Das Management der externen Angriffsfläche (External Attack Surface Management, EASM) ist ein Cybersicherheitsansatz. Er konzentriert sich auf die Identifizierung, Überwachung und Eindämmung von Risiken rund um Daten, Systeme und Technologien, die mit der Außenwelt verbunden sind.
Die Angriffsfläche eines Unternehmens umfasst alle Schwachstellen, Zugangspunkte und Angriffsvektoren, die Angreifer nutzen können, um sich unbefugten Zugriff auf Systeme und Daten zu verschaffen. Genau darauf zielen Kriminelle ab, wenn sie vorhaben, Systeme zu stören, Daten zu stehlen, Lösegeld zu erpressen oder andere böswillige Handlungen zu begehen.
Jedes Unternehmen verfügt über eine interne und eine externe Angriffsfläche. Zur internen Angriffsfläche gehören alle Komponenten der internen Netzwerkumgebung: Infrastruktur, Geräte, Anwendungen, Benutzer und einiges mehr.
Die externe Angriffsfläche umfasst, wie der Name sagt, alle Technologien, die mit der Außenwelt in Kontakt stehen und über Schnittstellen mit ihr verbunden sind – etwa über das Internet, Cloud-Dienste und mobile Verbindungen. Dazu gehören auch Verbindungen zu Drittanbietern, Partnern, Lieferanten und Remote-Mitarbeitern.
Das Management der externen Angriffsfläche, also External Attack Surface Management (EASM), ist der Prozess zum Schutz dieser nach außen exponierten Assets, Ressourcen und Technologien. Diesem Bereich gilt besondere Aufmerksamkeit, da viele Bedrohungen von außerhalb des Unternehmens stammen. Die externe Angriffsfläche ist dynamischer und komplexer als je zuvor. Ein Unternehmen, das seine externe Angriffsfläche proaktiv managen kann, ist in der Lage, seine Sicherheitslage erheblich zu verbessern.
External Attack Surface Management vs. Attack Surface Management
Angriffsflächenmanagement (Attack Surface Management, ASM) ist ein Oberbegriff, der die gesamte Angriffsfläche umfasst, die interne und die externe. Das Management der externen Angriffsfläche (External Attack Surface Management, EASM) konzentriert sich ausschließlich auf externe Risiken. Beide Arten des Angriffsflächenmanagements haben drei Dimensionen – digital, physisch und sozial/menschlich – und erfordern einen kontinuierlichen dreistufigen Prozess aus Erkennung, Bewertung und Eindämmung.
Warum ist EASM wichtig?
Mit der zunehmenden Vernetzung und Öffnung von Netzwerken hat das Management der externen Angriffsfläche (EASM) an Bedeutung gewonnen. Die Zeiten, in denen Gateways und Firewalls in Verbindung mit routinemäßigen Schwachstellen- und Penetrationstests zuverlässig vor Angreifern schützen konnten, sind vorbei. Heutzutage haben Netzwerke weniger „harte Grenzen“, die auf herkömmliche Weise geschützt werden können. Das eröffnet Cyberkriminellen zahlreiche neue Möglichkeiten, sich Zugang zu Systemen und Daten zu verschaffen und Schaden anzurichten.
Gleichzeitig ist die IT in Unternehmen stark dezentralisiert. Geschäftsbereiche und einzelne Benutzer können Cloud-Ressourcen ohne Hilfe der IT-Abteilung nutzen. Schatten-IT-Anwendungen und -Dienste sind weit verbreitet, und viele Beschäftigte verwenden private Geräte in Unternehmensnetzwerken oder für berufliche Zwecke.
All dies bedeutet, dass die Angriffsfläche nach außen mehr Schwachstellen aufweist als je zuvor und einen konzertierten, umfassenden Ansatz für das Cyberrisiko-Management erfordert. EASM macht die gesamte externe Angriffsfläche sichtbar und ermöglicht so eine kontinuierliche Überwachung und Abwehr. Auf diese Weise können Cybersicherheitsteams erkennen, wo die größten Risiken für ihr Unternehmen bestehen, und entsprechende Maßnahmen ergreifen.
Wovor schützt EASM?
Die meisten Angriffsvektoren (Methoden zur Durchführung einer Cyberattacke) richten sich gegen die externe Angriffsfläche. Zu den gängigen Methoden zählen Ransomware, Phishing und Angriffe, die darauf abzielen, private oder wertvolle Daten zu stehlen oder Betriebssysteme zu stören. EASM unterstützt Sicherheitsteams dabei, die externe Angriffsfläche zu verkleinern. Dadurch haben Vektoren wie diese weniger Möglichkeiten, in die Unternehmensumgebung einzudringen.
