Angriffsflächenmanagement (Attack Surface Management, ASM) bezeichnet die Erkennung, Bewertung und Eindämmung von Bedrohungen für das IT-Ökosystem eines Unternehmens.
Attack Surface Management (ASM) ist ein Ansatz zur Cybersicherheit, der Unternehmen dabei unterstützt, ihre Daten und Systeme besser zu schützen, indem Bedrohungen besser sichtbar gemacht werden. Es geht darum, zu erkennen, wo Risiken bestehen, deren relative Schwere zu verstehen und Maßnahmen zu ergreifen, um Sicherheitslücken in Bezug auf Personen, Prozesse und Technologien zu schließen.
ASM ist ein traditioneller Ansatz zur Cybersicherheit, der die Erkennung und Überwachung von Assets umfasst. Es betrachtet potenzielle Bedrohungen aus der Perspektive eines Angreifers: als Möglichkeiten, die Abwehrmechanismen eines Unternehmens zu durchbrechen und finanziellen, betrieblichen oder Reputationsschaden zu verursachen.
Wie sieht die Angriffsfläche aus?
Die Angriffsfläche ist die Gesamtheit aller Möglichkeiten, durch die ein Angreifer Zugriff auf das Netzwerk, die Daten oder die IT-Ressourcen eines Unternehmens erlangen kann. Sie besteht aus drei Teilen:
- Die digitale Angriffsfläche umfasst alle Hardware, Software und Daten, auf die von außen zugegriffen werden kann, auch wenn sie durch Verschlüsselung, Authentifizierungsprotokolle, Firewalls oder andere Maßnahmen geschützt sind.
- Die physische Angriffsfläche besteht aus allen physischen Geräten und Vorrichtungen, die gestohlen oder physisch manipuliert werden können, um eine Kompromittierung oder einen Sicherheitsverstoß zu verursachen.
- Die soziale oder menschliche Angriffsfläche bezieht sich auf alle Personen in einem Unternehmen, die Zugriff auf Systeme und Daten haben. Menschen können getäuscht, erpresst oder auf andere Weise manipuliert werden (beispielsweise durch Social-Engineering-Methoden wie Phishing), um eine Kompromittierung oder einen Verstoß zu verursachen.
Angriffsflächenmanagement vs. Cyberrisiko-Management
Das Angriffsflächenmanagement (Attack Surface Management, ASM) ist ein wesentlicher Bestandteil des Cyberrisiko-Managements. Zusammen helfen sie Unternehmen, ihre Cybersicherheit zu verbessern, indem sie Bedrohungen proaktiv erkennen, priorisieren und eindämmen.
Das Cyberrisiko-Management ist ein übergreifender Ansatz zur Cybersicherheit, der mehr vorsieht als ASM und sich auf die Ermittlung und Eindämmung von Risiken im gesamten Unternehmen konzentriert. Ein solides Framewerk für das Cyberrisiko-Management hilft dabei, die relevantesten Risiken zu ermitteln. Es fördert eine risikobewusste Entscheidungsfindung, um die Gesamtgefährdung zu reduzieren. Dadurch können Sicherheitsteams ihre Abwehrmaßnahmen verstärken, Schwachstellen minimieren und die allgemeinen Risikomanagement- und strategischen Planungsprozesse ihres Unternehmens optimieren.
Angriffsflächenmanagement vs. externes Angriffsflächenmanagement (EASM)
Externes Angriffsflächenmanagement (External Attack Surface Management (EASM) konzentriert sich speziell auf die Schwachstellen und Risiken, die mit nach außen gerichteten Geräten und Systemen verbunden sind. Dazu gehören auch diejenigen, die mit dem Internet verbunden sind. Die interne Angriffsfläche, die On-Premises-Geräte und partitionierte Ressourcen umfassen kann, wird von EASM nicht abgedeckt.
Warum ist ASM wichtig?
ASM hat enorm an Bedeutung gewonnen. Unternehmens-IT-Umgebungen sind dynamischer und vernetzter als je zuvor, wodurch die Angriffsfläche größer und vielfältiger wird. Herkömmliche Ansätze zur Erkennung und Überwachung von Assets sowie Einzellösungen für Cybersicherheit können nicht die erforderliche Transparenz, Intelligenz oder den notwendigen Schutz bieten. ASM hingegen ermöglicht es Sicherheitsteams, die Anzahl der Zugänge zum IT-Ökosystem des Unternehmens zu reduzieren und einen Echtzeit-Überblick über neu auftretende Schwachstellen und Angriffsvektoren zu gewinnen.
Wovor schützt ASM?
