Attack Surface Management (ASM) ist die Entdeckung, Bewertung und Minderung von Bedrohungen für das IT-Ökosystem einer Organisation.
Attack Surface Management (ASM) ist ein Ansatz der Cybersicherheit, der darauf abzielt, Organisationen dabei zu unterstützen, ihre Daten und Systeme besser zu verteidigen, indem Bedrohungen sichtbarer gemacht werden. Es geht darum, zu wissen, wo Risiken bestehen, deren relative Schwere zu verstehen und Maßnahmen zu ergreifen, um Sicherheitslücken in Bezug auf Menschen, Prozesse und Technologie zu schließen.
ASM ist ein traditioneller Cybersicherheitsansatz, der die Entdeckung und Überwachung von Assets umfasst. Es betrachtet potenzielle Bedrohungen aus der Perspektive eines Angreifers: als Chancen, die Verteidigung einer Organisation zu durchbrechen und finanziellen, betrieblichen oder reputativen Schaden zu verursachen.
Um Attack Surface Management (ASM) zu verstehen, muss zunächst der Begriff Angriffsfläche definiert werden.
Die Angriffsfläche ist die Gesamtheit aller Möglichkeiten, wie ein Angreifer Zugang zum Netzwerk, zu Daten oder IT-Ressourcen einer Organisation erlangen könnte. Sie besteht aus drei Teilen:
Die digitale Angriffsfläche umfasst alle Hardware, Software und Daten, die extern zugänglich sind, auch wenn sie durch Verschlüsselung, Authentifizierungsprotokolle, Firewalls oder andere Maßnahmen geschützt sind.
Die physische Angriffsfläche besteht aus allen physischen Geräten und Anlagen, die gestohlen oder physisch manipuliert werden können, um eine Kompromittierung oder einen Bruch zu verursachen.
Die soziale oder menschliche Angriffsfläche bezieht sich auf alle Personen in einer Organisation mit Zugang zu Systemen und Daten, die getäuscht, erpresst oder anderweitig manipuliert werden könnten (zum Beispiel durch ein Social-Engineering-Schema wie Phishing, um eine Kompromittierung oder einen Bruch zu verursachen).
ASM hilft Organisationen, sich gegen eine Vielzahl von Bedrohungen, auch bekannt als „Angriffsvektoren“, zu verteidigen. Diese umfassen, sind aber nicht beschränkt auf:
Ransomware, Viren und andere Malware können in Unternehmenssysteme injiziert werden, wodurch Angreifer Zugang zu Netzwerken und Ressourcen erhalten, Daten exfiltrieren, Geräte kapern und Vermögenswerte und Daten beschädigen können.
Fehlkonfigurationen von Netzwerk- und Cloud-Technologien wie Ports, Zugangspunkten, Protokollen und dergleichen lassen „Türen“ für Angreifer offen und sind eine häufige Ursache für Sicherheitsverletzungen.
Diese umfassen betrügerische E-Mails, Textnachrichten, Sprachnachrichten (und heute sogar mit KI-generierten Deepfakes, Videoanrufe), die Benutzer täuschen und dazu verleiten, Maßnahmen zu ergreifen, die die Cybersicherheit gefährden. Dies kann das Teilen sensibler Informationen, das Klicken auf Links, die zu Malware führen, das Freigeben von Geldern, die nicht ausgezahlt werden sollten, und mehr umfassen. KI hat es schwieriger gemacht, Phishing zu erkennen und gezielter zu gestalten.
Leicht zu erratende Passwörter - entweder weil sie offensichtlich, zu einfach sind oder für mehrere Konten wiederverwendet werden - können bösen Akteuren Zugang zu den digitalen Ressourcen einer Organisation verschaffen. Gestohlene Anmeldeinformationen sind aus ähnlichen Gründen auch bei Cyberkriminellen sehr gefragt. Verschlüsselung soll Informationen so verschleiern, dass nur autorisierte Personen sie lesen können. Wenn sie nicht stark genug ist, können Hacker Daten extrahieren, die sie dann verwenden können, um groß angelegte Angriffe zu starten.
