Cloud-ASM: Die Angriffsfläche der Cloud im Griff behalten

Die Grundlagen von Cloud ASM

Cloud-ASM-Plattformen konzentrieren sich auf die Erkennung, Analyse und Minimierung von Cloud-exponierten Assets, auf die über das Internet oder andere Cloud-Mandanten zugegriffen werden kann. Cloud-ASM korreliert Cloud-Anbieter-APIs, DNS-Einträge, Zugriffsrichtlinien, IP-Bereiche, SaaS-Integrationen und Identitätsbeziehungen, um die Cloud-Präsenz eines Unternehmens abzubilden. Im Gegensatz zu älteren externen Scannern, die nur von außen nach innen schauen, korreliert Cloud-ASM externe Sichtbarkeit und Cloud-interne Telemetrie, um eine vollständige Bestandsaufnahme dessen zu erstellen, was ein Angreifer ausnutzen könnte.

Moderne Cloud-ASM nutzt Automatisierung, graphbasierte Analysen und manchmal auch KI-gestützte Anomalieerkennung, um die Angriffsfläche bei wachsenden oder sich verändernden Umgebungen auf dem neuesten Stand zu halten.

Die leistungsstärksten Cloud-ASM-Plattformen verfügen über die folgenden wichtigen Funktionen:

• Kontinuierliche Erkennung von Cloud-Assets. Automatisierte Identifizierung von öffentlichen Endpunkten, APIs, Speicherdiensten, VMs, serverlosen Funktionen, Identitätsobjekten und zugehörigen Metadaten.
• Externe Expositionskartierung. Eine Darstellung dessen, was ein Angreifer im Internet sieht, einschließlich öffentlicher Endpunkte, offener Ports, durchgesickerter DNS-Einträge, Zertifikatszuordnungen und Cloud-spezifischer Expositionen, wie zum Beispiel öffentliche S3-Buckets oder anonyme Identitäts- und Zugriffsverwaltungsrollen.
• Erkennung von Fehlkonfigurationen. Berichterstattung über riskante oder nicht konforme Einstellungen auf der Grundlage von Frameworks wie BSI, CIS und NIST oder Best Practices von Anbietern.
• Sichtbarkeit von Identitäten und Zugriffsflächen. Zuordnung von Rollen, Vertrauensbeziehungen, Berechtigungen und übermäßig freizügigen Richtlinien, die Wege zur Ausweitung von Berechtigungen schaffen. Bewusstsein für SaaS- und Drittanbieter-Integrationen. Verfolgung von OAuth-Beziehungen, Dienstprinzipalen, API-Schlüsseln und Cloud-übergreifenden Vertrauensgrenzen.
• Risikopriorisierung. Rangliste der Exposition basierend auf Ausnutzbarkeit, Auswirkungsradius und geschäftlichen Auswirkungen.

Der Unterschied zwischen traditionellem Attack Surface Management und Cloud-ASM

Obwohl alle ASM-Plattformen viele Kernfunktionen gemeinsam haben, gibt es einige spezifische Unterschiede, die für Cloud-Umgebungen charakteristisch sind. Beispielsweise konzentriert sich traditionelles ASM auf exponierte öffentliche Ressourcen und externe Perimeter-Ressourcen wie Domains, Zertifikate, IP-Adressen und internetbasierte Dienste. Diese Plattformen helfen Sicherheits- und Betriebsteams dabei, besser zu verstehen, auf welche Online-Dienste ein Angreifer potenziell zugreifen könnte.

Cloud-ASM geht noch einen Schritt weiter und findet offengelegte Fehlkonfigurationen, Berechtigungen, APIs, SaaS-Verbindungen und Identitäten in der Cloud, selbst wenn diese nicht mit einem dedizierten Server oder einer herkömmlichen IP-Adresse verbunden sind. Cloud-ASM kann Teams dabei helfen, die folgenden wichtigen Fragen zur Sicherheitslage des Unternehmens zu beantworten:

• Welche Cloud-Dienste sind von außen zugänglich?
• Welche internen Cloud-Identitäten bergen das Risiko einer lateralen Bewegung?
• Welche APIs, SaaS-Integrationen oder serverlosen Funktionen vergrößern die Angriffsfläche des Unternehmens?
• Welche Cloud-nativen Fehlkonfigurationen könnten das Unternehmen angreifbar machen?

Für wen eignet sich Cloud-ASM?

Unternehmen mit komplexen Cloud-Umgebungen können von Cloud- ASM profitieren. Die Plattform ersetzt Spekulationen durch kontinuierliche, evidenzbasierte Transparenz.

Unternehmen, die Cloud-ASM evaluieren, sollten sich dessen Vor- und Nachteile bewusst sein. Zu den Vorteilen für Unternehmen zählen:

• Reduzierung von Fehlkonfigurationen in der Cloud, der Hauptursache für Cloud-Sicherheitsverletzungen.
• Schnelle Erkennung von Schatten-Cloud-Bereitstellungen, wie zum Beispiel nicht genehmigte Workloads, die von Entwicklern erstellt wurden.
• Bessere Compliance-Situation, um gesetzlichen und regulatorischen Vorschriften zu entsprechen.
• Verbesserte Bereitschaft zur Reaktion auf Vorfälle durch Identifizierung der exponierten Bereiche.
• Geringere Wahrscheinlichkeit einer Gefährdung, insbesondere für Anmeldedaten, Endpunkte und Speicherknoten.

Folgende Herausforderungen sollten berücksichtigt werden:

• Alarmmüdigkeit, wenn die Plattform keine starken Modelle zur Priorisierung von Ereignissen oder Warnmeldungen bietet.
• Der zusätzliche Aufwand, der mit mehreren Cloud-Anbietern und SaaS-Ökosystemen verbunden ist.
• Die Komplexität der Integration einer großen Anzahl von Dienstkonten und Vertrauensbeziehungen.
• Organisatorische Reibungen, die sich aus ASM-Ergebnissen ergeben, die sich über Sicherheits-, DevOps- und Cloud-Engineering-Teams erstrecken.

Angesichts sich ständig verändernder Cloud-Umgebungen und Angreifern, die selbst kleinste Fehler sofort ausnutzen, können sich Sicherheitsteams keine Wahrnehmungslückenoder verzögerte Sichtbarkeit mehr leisten. Cloud ASM bietet die kontinuierlichen Einblicke, die erforderlich sind, um zu verstehen, was gefährdet ist, warum dies wichtig ist und wie Risiken reduziert werden können, bevor es zu einer Sicherheitsverletzung kommt. Die Einführung ist zwar mit operativen Herausforderungen verbunden, doch die Kosten der Untätigkeit sind weitaus höher. Für Unternehmen, die in der Cloud arbeiten, kann Cloud ASM eine grundlegende Funktion sein, um in einer zunehmend dynamischen Bedrohungslandschaft die Kontrolle, Widerstandsfähigkeit und das Vertrauen aufrechtzuerhalten.

Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.