ASM unterstützt Unternehmen bei der Abwehr einer Vielzahl von Bedrohungen, auch bekannt als Angriffsvektoren. Zu diesen Bedrohungen gehören unter anderem:
- Cyberattacken: Ransomware und andere Malware können in Unternehmenssysteme eingeschleust werden. Dadurch können Angreifer Zugriff auf Netzwerke und Ressourcen erhalten, Daten exfiltrieren, Geräte kapern und Assets sowie Daten beschädigen.
- Codierungsprobleme und Fehlkonfigurationen: Fehlerhafte Konfigurationen von Netzwerk- und Cloud-Technologien wie Ports, Zugangspunkte, Protokolle und Ähnliches bieten Angreifern Einstiegsmöglichkeiten und sind eine häufige Ursache für Sicherheitsverletzungen.
- Phishing-Angriffe: Dazu gehören betrügerische E-Mails, Textnachrichten, Sprachnachrichten (heutzutage sogar mit KI-generierten Deepfakes und Videoanrufen), die Benutzer täuschen und sie zu Handlungen veranlassen, die die Cybersicherheit gefährden. Dies kann die Weitergabe sensibler Informationen, das Anklicken von Links, die zu Malware führen, die Freigabe von Geldern, die nicht ausgezahlt werden sollten, und vieles mehr umfassen. KI hat dazu beigetragen, dass Phishing schwieriger zu erkennen und gezielter ist.
- Veraltete Technologien und Anwendungen: Software, Firmware und Gerätebetriebssysteme müssen korrekt programmiert und gegen bekannte Schwachstellen und Bedrohungen gepatcht werden. Andernfalls bieten sie Angreifern eine Möglichkeit, in ein Unternehmen einzudringen. Ältere Geräte, die noch Teil der IT-Umgebung sind, aber nicht gewartet oder aktiv genutzt werden, können ebenfalls bequeme Zugangspunkte für Angreifer darstellen, da sie häufig nicht überwacht werden.
- Schwache Passwörter und Verschlüsselung: Leicht zu erratende Passwörter können böswilligen Akteuren Zugriff auf die digitalen Ressourcen eines Unternehmens verschaffen – sei es, weil sie offensichtlich oder zu einfach sind oder weil sie für mehrere Konten verwendet werden. Aus ähnlichen Gründen sind gestohlene Anmeldedaten bei Cyberkriminellen sehr begehrt. Verschlüsselung dient dazu, Informationen so zu verbergen, dass nur autorisierte Personen sie lesen können. Wenn diese nicht ausreichend stark ist, können Hacker Daten extrahieren, die sie anschließend für groß angelegte Angriffe nutzen können.
- Schatten-IT: Tools, die von den Beschäftigten eines Unternehmens verwendet werden, aber nicht Teil der bekannten oder genehmigten IT-Umgebung sind, werden als Schatten-IT bezeichnet. Sie können Schwachstellen verursachen, da das Cybersicherheitsteam keine Kenntnis davon hat. Dazu gehören Apps, tragbare Speichergeräte, private Smartphones und Tablets und Ähnliches.
Funktionsweise von ASM
ASM umfasst drei Hauptphasen: Erkennung, Bewertung und Eindämmung. Da sich die Angriffsfläche ständig verändert, müssen alle drei Phasen kontinuierlich durchgeführt werden.
Erkennung
In der Erkundungsphase werden die Angriffsfläche und alle darin enthaltenen Assets definiert. Das Ziel der Erkennung besteht darin, alle bekannten und unbekannten Geräte, Softwareprogramme, Systeme und Zugangspunkte zu identifizieren, die die Angriffsfläche bilden. Dazu gehören auch Schatten-IT-Anwendungen, verbundene Technologien von Drittanbietern und Technologien, die bisher nicht in Bestandsaufnahmen erfasst wurden. Zahlreiche Lösungen bieten zwar die Erkennung als Teil ihrer ASM-Lösung an, jedoch sollten Sie kritisch sein. Suchen Sie nach einer Lösung, die Compliance und Quantifizierung von Cyberrisiken kombiniert. Damit erhalten Sie ein vollständiges Bild der Risiken, das über die Erfassung von Vermögenswerten hinausgeht und Ihnen Ihr tatsächliches Risiko aufzeigt. Ein kontinuierlicher Erkennungsprozess hilft dabei, Aufschluss darüber zu gewinnen, wie sich die Angriffsfläche im Lauf der Zeit verändern kann.
