergebnisse: VM bietet klare Kennzahlen darüber, wie sich die Anzahl der Schwachstellen in Ihrem Unternehmen im Laufe der Zeit verändert hat.

Schwächen des Schwachstellenmanagements

Trotz seiner zahlreichen Stärken hat das Schwachstellenmanagement auch eine Reihe von Limitationen, darunter:

• Begrenzte Discovery-Funktionen: VM scannt nur vorab definierte Assets und übersieht dabei möglicherweise unbekannte oder versteckte IT-Assets.
• Zeitlich begrenzte Validität: Viele Tools bieten nur eine Momentaufnahme und keine kontinuierliche Überwachung. Outpost24s Scanningless-Scanning-Feature hilft hierbei zwischen den Scanläufen auf dem aktuellen Stand zu bleiben und neue Schwachstellen sofort zu identifizieren.
• Erfordert Know-how: Die ordnungsgemäße Konfiguration von VM-Scans und die Interpretation der Ergebnisse setzt oft Fachwissen voraus.

Attack Surface Management: Definition und Funktionsweise

EASM ist ein umfassender Prozess zur Identifizierung, Analyse und kontinuierlichen Überwachung des von außen erreichbaren, digitalen Fußabdrucks eines Unternehmens. Es ist eher auf eine breite Analyse der Infrastruktur ausgelegt und konzentriert sich auf die Vernetzung von Assets und potenziellen Angriffsvektoren im gesamten IT-Ökosystem eines Unternehmens. 

Der Prozess beginnt mit einer Bestandsaufnahme, bei der automatisch alle mit dem Internet verbundenen Ressourcen einer Organisation identifiziert werden, einschließlich bislang unbekannter Assets, verwaister Dienste oder sogenannter Schatten-IT. Diese Erkundungsphase erfordert nur minimale Eingaben und beginnt häufig mit der primären Domain oder IP-Adresse.

EASM führt dann kontinuierliche, automatisierte Scans durch, die in der Regel nicht invasiv sind und daher keine spezielle Planung oder Zustimmung durch andere Stakeholder erfordern. Die Scans sind so aufgebaut, dass jeder neue Fund weitere gezielte Scans auslöst. Nach der Discovery-Phase werden die potentiellen Schwachstellen einer Risikoanalyse unterzogen, die sich auf alle identifizierten Assets erstreckt. Dabei werden auch Integrationen und Anbindungen von Drittanbietern berücksichtigt, um die Risiken, die von Lieferanten, Dienstleistern und Partnern ausgehen, zu bewerten. Für eine realistischere Einschätzung der Bedrohungslage nutzt Sweepatic EASM eine integrierte Cyber Threat Intelligence-Lösung, um aktuelle Bedrohungen, Schwachstellen, Kampagnen und Angriffsmethoden von Bedrohungsakteuren in die Bewertung einzubeziehen.

Wir teilen die gefundenen Assets und Themen in sieben Bereiche ein und markieren die kritischsten Punkte, die dringend untersucht werden sollten. So behalten Sie stets den Überblick über die Situation Ihrer Angriffsfläche und können sich auf die wichtigsten und kritischsten Schwachstellen konzentrieren.

Stärken von External Attack Surface Management

EASM hat mehrere wesentliche Stärken, darunter:

• Ganzheitliche Abdeckung der Angriffsfläche: Mit EASM können Sie auch unbekannte Assets und Shadow-IT aufspüren und deren Ursachen ermitteln.
• Ihre Organisation aus der Sicht eines Angreifers: Der Discovery-Ansatz von EASM-Lösungen betrachtet Ihr Unternehmen aus der gleichen Perspektive und der gleichen Vorgehensweise wie ein möglicher Angreifer. 
• Kontinuierliches Monitoring: EASM-Tools verschaffen Ihnen einen Einblick in die sich stetig verändernde Angriffsfläche Ihrer Organisation.
• Risikomanagement Ihrer Lieferanten, Dienstleister und Serviceprovider: EASM-Tools verbessern die Transparenz Ihrer Software-Supply-Chain, Integrationen und Anbindungen and Drittanbieter.

Schwächen von External Attack Surface Management

Obwohl EASM mehrere Vorteile hat, gibt es auch einige Limitierungen, darunter:

• Wenig Tiefgang: Aufgrund der Analysemethodik bietet EASM nicht den gleichen Detailgrad wie VM für bereits bekannte Schwachstellen und Assets.
• Größere Chance auf False Positives: Aufgrund der oberflächlichen Analyse, besteht eine größere Chance, dass False-Positives gemeldet werden.
• Kontext ist King: Um EASM wirkungsvoll einsetzen zu können, ist oft ein tiefgreifendes Verständnis der IT-Infrastruktur einer Organisation nötig.

Darum lohnt sich eine Investition in eine EASM-Lösung

Obwohl es gewisse Überschneidungen zwischen EASM und Schwachstellenmanagement gibt, hat EASM einige einzigartige Vorteile, die es zu einer wertvollen Ergänzung (nicht Ersatz) im Cybersecurity-Arsenal machen:

Ganzheitliche Betrachtung der Angriffsfläche: EASM bietet ein umfassendes Bild des digitalen Fußabdrucks einer Organisation, einschließlich Assets, die traditionellen VM-Tools möglicherweise entgehen.

Proaktiver Ansatz: Durch die kontinuierliche Überwachung neuer Assets und Änderungen hilft EASM Ihrem Unternehmen, potenziellen Bedrohungen einen Schritt voraus zu sein, noch bevor Angreifer diese ausnutzen können.

Identifizierung von Schatten-IT: EASM zeichnet sich durch die Identifizierung von unbekannten oder nicht autorisierten Ressourcen aus, die ein erhebliches Risiko für Unternehmen darstellen könnten.

Einblicke in die Software Supply Chain: Durch die Bewertung der Verbindungen und Integrationen mit Drittanbietern hilft EASM dabei, sich rechtzeitig gegen die zunehmenden Angriffe auf die Lieferkette zu schützen.

Effizienteres Monitoring: Durch die Automatisierung des Erkennungs- und Überwachungsprozesses setzt EASM IT-Ressourcen frei, die sich auf die Behandlung kritischer Themen konzentrieren können.

Strategische Ausrichtung: Der ganzheitliche Ansatz von EASM erlaubt ein wirkungsvolleres Cyber-Risikomanagement und eine Aufdeckung von internen Prozessen, die noch nicht reibungslos ablaufen.

Komplementär zu VM: EASM ersetzt VM nicht, sondern steigert dessen Effektivität, indem es sicherstellt, dass alle Assets erfasst und überwacht werden.

Ein ganzheitlicher Ansatz

Während Schwachstellenmanagement für eine gründliche Analyse bekannter Systeme nach wie vor unerlässlich ist, bietet EASM einen breiteren und dynamischeren Überblick über die Cyber-Sicherheitslage eines Unternehmens. Wenn Ihr Unternehmen sowohl in EASM als auch in VM investiert, kann es einen ganzheitlichen Ansatz entwickeln, der Tiefe und Breite kombiniert. Die Frage ist heute nicht mehr, ob man sich für EASM oder Schwachstellenmanagement entscheidet, sondern wie man beide effektiv integriert. Durch die Nutzung der Stärken beider Ansätze kann Ihr Unternehmen eine widerstandsfähigere Verteidigung gegen alle zu erwartenden Bedrohungen aufbauen. Gerne zeigen wir Ihnen in einer ersten Analyse Ihrer Angriffsfläche, wie groß der digitale Fußabdruck Ihrer Organisation im Netz ist.