Risk Management
Attack Surface Management Strategies
As organizations shift to the cloud in droves, their digital attack surface continues to rapidly expand. We explore how proactive cyber risk management can help harden your defenses and reduce the likelihood of an attack or breach.
Originalbeitrag von Trend Micro
Die digitale Transformation hat die Verlagerung in die Cloud beschleunigt, und Unternehmen können dadurch mehr und schneller Innovationen einführen und über traditionelle Büroumgebungen hinaus expandieren. Dies hat jedoch zu neuer Komplexität für ein effektives Angriffsflächen-Risikomanagement geführt. Wie lassen sich Cyberrisiken in den drei Phasen des Lebenszyklus von Risiken für die Angriffsfläche besser verstehen, kommunizieren und abmildern?
Angriffsflächenmanagement (Attack Surface Management, ASM) bezeichnet die kontinuierliche Erkennung, Bewertung und Eindämmung der Angriffsflächen im IT-Ökosystem eines Unternehmens. Diese Aufgabe unterscheidet sich von der Erkennung und Überwachung von Assets dadurch, dass ASM die Sicherheitslücken aus der Perspektive des Angreifers bewertet, einschließlich des Risikos für Menschen, Prozesse und Technologie.
Besseres Risikomanagement
Die digitale Transformation hat dazu geführt, dass sich die Angriffsfläche von Unternehmen rapide vergrößert hat - 50 % der Unternehmen verfolgen einen Cloud-nativen Ansatz, um sowohl Mitarbeiter als auch Kunden zu unterstützen, und die Zahl der vernetzten Geräte wird bis 2025 voraussichtlich auf 55,9 Milliarden steigen. Die Verlagerung in die Cloud und die drastische Zunahme der Vernetzung bieten böswilligen Akteuren neue Angriffsvektoren.
Daher ist es klar, dass Sicherheitsverantwortliche ihre Strategien und Prozeduren für das Risikomanagement überarbeiten müssen, nicht nur, um kostspielige Ransomware-Angriffe und Unterbrechungen der Arbeitsabläufe zu vermeiden, sondern auch, um die neuen Vorschriften für die dringend benötigte Cyberversicherung zu erfüllen.
Wie also können Sicherheitsverantwortliche die Angriffsfläche in ihrem Unternehmen im Griff behalten und den Kriminellen einen Schritt voraus sein? Indem sie eine einheitliche Cybersicherheitsplattform nutzen, die eine kontinuierliche Transparenz und Überwachung der Sicherheit während der Entdeckungs-, Bewertungs- und Eindämmungsphasen des Lebenszyklus von Angriffsrisiken ermöglicht.
Erkennen der digitalen Angriffsoberfläche
Zunächst benötigen die Teams vollständige Transparenz, um ihre Angriffsflächen erkennen zu können. In Form von Silos vorhandene Einzelprodukte für Endpunkte, Benutzer, Geräte, Cloud, Netzwerke usw. erschweren eine Bestandsaufnahme. Es gilt auch zu bedenken, dass neue Projekte mit Open-Source-Abhängigkeiten und Benutzer-/Gerätekonten sofort in Betrieb genommen werden, was bedeutet, dass Sicherheitsteams in der Lage sein müssen, ihr gesamtes Ökosystem zu überblicken, und zwar während es sich ändert und nicht erst danach.
Eine Cybersicherheitsplattform mit umfassender Integration von Drittanbietern ermöglicht es, das gesamte Ökosystem von einem Dashboard aus zu überblicken, was wertvolle Zeit spart und eine bessere Einschätzung des Cyberrisikos ermöglicht
Bewerten des Cyberrisikos
Als Nächstes müssen Teams alle Schwachstellen und Schwachpunkte bewerten und nach Prioritäten ordnen. Dies gilt nicht nur für Systeme, sondern auch für Benutzertypen. So sind beispielsweise Mitarbeiter der Führungsebene die häufigsten Ziele für BEC-Angriffe (Business Email Compromise). Außerdem ist eine Zunahme von Kampagnen zu beobachten, die auf Software-Supply-Chains und DevOps-Pipelines abzielen, was bedeutet, dass auch Prozesse auf Sicherheitslücken untersucht werden müssen.
Und wie immer muss dies ein fortlaufender Prozess sein. So kann sich beispielsweise das Benutzerverhalten mitten in einer Session ändern und eine Beendigung des Zugriffs erforderlich machen. Eine einheitliche Plattform mit tiefgreifender, nativer Integration im gesamten Unternehmen ermöglicht es, eine Zero-Trust-Strategie zu implementieren , die die Anforderung unterstützt, alle Benutzer, Anwendungen und Geräte mit Zugriff auf Ihre IT-Infrastruktur kontinuierlich zu überprüfen und zu bewerten.
Im Gegensatz zu Einzelprodukten, bei denen die Daten in Silos gesammelt werden, kann eine Plattform kontinuierlich Bedrohungsdaten über die gesamte Angriffsfläche (Endpunkte, Netzwerke, Cloud und E-Mail) speichern und korrelieren, um weniger, aber zuverlässigere Warnungen zu erzeugen. Auf diese Weise können Sicherheitsteams kritische oder schwerwiegende Cyberrisiken eingrenzen und priorisieren, ohne zeitaufwändige, manuelle produktübergreifende Korrelationen vornehmen zu müssen. Außerdem können so die Anforderungen an Erkennung und Reaktion erfüllt werden, die moderne Versicherungspolicen für Cyberrisiken heute stellen.