Bewertung
Nach der Erkennung bewerten Sicherheitsteams jedes Asset auf potenzielle Schwachstellen. Dazu gehören Fehlkonfigurationen und Codierungsfehler, aber auch soziale/menschliche Faktoren wie Anfälligkeit für Angriffe durch Phishing oder Business Email Compromise (BEC). Jedes Risiko wird bewertet, sodass Sicherheitsteams diejenigen priorisieren können, die am dringendsten behoben werden müssen.
Die Risikobewertung basiert in der Regel auf dem Risikoniveau, der Wahrscheinlichkeit eines Angriffs, den potenziellen Schäden und der Schwierigkeit der Behebung. Idealerweise berücksichtigt sie auch globale Bedrohungsdaten, die zeigen, welche Schwachstellen am häufigsten und am einfachsten ausgenutzt werden.
Beispiel: Wenn eine Software Zugriff auf sensible Daten gewährt, mit dem Internet verbunden ist und eine bekannte Schwachstelle aufweist, die bereits von Angreifern in der Praxis ausgenutzt wurde, sollte das Patchen dieser Software wahrscheinlich oberste Priorität haben.
Sobald alle Risiken bewertet wurden, wird die Gesamtpunktzahl ermittelt, um eine allgemeine Risikobewertung für das Unternehmen zu erhalten. Auf diese Weise kann das Unternehmen sein Risikoprofil im Lauf der Zeit benchmarken und überwachen.
Eindämmung
Bei der Eindämmung werden Maßnahmen ergriffen, um die entdeckten Schwachstellen zu beheben. Dies umfasst zum Beispiel die Ausführung von Software-Updates oder die Installation von Patches, die Einrichtung von Sicherheitskontrollen und Hardware oder die Implementierung von Schutzmaßnahmen wie Zero Trust. Auch die Entfernung alter Systeme und Software kann dazu gehören. In jedem Fall ist es entscheidend, dass Sie über die richtige Lösung verfügen, um die Eindämmung auf skalierbare Weise anzugehen.
Welche Vorteile bietet ASM?
Ein gutes Management der Angriffsfläche bietet Unternehmen eine Vielzahl von Vorteilen, angefangen bei der Stärkung des allgemeinen Sicherheitsstatus durch mehr Transparenz in der gesamten IT-Umgebung und Angriffsfläche. Das trägt wiederum zur Risikominderung bei, unterstützt durch kontinuierliche Überwachung und Neubewertung, um das Risikoniveau niedrig zu halten.
Dies gibt dem Sicherheitsteam Sicherheit und bietet gleichzeitig erhebliche Vorteile für das gesamte Unternehmen. Die Transparenz der Angriffsfläche ermöglicht eine bessere Kontrolle über die Assets, wodurch das Risiko von Cyberattacken verringert und Kosteneinsparungen erzielt werden. Wenn Sicherheitsteams schneller und effektiver reagieren können, sind Unternehmen besser in der Lage, die Geschäftskontinuität sicherzustellen. Denn wenn Angriffe früher erkannt und eingedämmt werden, ist das Risiko erheblicher Störungen geringer.
Wie kann ASM umgesetzt werden?
ASM benötigt eine Lösung für Cyber Risk Exposure Management, integriert in eine Cybersicherheitsplattform, die einen proaktiven Ansatz für die Phasen der Erkennung, Bewertung und Eindämmung verfolgt.
Die Wahl einer Plattform mit starken Sicherheitsfunktionen ist besonders wichtig. Dazu gehören Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR). Insbesondere XDR liefert wichtige Daten und Analysen zur Wirksamkeit der aktuellen Schutzmaßnahmen für die Angriffsfläche. Diese Erkenntnisse tragen dazu bei, die Risikoanalyse zu präzisieren.
Wo erhalte ich Unterstützung beim Angriffsflächenmanagement?
Angriffsflächenmanagement reicht in der heutigen anspruchsvollen Risikolandschaft nicht mehr aus. Unternehmen benötigen Funktionen zum Management von Cyberrisiken. Damit können sie Risiken proaktiv vorhersagen, aufdecken, bewerten und mindern, um ihre Cyberrisiken deutlich zu reduzieren.
Trend Vision One™ bietet eine Lösung für Cyber Risk Exposure Management (CREM), die einen revolutionären Ansatz verfolgt, indem sie wichtige Funktionen in einer leistungsstarken, benutzerfreundlichen Lösung vereint. Dazu gehören External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Schwachstellenmanagement und Security Posture Management – für Cloud, Daten, Identitäten, APIs, KI, Compliance und SaaS-Anwendungen.
Erfahren Sie mehr darüber, wie Cyber Risk Exposure Management Sie beim Management Ihrer Angriffsflächen und vielem mehr unterstützen kann.