Tools, die von den Mitarbeitern einer Organisation verwendet werden, aber nicht Teil der bekannten oder genehmigten IT-Umgebung sind, werden als „Shadow IT“ betrachtet und können Schwachstellen schaffen, gerade weil das Cybersicherheitsteam nichts von ihnen weiß. Dazu gehören Apps, tragbare Speichermedien, persönliche Telefone und Tablets und dergleichen.
ASM has three main phases: discovery, assessment, and mitigation. Because the attack surface is always changing, all three must be carried out continuously.
Die Entdeckungsphase definiert die Angriffsfläche und alle Assets, die sie ausmachen. Das Ziel der Entdeckung ist es, alle bekannten und unbekannten Geräte, Software, Systeme und Zugangspunkte zu identifizieren, die die Angriffsfläche ausmachen - einschließlich Shadow-IT-Apps, verbundener Drittanbieter-Technologien und Technologien, die nicht Teil früherer Inventare waren. Während viele Lösungen die Entdeckung als Teil ihrer ASM-Lösung anbieten, müssen Sie wählerisch sein. Suchen Sie nach einer Lösung, die Compliance und Cyber-Risiko-Quantifizierung integriert, um sicherzustellen, dass Sie ein vollständiges Risikobild über die Asset-Entdeckung hinaus erhalten, um die tatsächliche Exposition zu zeigen. Ein kontinuierlicher Entdeckungsprozess hilft dabei, zu erkennen, wie sich die Angriffsfläche im Laufe der Zeit ändern kann.
Nach der Entdeckung bewerten Sicherheitsteams jedes Asset auf potenzielle Schwachstellen - alles von Fehlkonfigurationen und Codierungsfehlern bis hin zu sozialen/menschlichen Faktoren wie Anfälligkeit für Phishing-Schemata oder Business Email Compromise (BEC)-Angriffe. Jedes Risiko wird bewertet, sodass Sicherheitsteams die dringendsten priorisieren können.
Die Risikobewertung basiert in der Regel auf dem Risikoniveau, der Wahrscheinlichkeit eines Angriffs, den potenziellen Schäden und der Schwierigkeit der Behebung. Idealerweise wird auch die globale Bedrohungsintelligenz berücksichtigt, welche Schwachstellen am häufigsten und am einfachsten ausgenutzt werden.
Beispiel: Wenn ein Softwarestück Zugang zu sensiblen Daten gewährt, mit dem Internet verbunden ist und eine bekannte Schwachstelle aufweist, die bereits von echten Angreifern ausgenutzt wurde, wird das Patchen wahrscheinlich oberste Priorität haben.
Sobald alle Risiken bewertet sind, wird die Gesamtsumme berechnet, um eine Gesamtunternehmensrisikobewertung zu erhalten. Dadurch kann die Organisation ihr Risikoprofil im Laufe der Zeit benchmarken und überwachen.
Die Minderung besteht darin, Maßnahmen zu ergreifen, um die entdeckten Schwachstellen zu beheben. Das könnte bedeuten, Software-Updates oder Patches durchzuführen, Sicherheitskontrollen und Hardware einzurichten oder Schutzrahmen wie Zero Trust zu implementieren. Es könnte auch bedeuten, alte Systeme und Software zu entfernen. In jedem Fall ist es entscheidend, dass Sie die richtige Lösung haben, um die Minderung skalierbar anzugehen.
Es gibt zwei Hauptgründe, warum Attack Surface Management benötigt wird:
Die Digitalisierung aller Arten von Arbeit schreitet in den letzten Jahren aufgrund von Veränderungen im Geschäftsumfeld, die durch die Förderung der digitalen Transformation und Veränderungen in der Arbeitsweise, wie z.B. Remote-Arbeit, vorangetrieben werden, schnell voran. Infolgedessen wird das IT-Umfeld durch die Einführung neuer Technologien wie die Nutzung von VPN-Geräten und Cloud-Diensten sowie die Nutzung von IoT-Geräten komplexer als je zuvor.
