beebright - stock.adobe.com
Attack Surface Management: Die Angriffsfläche analysieren
In Echtzeit Informationen über das Risikoprofil des eigenen Unternehmens erhalten. Dies versprechen ASM-Tools und betrachten die Sicherheit aus der Perspektive des Angreifers.
Attack Surface Management (ASM) beziehungsweise Angriffsflächenmanagement ist die kontinuierliche Erkennung, Bestandsaufnahme, Klassifizierung und Überwachung der IT-Infrastruktur eines Unternehmens. Das klingt nun ein wenig ähnlich wie Lösungen, die sich primär mit der Inventarisierung beschäftigen. Aber ASM geht diese und andere Sicherheitsaufgaben aus der Perspektive eines möglichen Angreifers an. Dadurch wird sichergestellt, dass die Security alle IT-Ressourcen abdeckt, auf die ein Angreifer innerhalb eines Unternehmens Zugriff haben könnte. Zudem werden Ressourcen berücksichtigt, die über das Internet erreichbar sind, sowie die Ressourcen in den Infrastrukturen von Lieferanten.
Attack Surface Management (ASM) umfasst die folgenden Bereiche:
- sichere und unsichere Einheiten
- bekannte und unbekannte Assets
- Schatten-IT
- aktive und inaktive Bestände
- Hardware
- Software
- SaaS (Software as a Service)
- Cloud-Assets und -Ressource
- IoT-Geräte
- von Anbietern verwaltete Ressourcen
Wie Attack Surface Management IT-Teams unterstützen kann
Die Angriffsfläche von Organisationen ist eine recht weitläufige Landschaft – und das gilt selbst für kleinere Unternehmen. Die Gewährleistung der Sicherheit ist da eine große Herausforderung. Zudem ändern sich die Angriffsflächen ständig, vor allem, da inzwischen viele Ressourcen über die Cloud verteilt sind.
Die veränderten Arbeitsweisen der jüngeren Vergangenheit haben zudem die Zahl der externen Ressourcen und potenzielle Ziele erhöht, die von den Security-Teams geschützt werden müssen. Ganz zu schweigen davon, dass die Angreifer mit automatisierten Tools vorgehen, um externe Angriffsflächen zu sondieren und zu analysieren. Eine Bewertung, die viele Security-Teams im Hinblick auf die Angriffsfläche der eigenen Organisation nie abschließen.
Um diesen Herausforderungen zu begegnen, müssen Unternehmen eine vollständige Transparenz und kontinuierliche Überwachung erreichen. So lassen sich Risiken eingrenzen und in den Griff bekommen, bevor Angreifer diese aufspüren.
Wie ASM bei der Abwehr von Angreifern hilft
Mit Attack Surface Management ändert sich die Perspektive des Security-Teams von der eines Verteidigers zu der eines Angreifers. Dies verbessert die Ausgangsituation, um die richtigen Bereiche der Angriffsfläche zu priorisieren.
Penetrationstests und Red Teams bieten Einblicke in die Sichtweise eines Angreifers, aber die Erkundungen und Angriffe werden normalerweise in einer kontrollierten Umgebung oder gegen einen bestimmten Aspekt der IT-Umgebung durchgeführt. Das ist zwar zweifelsohne sinnvoll, aber die sich verändernde und expandierende Natur der meisten IT-Umgebungen, ermöglicht es, dass Schwachstellen unbemerkt bleiben und Assets nicht getestet werden.
So wird Schatten-IT seit einigen Jahren als großes Sicherheitsrisiko eingestuft. Diese Risiken einzudämmen ist für einen wirkungsvollen Umgang mit Bedrohungen unerlässlich.
Wenn Schwachstellen und Exploits aufgedeckt werden, müssen Security-Teams schneller als potenzielle Angreifer reagieren. Mit Attack Surface Management können Unternehmen Schatten-IT-Ressourcen, unbekannte und verwaiste Anwendungen, exponierte Datenbanken und APIs sowie andere potenzielle Angriffspunkte schnell abschalten, um auftretende Schwachstellen zu entschärfen.
Der Schutz, die Klassifizierung und Identifizierung der digitalen Bestände steht seit jeher im Mittelpunkt von Sicherheitsstrategien. Mit Attack Surface Management lassen sich diese Aktivitäten automatisieren. Dabei werden Assets mitabgedeckt, die nicht in den Anwendungsbereich herkömmlicher Tools der Firewall-, Endpunkt- und Mapping-Lösungen fallen. ASM-Tools bieten Angriffsflächenanalysen in Echtzeit. Und darüber hinaus ein Schwachstellenmanagement, um das Versagen von Sicherheitskontrollen zu verhindern und das Risiko von Datenschutzverletzungen zu verhindern. Ziel ist es, Assets zu finden und auf mögliche Angriffsvektoren zu prüfen, darunter:
- schwache Passwörter
- veraltete, unbekannte oder nicht gepatchte Software
- Fehlkonfigurationen
- Probleme bei der Verschlüsselung
Typische Merkmale von ASM-Tools
Lösungen fürs Attack Surface Management werden in unterschiedlichen Darreichungsformen angeboten, aus der Cloud oder auch als verwalteter Service. Diese Produkte und Dienste ermitteln automatisch die externen Ressourcen, die Angreifer sehen können. Anhand von kommerziellen, Open-Source- und proprietären Bedrohungsdaten erfolgt dann eine Sicherheitsbewertung für die allgemeine Sicherheitslage eines Unternehmens zu erstellen. Die Berichte der ASM-Tools sind auch für nicht-technische Beteilige von Bedeutung, etwa für die Geschäftsführung, potenzielle Partner, Kunden und Lieferanten.
Die kontinuierlichen Überwachungsfunktionen von ASM-Tools generieren Echtzeitinformationen über das Gesamtrisikoprofil des Unternehmens sowie über einzelne Risiken der innerhalb der Infrastruktur. Einige ASM-Lösungen durchsuchen auch das Darknet nach Anmeldeinformationen, die bei Datenschutzverletzungen durch Dritte preisgegeben wurden und ermöglichen die Integration anderer Security-Tools über APIs (Programmierschnittstellen).
Andere ASM-Werkzeuge setzen die Bedrohungsbewertungen in Relation zu den Risiken für den Geschäftsbetrieb und die Auswirkungen. Zudem helfen die Lösungen dabei, die Effektivität bestehender Sicherheitskontrollen zu bewerten und so bei der Priorisierung zu helfen. ASM-Tools können zusätzlich nützliche Funktionen bieten, mit denen die Security-Teams Änderungen an der Angriffsoberfläche überwachen und potenzielle Verbesserungen der Sicherheit durch die Beseitigung eines Risikos oder einer Reihe von Risiken erkennen können.
Die Angriffsflächen von Unternehmen haben sich in den letzten Jahren signifikant vergrößert. Daher benötigen Security-Teams die nötigen Fähigkeiten und Ressourcen, um diesbezügliche Risiken zu verhindern oder zu verringern. Attack Surface Management ist da ein Ansatz die Angriffsfläche zu überwachen und zu begrenzen.