EASM versetzt Unternehmen außerdem in die Lage, Gesetze und Vorschriften zum Datenschutz und zur Datensicherheit einzuhalten. Dazu sorgt es für mehr Transparenz der externen Angriffsfläche und ermöglicht Sicherheitsteams, Verstöße zu verhindern oder einzudämmen.
Beispiele für Elemente der externen Angriffsfläche
Jedes über das Internet zugängliche System und jeder Dienst kann Teil der externen Angriffsfläche sein. Alle Unternehmen verfügen über eine spezifische Kombination aus Geräten und Technologien, die nach außen gerichtet und potenziell gefährdet sind. Einige gängige Beispiele sind:
- Webanwendungen: Jedes Unternehmen mit einer E-Commerce-Website oder einem Buchungssystem betreibt eine Webanwendung (Web- App). Dadurch sind Web-Apps ein wichtiger Teil der externen Angriffsfläche vieler Unternehmen – und für alle Personen zugänglich, die über eine Internetverbindung verfügen. Wenn eine Web-App falsch konfiguriert oder unzureichend gesichert ist, können Angreifer diese Schwachstellen ausnutzen. Er kann dann Malware verbreiten, Daten stehlen oder auf Backend-Unternehmenssysteme zugreifen, die mit der Web-App verbunden sind.
- Cloud-Dienste: Cloud-Dienste und virtualisierte Infrastrukturen bieten Unternehmen Zugriff auf komfortable, flexible und hoch skalierbare Rechenressourcen. Da ihr Einsatz in einem Unternehmen eine externe Netzwerkverbindung voraussetzt, sind sie jedoch exponiert und potenziell anfällig für Angriffe. Wie bei Webanwendungen können Hacker auch hier Schwachstellen ausnutzen, wenn die Cloud-Infrastruktur nicht ordnungsgemäß konfiguriert ist.
- Remote-Access-Systeme: Während und seit der Pandemie haben Remote- und Hybrid-Arbeit explosionsartig zugenommen. Beschäftigte greifen von ihren Heimnetzwerken oder von potenziell unsicheren Netzwerken unterwegs auf Unternehmenssysteme und -daten zu. Die Technologien, die zur Sicherung dieser Verbindungen eingesetzt werden, wie Virtual Private Networks (VPNs), sind mittlerweile zum Ziel von Angreifern geworden, die in die IT-Umgebungen von Unternehmen eindringen wollen.
- IoT-Geräte (Internet of Things): Viele Unternehmen und Gebäude sind mittlerweile IoT-fähig, beginnend bei der Klimaanalage bis hin zu Sicherheitssystemen. Dies gilt auch für die Wohnungen und Homeoffices der Beschäftigten. Diese Geräte bilden auch einen wachsenden Teil der externen Angriffsfläche.
Ein weiterer Bereich, den Unternehmen in ihren EASM-Strategien berücksichtigen müssen, sind ihre Beziehungen zu Drittanbietern. Viele Unternehmen sind auf kommerzielle, finanzielle und technische Dienstleistungen von Dritten angewiesen, beispielsweise auf Managed Service Provider (MSPs) für die IT oder auf Partner für die Zahlungsabwicklung. Jede Verbindung zwischen diesen Dritten und den IT-Ressourcen des Unternehmens kann ein potenzielles Ziel für Angreifer sein.
Funktionsweise von EASM
Wie das generelle Angriffsflächenmanagement (ASM) umfasst auch EASM einen kontinuierlichen und wiederkehrenden Prozess der Erkennung, Bewertung und Abwehr.
Erkennung
Eine Cybersicherheitsplattform mit Funktionen zum Management externer Angriffsflächen (EASM) sollte in der Lage sein, alle nach außen gerichteten Ressourcen zu identifizieren. Dies schließt auch solche Ressourcen ein, die möglicherweise nicht in vorhandenen Bestandsverzeichnissen erfasst sind. Zu den Assets und Elementen, die im Rahmen des Erkennungsprozesses gescannt werden, gehören Cloud-Dienste, Webanwendungen, IP-Adressen, Domänen und vieles mehr. Eine EASM-Lösung kann auch Schatten-IT-Anwendungen in der Cloud erkennen, die erhebliche Cybersicherheitslücken darstellen („unbekannte Unbekannte“).
Bewertung
Nach der Erkennung kann die EASM-Lösung dazu verwendet werden, Risiken durch externe Angriffsflächen zu bewerten. Dazu gehört in der Regel die Suche nach Fehlkonfigurationen, nicht gepatchter Software, veralteten Systemen, bekannten und potenziellen Schwachstellen und vielem mehr. Sobald Schwachstellen auf diese Weise identifiziert wurden, können sie entsprechend ihrem relativen Risikoniveau priorisiert werden (bekannt als Risikobewertung). Auf diese Weise kann das Unternehmen feststellen, welche Risiken am dringendsten oder bedeutendsten sind. Die erforderlichen Ressourcen können dann entsprechend zugewiesen werden, damit eine angemessene Reaktion folgen kann.
