ASM, XDR, ASRM, Zero Trust – mehr Business-Resilienz
Die Dynamik und Komplexität heutiger IT erfordert neue Schutzkonzepte. Von einem effizienten Attack Surface Risk Management über Detection und Reaktion mündet die Strategie häufig in einem Zero Trust-Ansatz. Wie sieht dieser Weg aus?
Die IT hat sich in den letzten Jahren vom unterstützenden Werkzeug zum zentralen Drehkreuz moderner Unternehmen entwickelt. Neue Geschäftsinitiativen zur Steigerung der Profitabilität münden rasch in digitalen Prozessen, die dann ihrerseits IT-Risiken mit sich bringen, die es zu handhaben gilt. Cybersicherheit ist daher eine der obersten Prioritäten für den Schutz der Wertschöpfungskette.
Klassische Sicherheitskonzepte waren darauf ausgerichtet, möglichst Schaden von der eigenen Infrastruktur fernzuhalten, scheiterten aber an der Dynamik und Komplexität der IT. Nicht zuletzt aus diesen Gründen wurden die reaktiven Fähigkeiten durch breite Datenerfassung und künstliche Intelligenz optimiert, bis zu den heutigen in hohem Maße automatisierten Erkennungs- und Reaktionsplattformen (XDR, Extended Detection und Response). Die nächsten Technologien stehen bereits in den Startlöchern, um auch deutlich früher und proaktiv agieren zu können. Hier gibt es dafür mehrere für sich genommen und im Zusammenspiel interessante Ansätze.
Attack Surface (Risk) Management als neue Disziplin
Digitale Angriffsflächen müssen verwaltet werden. Dies kann über zwei ähnlich klingende Ansätze geschehen: Attack Surface Management (ASM) und Attack Surface Risk Management (ASRM). Ziel beider Ansätze ist es, kontinuierlich die interne und externe Angriffsfläche des Unternehmens zu erfassen, zu bewerten und Maßnahmen zu empfehlen oder direkt einzuleiten, die der Minderung oder Eliminierung bekannter Risiken dienen. Interne Daten sind relativ einfach zu beschaffen, indem Agenten und Konfigurationen die IT- und OT-Landschaft überwachen und die Daten (hoffentlich normiert) in eine zentrale Wissensplattform (Data Lake) schreiben. Externe Daten über die generelle Bedrohungslage, aktuelle Forschungsdaten zu Schwachstellen, aber auch die Erreichbarkeit beim Kunden der firmeneigenen Dienste aus dem Internet sind für die ganzheitliche Betrachtung wertvoll und müssen mit internen Daten korreliert werden.
Ähnlich aber doch unterschiedlich
Der Unterschied zwischen den beiden Ansätzen liegt zum einen in der Betrachtung dessen, was eine Angriffsoberfläche darstellt und zum anderen auch darin, wie sich Risiken definieren. Im älteren ASM-Ansatz werden Sicherheitsrisiken, die von nach außen (extern) gerichteten Ressourcen wie öffentlichen Websites, APIs und Cloud-Diensten ausgehen, identifiziert, bewertet und nach bester Möglichkeit gemindert. Hierher gehört auch die regelmäßige Überwachung und Prüfung der Sicherheit dieser Ressourcen bezüglich bekannter Schwachstellen. Ziel ist, diese unschädlich zu machen, bevor sie von Angreifern ausgenutzt werden können.
Die Bewertung der von diesen Schwachstellen ausgehenden Risiken richtet sich dabei oft nach Industrieeinschätzungen wie dem „Common Vulnerability Scoring System“ (CVSS). Berechnet wird dabei u.a. wie schwierig es ist, eine Schwachstelle auszunutzen, und welches Schadenspotenzial dadurch vorhanden ist. Diese Werte werden ins Verhältnis zu anderen Schwachstellen gestellt, so dass sich dadurch eine Priorisierung ableiten lässt.
Das ähnlich klingende, jüngere Attack Surface Risk Management beinhaltet die oben genannten Ansätze, betrachtet diese allerdings aus Sicht der Cyberkriminalität. Ziel eines Attack Surface Risk Mangements ist es, die Assets und ihre Schwachstellen zu identifizieren (Discovery), die Risiken zu bewerten (Assess Risks) und entsprechende Minimierungsstrategien (Mitigate) zu etablieren. Dabei geht es nicht nur um die Verwundbarkeit der Systeme, sondern auch um ihre relative Attraktivität für Angreifer. So kann beispielsweise eine nach CVSS niedrig bewertete Schwachstelle für ein Unternehmen ein deutlich höheres Risiko bedeuten, weil sie bereits aktiv in Angriffskampagnen verwendet wird. Des Weiteren werden alle nach außen gerichteten Angriffspunkte betrachtet, unter anderem auch Benutzerkonten (z.B. Mail). Die Gesamtheit technischer, prozessualer und personeller „Schwachstellen“ innerhalb oder außerhalb der Peripherie dient der Kategorisierung und Priorisierung der Risiken, die es Angreifern ermöglichen könnten, ein System zu infiltrieren.
