Attack Surface Management: Wie man den Überblick über die externe Angriffsfläche behält
Aus dem Internet erreichbare IT-Assets bergen große Risiken für die Cybersicherheit. Cyberkriminelle suchen nach solchen Zugriffspunkten, um in die Systeme von Unternehmen und Organisationen einzudringen. Deshalb ist es für die IT-Sicherheit elementar, die externe Angriffsfläche zu kennen und entsprechend zu handeln. Was die externe Angriffsfläche genau ist und warum man für effektiven Schutz die Perspektive des Hackers einnehmen muss, erklärt dieser Beitrag.
Was ist eine externe Angriffsfläche (Attack Surface)?
Die externe Angriffsfläche eines Unternehmens oder einer Organisation besteht aus allen IT-Assets mit Eintrittspunkten oder Schwachstellen, die unbefugten Personen von außerhalb Zugriff auf die Systeme geben könnten. Diese Assets sind damit anfällig für Hackerangriffe und könnten für Cyberangriffe genutzt werden. Ein durchschnittliches Unternehmen verfügt über eine breite Palette solcher Internet-exponierter IT-Assets, die zusammen seine Angriffsfläche bilden.
Angriffsflächen werden immer größer und komplexer
Die Verantwortlichen für die Informationssicherheit von Unternehmen und Organisationen stehen vor großen Herausforderungen. Mit der zunehmenden Digitalisierung von Unternehmensbereichen, Fertigungsanlagen und Geschäftsmodellen steigt auch das Gefährdungspotenzial durch Cyberangriffe. Die Vernetzung von Wertschöpfungsketten und Industrie 4.0 ermöglichen immer mehr Zugriffspunkte, die gegen unbefugtes Eindringen geschützt werden müssen.
Oft sind in Unternehmen und Organisationen neben der offiziellen IT-Infrastruktur Schatten-IT-Instanzen entstanden und Silodenken in den Abteilungen hat zu parallelen Lösungslandschaften geführt, die niemand mehr richtig überblickt. Durch die Corona-Pandemie mit ihrer erzwungenen Home-Office-Welle sowie durch den Einsatz smarter Sensortechnik haben externe Ressourcen rasant zugenommen. Außerdem haben Unternehmen massiv in cloudbasierte Lösungen investiert, die ihnen bedarfsgerecht über das Internet den Zugriff auf Server, Speicher, Anwendungen oder spezielle Analyse- und KI-Tools ermöglichen.
Leider hat der technologische Fortschritt auch vor Cyberkriminellen nicht halt gemacht. Automatisierungs-Tools helfen ihnen heute, Netzwerke auf Schwachstellen hin zu sondieren oder schlecht gesicherte IT-Assets zu finden, die ein Eindringen ermöglichen.
Welche Risiken birgt die Angriffsfläche?
Die komplexen digitalen Landschaften erschweren ein effektives Risikomanagement. Geschützt werden kann nur vor Risiken, die auch bekannt sind. Eine sicherheitstechnische Herausforderung stellen nicht nur neue digitale Technologien dar, sondern vor allem auch veraltete. Manche problematischen IT-Assets sind schlicht in Vergessenheit geraten. Mit der Entscheidung für eine neue digitale Lösung oder mit dem Weggang von Mitarbeitern verschwinden sie aus dem Blickfeld, bleiben aber ein potenzielles Eintrittstor für kriminelle Hacker. Solche vergessenen Schwachstellen können offene Ports, Fehlkonfigurationen oder veraltete Softwareversionen sein, die nur darauf warten, von Kriminellen entdeckt und ausgenutzt zu werden.
CISO und IT-Leiter brauchen heute Tools, um Risiken, die aus dem historischen Verlauf der Unternehmensdigitalisierung und dem vielfältigen Einsatz neuer Technologien entstehen, zu erkennen und zu beseitigen. Unser External Attack Surface Management (EASM) ist ein solches Tool, das Ihnen hilft, Sicherheitsrisiken zu erkennen, bevor ein Cyberkrimineller sie entdeckt und Unheil anrichtet.
EASM-Plattform zur kontinuierlichen Erfassung und Analyse der Angriffsfläche
Eine EASM-Lösung hat in der Regel drei Kernaufgaben: die kontinuierliche Erfassung der gesamten externen Angriffsfläche, die automatisierte Sicherheitsanalyse der internet-exponierten IT-Assets und die risikobasierte Priorisierung der Schwachstellen.