Auf der anderen Seite können viele Organisationen mit den schnellen Veränderungen und der wachsenden Komplexität ihrer eigenen IT-Umgebungen und den damit verbundenen Risiken nicht Schritt halten, und Sicherheitsmaßnahmen werden in den Hintergrund gedrängt. Infolgedessen steigt aus der Perspektive von Cyberkriminellen die Anzahl der Ziele für Angriffe.
Die Methoden, die bei Cyberangriffen und anderen Verbrechen verwendet werden, werden immer ausgefeilter, um die Erfolgsrate der Angriffe zu erhöhen. In der Vergangenheit war die Hauptart von Cyberangriffen der „Streu-und-Sammel“-Typ, bei dem schädliche Programme per E-Mail oder auf andere Weise an eine große Anzahl unbestimmter Empfänger gesendet wurden. Moderne Cyberangriffe werden jedoch immer ausgefeilter, mit einer zunehmenden Anzahl von „gezielten Angriffen“, die die Schwachstellen von VPNs und RDPs sowie gestohlene Authentifizierungsinformationen ausnutzen, um in das Netzwerk der Zielorganisation einzudringen und dann interne Aktivitäten wie Privilegieneskalation, laterale Bewegung und Datendiebstahl durchzuführen.
Infolgedessen müssen Organisationen nicht nur digitale Assets berücksichtigen, die öffentlich zugänglich sind, sondern auch digitale Assets innerhalb der Organisation selbst und entsprechende Sicherheitsmaßnahmen implementieren.
Attack Surface Management (ASM) wird in verschiedene Typen unterteilt, die unterschiedliche Aspekte der digitalen Umgebung einer Organisation abdecken. Dazu gehören External ASM, Internal ASM, Cyber Asset ASM und Open Source ASM. Jeder Typ spielt eine entscheidende Rolle bei der Überwachung und Minderung von Risiken und bietet Organisationen einen umfassenden Ansatz zum Schutz ihrer digitalen Assets.
Externes ASM konzentriert sich auf interne Unternehmensassets, die dem öffentlichen Internet ausgesetzt sind, wie Webanwendungen, Cloud-basierte Ressourcen, IP-Adressen und Domainnamen, die von Angreifern ausgenutzt werden könnten. Diese öffentlich zugänglichen Dienste sind oft Ziel von Angreifern, die Schwachstellen oder Fehlkonfigurationen ausnutzen wollen.
Internes ASM befasst sich mit Risiken innerhalb des privaten Netzwerks einer Organisation, einschließlich Geräten, Anwendungen und Systemen, die nicht öffentlich zugänglich sind, aber ausgenutzt werden könnten, wenn Angreifer Zugang erhalten. Es ist besonders relevant für die Bekämpfung fortgeschrittener persistenter Bedrohungen (APTs) und Insider-Bedrohungen, die oft laterale Bewegungen und Privilegieneskalation innerhalb des Netzwerks beinhalten. Altsysteme oder schlecht gesicherte interne Server können als Schwachstellen dienen, die Angreifer ausnutzen, sobald sie im Netzwerk sind.
Cyber Asset ASM konzentriert sich auf die Verwaltung und Sicherung einzelner Assets in einer Organisation, einschließlich Endpunkte, Benutzerkonten, Cloud-Instanzen und mobilen Geräten. Dies ist besonders wichtig in heutigen hybriden Arbeitsumgebungen, in denen Assets über lokale und Cloud-basierte Infrastrukturen verteilt sind. Organisationen, die in Multi-Cloud-Umgebungen arbeiten, haben oft diverse Assets wie Container, virtuelle Maschinen und APIs.