Mehrwert eines Attack Surface Risk Managements (ASRM)
Für eine umfassende und belastbare Bewertung durch ein ASRM ist neben der Erkennung der einzelnen Assets (Protokolle, Dienste und Ports, etc.) auch die Relation zwischen den entsprechenden Diensten und Benutzern von kritischer Bedeutung für das Verständnis der Wichtigkeit für einen Geschäftsprozess. Auf diese Weise und mit dem richtigen Verständnis lassen sich Aufgaben priorisieren und im Falle eines Angriffs, ihn auf seine Kritikalität hin einzuordnen.
Genau diese Einordnung entspricht der Risikobewertung, bei der es darum geht, die Wahrscheinlichkeit (Probability), die Schweregrad (Severity) und die Auswirkung (Impact) je Asset und Angriffsvektor zu bestimmen. So lässt sich die Auswirkung auf das Geschäft durch einen betroffenen Service abschätzen, häufig auch als Basis für die Bestimmung der Höhe eines Budgets, das man für den Schutz der Assets oder des Prozesses aufwenden möchte. Was bringt schon die Budgetierung eines 100.000 € Security-Projekts mit Bindung teurer Fachkräfte für ein Asset, dessen Ausfall keine signifikante Bedeutung für das Unternehmen hätte, oder das sich auf schnelle Art und Weise kostengünstig ersetzen lässt.
Zero Trust – auch eine Frage des Risikos
Die Etablierung einer Zero Trust-Kultur in der digitalen Welt ist eine der Bestrebungen, die seit etwa 2017 zunehmend in die Praxis umgesetzt wird. Zero Trust bezeichnet ein Sicherheitskonzept und keine Technologie. Es dient als Rahmenwerk dazu, alle Geräte und Benutzer, auch die innerhalb des Unternehmensnetzes, als potenziell nicht vertrauenswürdig anzusehen. Es wird also bei jedem Versuch der Kommunikation das Risiko der Verbindung überprüft, bevor der Zugang zu Ressourcen gewährt wird. Dieses Konzept ersetzt das traditionelle Sicherheitsmodell, das interne Benutzer und Systeme als „gut“ bewertet, während externe Benutzer und Geräte unter Generalverdacht stehen. Zero Trust zielt darauf ab, die Sicherheit durch konsequente und lückenlose Überwachung einer jeden Zugriffsanfrage zu erhöhen. Die angelegten Kriterien mögen sich je nach Unternehmen unterscheiden. Beispielsweise wird das eine Unternehmen Benutzer ohne Multifaktor-Authentifizierung als „verdächtig“ einstufen, während andere externe Endgeräte pauschal aussortieren. Die Technologie der Kommunikation ist längst vorhanden, während die Risikobewertung die Quelle der eigentlichen „Sicherheit“ in der Zero Trust-Kultur ist.
Eine dabei häufig übersehene Herausforderung bei einer Zero Trust-Strategie besteht in der „permanenten Überprüfung“. Damit ist gemeint, dass eine als sicher eingestufte Verbindung, diesen Zustand durch Identifizierung neuer Risikofaktoren verlieren kann. Beispiel dafür wäre ein Benutzer, der sich von einem zweiten geografischen Standort (z.B. verschiedene Kontinente) parallel mit seinem Account auf sensible Daten verbinden möchte. Hier gilt es, beide Verbindungen zu verifizieren, und bis zum Abschluss der Prüfung kann es ratsam sein, die Zugriffsmöglichkeiten zu beschränken.
Fazit
Die Kombination aus den gesammelten Echtzeitdaten über die internen und externen Assets ist nicht nur die Grundlage für die Bewertung von IT-Risiken sondern auch für die Einrichtung einer Zero Trust Konzeption essenziell. Je wichtiger ein Asset ist, desto weniger tolerant kann man mit Risiken umgehen. Auch wenn diese nicht gänzlich vermieden werden können, um sie sinnvoll einzudämmen, müssen sie kontinuierlich überwacht werden. Dies trifft in besonderem Maße auf die hoch dynamische IT zu. Neue Techniken, ja sogar nur neue Entdeckungen führen, wie z.B. bei Log4Shell, dazu, dass für sicher gehaltene Umgebungen plötzlich hochriskant sind. Ein ASRM in Kombination mit einem Zero Trust-Ansatz würde je nach Konfiguration, in einem solchen Fall schon geringste Anomalien blocken, bis das grundsätzliche Risiko gemindert wird, z.B. durch Installation eines Patches.
Die IT-Security wird dadurch um eine zusätzliche Ebene erweitert. Schon bei der Erkennung von Risiken und deren Einschätzung unterstützt die Technik. Über ein und dieselbe Plattform werden dabei ebenfalls Verteidigungsmaßnahmen koordiniert sowie Detektion und Reaktion, sollte trotz allem etwas durchgekommen sein. Dadurch gelingt es, eine höhere Resilienz bei geringeren Kosten zu erreichen.