Eindämmung
Die Eindämmung kann Folgendes umfassen: Stilllegung alter Hardware, Aktualisierung und Patchen von Software, Behebung von Fehlkonfigurationen, Einbindung von Schatten-IT-Anwendungen in die Verwaltung und vieles mehr. Im Rahmen des laufenden EASM-Prozesses muss die externe Angriffsfläche kontinuierlich überwacht werden. Ziel ist es, dass das Unternehmen bei Veränderungen der IT-Umgebung und der Bedrohungslage proaktiv reagieren und einen starken Sicherheitsstatus aufrechterhalten kann.
Welche Vorteile bietet EASM?
EASM bietet Unternehmen eine Reihe von Vorteilen:
- Transparenz: EASM verschafft Unternehmen einen umfassenden Überblick über ihre nach außen gerichteten Technologie-Assets. Es deckt bisher unbekannte Schwachstellen auf, um eine stärkere und umfassendere Cyberabwehr zu ermöglichen.
- Effizienz: EASM trägt zu einer schnelleren und präziseren Reaktion auf Vorfälle bei, da Bedrohungen schneller erkannt werden und ein umfassenderes Bild der IT-Umgebung vorliegt. Dadurch können Bedrohungen früher und vollständiger eingedämmt werden.
- Compliance: In vielen Branchen müssen Unternehmen gesetzliche und regulatorische Rahmenbedingungen für den Datenschutz und die Privatsphäre einhalten. EASM unterstützt die Compliance als Teil eines guten Gesamtkonzepts für das Cyberrisiko-Management.
All dies zusammen sorgt für eine stärkere allgemeine Sicherheitslage, die auf Echtzeit-Informationen und gezielten Maßnahmen zur Cybersicherheit basiert.
Wie lässt sich EASM in das Cyberrisiko-Management integrieren?
Cyberrisiko-Management ist ein Ansatz zur Verbesserung der Cybersicherheit eines Unternehmens, indem Bedrohungen identifiziert, priorisiert und gemindert werden. EASM ist nur ein kleiner Teil eines umfassenden Frameworks für das Cyberrisiko-Management.
Im Allgemeinen zielt das Cyber-Risikomanagement darauf ab, Unternehmen dabei zu unterstützen, Bedrohungen proaktiver zu erkennen und zu bewältigen. Dies geschieht durch maßgeschneiderte Sicherheitsmaßnahmen und Kontrollen, die auf die spezifischen Anforderungen, den Branchenkontext und die Bedrohungslage des jeweiligen Unternehmens zugeschnitten sind. Ziel ist es, durch kontinuierliche Überwachung und fortlaufende Bewertungen Echtzeit-Erkenntnisse über Bedrohungen zu ermöglichen und sicherzustellen, dass alle Beschäftigten die gleiche proaktive Einstellung zur Cybersicherheit haben.
Die Phasen des Cyberrisiko-Managements sind identisch mit denen des EASM: Erkennung, Bewertung und Eindämmung.
Eine vollständige Lösung für Cyber Risk Exposure Management umfasst ASM, EASM, Cyber Asset Attack Surface Management (CAASM), Schwachstellenrisikomanagement, Sicherheitsstatus, Quantifizierung von Compliance-Risiken und Risikobewertung. Dazu kommen Richtlinien, Verfahren und andere Governance-Komponenten, die klare Ziele und eine konsistente Umsetzung gewährleisten.
Wo erhalte ich Unterstützung bei EASM?
EASM ist ein wichtiger Bestandteil von ASM. Um echte Risikoresilienz aufzubauen, benötigen Unternehmen jedoch eine breite Palette an hochmodernen Funktionen im Bereich Cyber Risk Exposure Management. Dazu gehören EASM, Cyber Asset Attack Surface Management (CAASM), Vulnerabiliy Management und Security Posture Management. Trend Vision One bietet eine Lösung für Cyber Risk Exposure Management, die all diese Funktionen vereint. Sie können damit kontinuierlich Eintrittspunkte überwachen, Maßnahmen zur Eindämmung anhand ihrer Auswirkungen priorisieren, Risiken in finanzielle Begriffe übersetzen und zukünftige Bedrohungen vorhersagen. Ziel ist es, Risiken zu neutralisieren, bevor sie eintreten.
Erfahren Sie mehr darüber, wie Cyber Risk Exposure Management Ihnen dabei helfen kann, mehr zu tun als nur die Angriffsfläche zu managen.