Open Source ASM konzentriert sich auf die Verwaltung von Risiken im Zusammenhang mit Open-Source-Technologien und öffentlich zugänglichen Informationen. Während Open-Source-Software weit verbreitet ist, bringt sie aufgrund ihrer Transparenz und der Abhängigkeit von Community-Beiträgen Schwachstellen mit sich. Darüber hinaus nutzen Angreifer häufig exponierte Daten wie geleakte Anmeldeinformationen, API-Schlüssel oder sensible Konfigurationsdateien, die in offenen Repositories wie Github gefunden werden.
Attack Surface Management (ASM) ist ein wesentlicher Bestandteil des Cyber Risk Managements, und zusammen helfen sie Organisationen, ihr Bewusstsein für die Cybersicherheitssituation zu verbessern - Bedrohungen proaktiv zu identifizieren, zu priorisieren und zu mindern.
Cyber Risk Management ist ein umfassenderer Cybersicherheitsansatz, der über ASM hinausgeht und sich darauf konzentriert, Risiken im gesamten Unternehmen zu kennen und zu mindern. Ein gutes Cyber Risk Management Framework hilft dabei, die relevantesten Risiken zu bestimmen und unterstützt „risikoinformierte Entscheidungsfindung“, um die gesamte Bedrohungsexposition zu reduzieren. Dadurch können Sicherheitsteams die Verteidigung stärken, Schwachstellen minimieren und die gesamten Risikomanagement- und strategischen Planungsprozesse ihrer Organisationen informieren.
Gutes Attack Surface Management bietet Organisationen eine Vielzahl von Vorteilen, angefangen bei der Stärkung der gesamten Sicherheitslage durch mehr Sichtbarkeit der gesamten IT-Umgebung und Angriffsfläche. Dies trägt wiederum dazu bei, das Risiko zu reduzieren, unterstützt durch kontinuierliche Überwachung und Neubewertung, um die Risikostufen niedrig zu halten.
Dies gibt dem Sicherheitsteam Ruhe und bietet gleichzeitig erhebliche Vorteile für das gesamte Unternehmen. Die Sichtbarkeit der Angriffsfläche ermöglicht eine größere Transparenz und Kontrolle über die Assets, reduziert das Risiko von Cyberangriffen und erhöht die Kosteneinsparungen. Wenn Sicherheitsteams schneller und effektiver handeln können, sind Organisationen besser positioniert, um die Geschäftskontinuität zu gewährleisten. Denn wenn Angriffe früher erkannt und gemindert werden, besteht ein geringeres Risiko für erhebliche Störungen.
ASM erfordert eine Lösung zur Verwaltung der Cyber-Risiko-Exposition, die in eine Cybersicherheitsplattform integriert ist, die einen proaktiven Ansatz verfolgt, um die Phasen der Entdeckung, Bewertung und Minderung durchzuführen.
Die Wahl einer Plattform mit starken Sicherheitsoperationen wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) ist besonders wichtig. Insbesondere XDR bietet wesentliche Daten und Analysen darüber, wie aktuelle Schutzmaßnahmen der Angriffsfläche funktionieren. Diese Erkenntnisse helfen, die Risikobewertungsphase genauer zu gestalten.
Attack Surface Management allein reicht im heutigen anspruchsvollen Risikolandschaft nicht aus. Organisationen benötigen Fähigkeiten zur Verwaltung der Cyber-Risiko-Exposition, um Risiken proaktiv vorherzusagen, aufzudecken, zu bewerten und zu mindern, um ihren Cyber-Risiko-Fußabdruck erheblich zu reduzieren.
Trend Vision One™ bietet eine Lösung zur Verwaltung der Cyber-Risiko-Exposition (CREM), die einen revolutionären Ansatz verfolgt, indem sie wichtige Fähigkeiten wie External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management und Security Posture Management über Cloud, Daten, Identität, APIs, KI, Compliance und SaaS-Anwendungen in einer leistungsstarken, benutzerfreundlichen Lösung kombiniert.
Cyber Risk Exposure Management kann Ihnen beim Attack Surface Management und darüber hinaus helfen.