Der kontinuierliche Erfassungsprozess scannt von einer primären Domäne oder einer Liste von primären Domänen aus nach Assets. Dieser Prozess ist fortlaufend, das heißt, bei jedem Scan werden Assets gefunden, die neue Scans auslösen. Gecheckt werden dabei:
- Alle DNS-Einträge
- Alle zugehörigen IP-Adressen
- WHOIS- oder DNS-Registrierungsinformationen
- Geostandorte der Assets
- Für die Assets zuständige Hosting-Provider
- Alle offenen Ports
- Alle verwendeten SSL/TSL-Zertifikate samt Details
- E-Mail-Systeme
- DNS-Systeme
- Anwendungen wie Websites, E-Mails, Datenbanken, Fernzugriff, Dateifreigaben
- Softwareversionen, die in den ermittelten Assets und Anwendungen verwendet werden
- Login-Seiten
- Verbundene Login-Informationen
An die Erfassung schließt sich eine automatisierte Sicherheitsanalyse an. Gefundene Sicherheitsprobleme können z. B. unsichere E-Mail-Konfigurationseinstellungen sein oder Schwachstellen in alten SSL/TLS-Verschlüsselungsprotokollen, unverschlüsselte Anmeldeseiten, unnötig exponierte Services oder Phishing- und Cybersquatting-Websites, die den eigenen Unternehmensseiten nachgebildet sind. Gefundene Sicherheitsprobleme werden in einer geordneten Liste priorisiert, damit schwerwiegende Probleme schnell gesehen und behoben werden können. Die weniger gravierenden Probleme können dann individuell priorisiert werden, da Ressourcen in der Regel begrenzt und für ein Unternehmen nicht alle Assets gleich sicherheitsrelevant sind.
Was unterscheidet Vulnerability Management vom Attack Surface Management?
In vielen Unternehmen und Organisationen wird seit Langem das Schwachstellenmanagement oder Vulnerability Management gemäß der Standards ISO 17799 und ISO 27001 durchgeführt. Hierbei werden bei allen bekannten IT-Assets neu entdeckte Sicherheitslücken bewertet, priorisiert und behoben. Als Informationsquelle für neue Sicherheitslücken und ihre Kritikalität dienen Bewertungssysteme, wie das Common Vulnerability Scoring System (CVSS) oder die National Vulnerability Database des National Institute of Standards and Technology.
Schwachstellenmanagement entdeckt also bei bekannten IT-Assets bekannte Sicherheitslücken und priorisiert sie nach offenen Standards zur Schwachstellenbewertung. Oft reichen die Ressourcen nur für das Schließen von Sicherheitslücken mit hohen oder kritischen Werten. In der Vergangenheit sind jedoch auch schon Softwarefehler mit mittleren Bedrohungswerten von Hackern missbraucht worden – mit teilweise gravierenden Folgen.
Das Angriffsflächenmanagement analysiert und überwacht dagegen sämtliche mit dem Netz verbundenen Assets eines Unternehmens, auch die unbekannten, aus der Perspektive eines Hackers. Indem es den normalen Internetverkehr simuliert und auf der Grundlage von DNS-Informationen nach aus dem Internet zugänglichen Eintrittspunkten sucht, werden Schwachstellen identifiziert – und das nicht nur im eigenen Unternehmensnetzwerk, sondern auch bei vernetzten Drittanbietern, der vernetzten Supply Chain, Tochterunternehmen usw. Auch die automatisierte Bewertung und Priorisierung gefundener Schwachstellen richtet sich danach, wie leicht und wie schwerwiegend sie von Cyberkriminellen ausgenutzt werden könnten. Maßgeblich ist dabei das tatsächliche individuelle Risiko für das eigene Unternehmen.
Fazit: EASM stärkt die Cyber-Resilienz
Externes Attack Surface Management stellt das Sicherheitsdenken auf den Kopf: Internet-exponierte IT-Assets werden nicht mehr aus der Position des Verteidigers heraus, sondern aus der Perspektive des Angreifers überwacht, analysiert und die gefundenen Sicherheitslücken priorisiert. Mithilfe von Tools wie unserer Sweepatic EASM-Plattform lässt sich das Angriffsflächenmanagement automatisieren. Sie liefert IT-Sicherheitsteams in Echtzeit einen Überblick über alle bekannten und unbekannten IT-Assets, die zusammen die externe Angriffsfläche bilden, und hilft, diese möglichst klein und aufgeräumt zu halten, indem alle unnötigen Eintrittspunkte aus Schatten-IT oder verwaisten Anwendungen geschlossen werden. Exponierte Datenbanken, APIs und andere potenzielle Angriffspunkte werden priorisiert und können schnell entschärft werden. Kurz gesagt: EASM trägt entscheidend dazu bei, dass Verantwortliche für die IT-Sicherheit schneller werden als kriminelle Hacker.