leowolfert - Fotolia
Mit Attack Surface Reduction die Angriffsfläche verkleinern
Die eigene Angriffsfläche zu verkleinern, ist eine große Herausforderung. Was kann die Kategorie Attack Surface Reduction dazu beitragen und wie ergänzt sie bestehende Werkzeuge?
Damit ein IT-Team einen wirksamen Verteidigungsplan erstellen kann, muss man zunächst wissen, was man schützen will. Wer sein Haus mit einer Alarmanlage ausstatten möchte, sollte wissen, welche Türen und Fenster Sensoren benötigen.
Geht es um die Verteidigung der Unternehmens-IT, ist die Lage wesentlich komplexer. Und selbst als noch die Anwender und Systeme allesamt vor Ort im Unternehmensgebäude waren und in verwalteten Netzwerken agiert haben, war es schwierig, alle ausnutzbaren Eintrittspunkte zu bestimmen. Heutzutage ist die Situation ungleich vielfältiger, da die meisten Mitarbeiter in einer Multi-Cloud-Umgebung von nahezu beliebigen Standorten aus agieren. Die Identifizierung und Verteidigung der Angriffsfläche ist damit gleichsam komplexer geworden.
Um Unternehmen dabei zu unterstützen, diese Komplexität zu verringern, treten Tools und Dienste zur Reduzierung der Angriffsfläche an (ASR, Attack Surface Reduction). Was leisten Tools und Ansätze aus dem Bereich ASR oder ASM (Attack Surface Management) und wo gibt es Überschneidungen mit Produkten für Inventarisierung und Schwachstellenmanagement?
Wofür stehen ASR und ASM?
Bevor die Cloud-Nutzung alltäglich wurde, hat man oft alles außerhalb der Firewall als Grenze betrachtet. Diese Definition ist längst nicht mehr zeitgemäß. Die Angriffsfläche eines modernen Unternehmens erstreckt sich auf alle Bereiche, in denen Geschäftsdaten fließen oder gespeichert sind, sowie auf alle potenziellen Zugangspunkte zum Unternehmensnetzwerk.
Die Angriffsfläche einer Organisation kann sich beispielsweise auf folgende Aspekte erstrecken:
- in Salesforce abgelegte Kundendaten;
- Quellcode des Unternehmens, der auf GitHub gespeichert ist;
- Dokumente für die Zusammenarbeit auf Google Workspace;
- Anwendungsserver und S3-Buckets bei AWS;
- Applikationen wie zum Beispiel WordPress, die auf Servern laufen.
So eine Liste lässt sich für heutige IT-Umgebungen nahezu beliebig ausbauen. Und dabei sind die Aspekte der Endpunkte noch gar nicht berücksichtigt. Zudem kann sich die Angriffsfläche eines Unternehmens dank DevOps und Microservices schnell ändern. Es können täglich oder sogar stündlich neue Dienste hinzugefügt werden und neuer Code in die produktive Umgebung eingespielt werden.
Die zunehmende Komplexität ändert nichts daran, dass Unternehmen alles daran setzen müssen, die Angriffsfläche möglichst gut unter Kontrolle zu haben. An dieser Stelle setzt Attack Surface Reduction (ASR) an. Die Reduzierung der Angriffsfläche umfasst im Wesentlichen Folgendes:
- die kontinuierliche Ermittlung der Angriffsfläche für Cyberangriffe;
- Maßnahmen zur Reduzierung der Angriffsfläche;
- Verstärkung des Schutzes, wenn eine Reduzierung nicht möglich ist.
So arbeitet ASR mit bestehenden Security-Lösungen zusammen
ASR überschneidet sich mit bestehenden Security- und Verwaltungsprodukten. Vorhandene Orchestrierungsplattformen könnten beispielsweise melden, wenn ein neuer Container ausgeführt wird. Aber es könnte zusätzliche Untersuchungen erfordern, um die unter Umständen vergrößerte Angriffsfläche zu erkennen. Vielleicht führt der Container eine neue REST API aus, die von einer produktiven Anwendung verwendet wird.
Vorhandene Werkzeuge berücksichtigen häufig nicht die mögliche Angriffsfläche. Und ebenso ist Attack Surface Reduction kein Ersatz vor bestehende Security-Lösungen. Vielmehr ergänzt ASR die vorhandenen Tools und kann sie als Sensoren und Feeds für eine breiter angelegte ASR-Strategie nutzen. Einige Anbieter offerieren ASR-Tools, die Aspekte dieser Dienste in einer einzigen Konsole vereinen.
Man kann auch ohne Attack Surface Management (ASM) und eine entsprechende Lösung mit ASR beginnen. ASR-Tools können Daten aus folgenden Quellen sammeln.
Inventarverwaltung
ASR erfordert eine Bestandsaufnahme der vorhandenen Geräte und Systeme. Allerdings nicht zu Inventurzwecken. Es geht dabei auch um das Aufspüren von Schatten-IT. Die Bestandsverwaltung liefert ein Repository bekannter Systeme. Die Asset-Discovery-Komponente von ASR sucht nach allen Systemen, die noch nicht im Repository erfasst sind.
Schwachstellenmanagement
Schwachstellenscanner untersuchen Systeme, um festzustellen, ob diese anfällig für Angriffe sind. Diese Informationen können in ASR eingespeist werden, um Prioritäten zu setzen, welche Systeme oder Dienste angegangen werden müssen, um die Angriffsfläche zu verringern.
Externe Risikobewertungen
Die Sicherheitslage eines Unternehmens wird häufig fortlaufend bewertet. Manchmal gehen externe Betrachtungen nicht in die Tiefe und befasst sich nicht im Detail mit der Angriffsfläche. Dennoch können externe Risikobewertungen in ASR einfließen, um die Strategie zu verbessern.
Red Teaming und Penetrationstests
Sehr wertvolle Informationen für ASR liefern Red Teaming und Penetrationstests. Diese bieten praktische Daten darüber, wo Angreifer in die Systeme und das Unternehmen eindringen können. Diese Informationen sollten genutzt werden, um Prioritäten zu setzen, welche Teile besser geschützt werden müssen und wo sich die Angriffsfläche reduzieren lässt.
Die Angriffsfläche verkleinern
Sobald alle oben genannten Informationen kombiniert wurden und eine vollständige Bestandsermittlung durchgeführt wurde, gilt es die Angriffsfläche zu verkleinern. So ist es beispielsweise ratsam, alle nicht wirklich benötigten Komponenten zu entfernen, was die Angriffsfläche automatisch verringert.
Wo sich die Angriffsfläche nicht reduzieren lässt, müssen Umgebungen dann entsprechend gehärtet werden. Hier einige Beispiele, sich die Angriffsfläche einschränken lässt:
- alte Server, VMs und Container entfernen;
- unnötig offene oder falsch konfigurierte Ports schließen;
- nicht genutzte Benutzerkonten löschen;
- das Prinzip der minimalen Rechtevergabe (POLP, Principle of least Privilege) umsetzen;
- alle Systeme auf den aktuellen Stand bringen und patchen.