Mindern des Risikos
Und schließlich ist es nicht nur wichtig, Risiken in der gesamten digitalen Angriffsfläche zu erkennen und zu bewerten, sondern auch Empfehlungen für Abhilfemaßnahmen zu erhalten und in der Lage zu sein, die Schadensbegrenzung so weit wie möglich zu automatisieren. Eine einheitliche Plattform mit Sicherheitskontrollen für mehrere Umgebungen kann dazu beitragen, die Abschwächung von Risiken mit hoher Priorität zu automatisieren, wie z. B. die Anwendung virtueller Patching-Funktionen, um den Umfang eines Angriffs zu begrenzen, damit sich Sicherheitsteams auf die weitere Untersuchung konzentrieren können. Angesichts des Fachkräftemangels, kann die Möglichkeit, Tools zu konsolidieren und eine einheitliche Plattform zu nutzen, ebenfalls zur Risikominderung beitragen.
Fazit
Ein besseres Management der digitalen Angriffsfläche beginnt mit den richtigen Werkzeugen: einer einheitlichen Cybersicherheitsplattform mit umfassender Integration von Drittanbietern, die sich nahtlos in ein bestehendes Sicherheitssystem einfügt. Profitieren Sie von einer Plattform wie Trend Micro One, die mit innovativen Sicherheitsfunktionen wie XDR, kontinuierlicher Bedrohungsüberwachung, Risikobewertungen und Automatisierung ausgestattet ist, um Sicherheitsteams zu entlasten, Erkennung und Reaktion zu beschleunigen und Compliance- und Cyberversicherungsanforderungen zu erfüllen.
Cyber asset discovery
First, you need total visibility to be able to discover and continuously monitor known, unknown, internal, and internet-facing (external) assets. Siloed point products across endpoints, users, devices, cloud, networks, etc., limit overstretched security teams from taking stock or perform manual auditsAlso consider that new projects with open-source dependencies and user/device accounts are spun up instantly, meaning you need to be able to see your entire ecosystem as it changes, not after.
The goal is to gain visibility to answer questions such as:
- What is my attack surface?
- How well can I see what assets are in my environment?
- How many, what types, and what attributes are associated with these assets?
- What are my high-value assets?
- How is my attack surface changing?
Risk assessment
Being able to see your entire ecosystem as it changes is the first step; next, security teams need to assess and prioritize any weaknesses or vulnerabilities. This doesn’t just apply this to systems, but user types as well—for example, executive level employees are the most common targets for business email compromise (BEC). Also, we’ve seen an uptick in campaigns targeting software supply chains and DevOps pipelines, meaning processes also need to be evaluated for any security gaps.
Ideally, this risk information will be contextualized for greater understanding to answer the following questions:
- Can I quantify my risk? What is my overall risk score?
- Is my risk score increasing or decreasing over time?
- How does it compare to peers in the industry?
- Where do I see the most significant security risks?
- What risk factors need immediate attention?
Risk mitigation
While discovering and assessing risks across your digital attack surface is important, it’s also critical to receive actionable prioritized mitigation recommendations to lower risk exposure. Virtual patching, changing configuration options on a prevention control, and controlling user access parameters are just a few examples.
Furthermore, it should be possible to automate mitigation wherever possible for great efficiency and to reduce the chance of a successful attack or breach.
With the skills shortage introducing very real challenges to managing the attack surface, the opportunity to create a common framework and a single pane of glass is paramount to effective cyber risk management. Enter: extended detection and response (XDR) and zero-trust strategies.
The importance of XDR
Investments in XDR mean there is data, analytics, and integrations, and a technology in place that could act as a foundation to serving other use cases and providing insight and operational value beyond the realm of detection and response.
More proactive risk prioritization and mitigation benefits the SOC by reducing overall exposure and the scope of a security incident. Conversely, detection data collected by XDR provides valuable insight into attack surface threat activity and how current defenses are coping. In turn, this can inform risk assessments and response recommendations.
Learn more in Guide to Better Threat Detection and Response (XDR)
Supporting zero-trust strategies
Proactive cyber risk management depends on operationalizing elements of a zero-trust strategy. Zero trust is an extension of the principle of least privilege, wherein any connection—whether it’s from within the network or not—should be considered untrustworthy. This is crucial in today’s hyper-connected, remote work environment that has increased the different entry points or connections into the enterprise.
As always, this needs to be an ongoing process that constantly evaluates identity, user and device activity, application, vulnerability, and device configuration. The demand for continuous assessment has led to many SOCs shifting toward the Secure Access Service Edge (SASE) architecture, which combines discrete capabilities such as Cloud Application Security Broker (CASB), Secure Web Gateway (SWG), and Zero Trust Network Access (ZTNA) for more granular control across the network.
Tying it all together, XDR alongside risk insight and mitigation that is aligned with zero trust can further enhance security. XDR establishes a solid foundation for verifying and establishing trust. And since it continuously collects and correlates data, it fulfils the continuous assessment pillar of the zero-trust strategy.
Next steps
Better digital attack surface management starts with the right tooling: a unified cybersecurity platform with broad third-party integrations that seamlessly fits into your existing security stack.
Consider a platform like Trend Vision One, backed by innovative security capabilities such as XDR, continuous threat monitoring, risk assessments, and automation to alleviate security teams, accelerate detection and response, and meet compliance and cyber insurance requirements.
For more information on attack surface management, check out the SOC series:
