- 1. Was ist eine Angriffsfläche?
- 2. Warum ist ASM wichtig?
- 3. Die Geschwindigkeit und der Umfang des Internets
- 4. Arten von Angriffsflächen
- 5. Kernfunktionen von ASM
- 6. Der Unterschied zwischen Angriffsflächen und Bedrohungsmengen
- 7. Relevante Angreifer
- 8. Häufig ausgenutzte Angriffsvektoren
- 9. Wie Sie Angriffsflächenrisiken senken
- 10. Beurteilung der Angriffsfläche
- 11. Die Auswirkungen der digitalen Transformation auf die Angriffsfläche
- 12. Anwendungsbereiche für das Angriffsflächenmanagement
- 13. Angriffsflächenmanagement (ASM) – FAQ
Inhalt
- Was ist eine Angriffsfläche?
- Warum ist ASM wichtig?
- Die Geschwindigkeit und der Umfang des Internets
- Arten von Angriffsflächen
- Kernfunktionen von ASM
- Der Unterschied zwischen Angriffsflächen und Bedrohungsmengen
- Relevante Angreifer
- Häufig ausgenutzte Angriffsvektoren
- Wie Sie Angriffsflächenrisiken senken
- Beurteilung der Angriffsfläche
- Die Auswirkungen der digitalen Transformation auf die Angriffsfläche
- Anwendungsbereiche für das Angriffsflächenmanagement
- Angriffsflächenmanagement (ASM) – FAQ
Was ist Angriffsflächenmanagement?
Inhalt
- Was ist eine Angriffsfläche?
- Warum ist ASM wichtig?
- Die Geschwindigkeit und der Umfang des Internets
- Arten von Angriffsflächen
- Kernfunktionen von ASM
- Der Unterschied zwischen Angriffsflächen und Bedrohungsmengen
- Relevante Angreifer
- Häufig ausgenutzte Angriffsvektoren
- Wie Sie Angriffsflächenrisiken senken
- Beurteilung der Angriffsfläche
- Die Auswirkungen der digitalen Transformation auf die Angriffsfläche
- Anwendungsbereiche für das Angriffsflächenmanagement
- Angriffsflächenmanagement (ASM) – FAQ
Das Angriffsflächenmanagement (ASM) umfasst die kontinuierliche Erkennung, Überwachung und Verwaltung aller internen und externen Ressourcen, die mit dem Internet verbunden sind – zur Aufdeckung potenzieller Angriffsvektoren und Schwachstellen.
Das Ziel von ASM ist es, die Transparenz zu erhöhen und Risiken zu reduzieren. Mit einem proaktiven Ansatz zur Identifizierung und Behebung von Schwachstellen können Organisationen das Risiko von Cyberangriffen maßgeblich reduzieren und ihr gesamtes Sicherheitsniveau stärken.
Was ist eine Angriffsfläche?
Die Angriffsfläche ist die Summe aller Punkte, über die sich Angreifer Zugang zu den Systemen und Daten einer Organisation verschaffen könnten, und umfasst:
- Anwendungen: Alle Softwareanwendungen, auf die von außerhalb der Organisation zugegriffen werden kann – z. B. Webanwendungen, mobile Anwendungen und APIs
- Websites: Alle Websites, die vom Unternehmen gehostet werden – darunter öffentliche, interne und E-Commerce-Websites
- Netzwerke: Jedes vom Unternehmen zur Vernetzung seiner Geräte und Systeme genutzte Netzwerk – darunter das Internet und private sowie Cloud-Netzwerke
- Geräte: Alle Geräte, die mit den Netzwerken des Unternehmens verbunden sind – darunter Laptops, Smartphones, Server und IoT-Geräte
- Cloud-Infrastruktur: Jegliche vom Unternehmen genutzten Cloud-Infrastrukturen – z. B. öffentliche und private Clouds sowie Hybrid-Clouds
Die Angriffsfläche einer Organisation unterliegt aufgrund von Faktoren wie der Cloud-Nutzung und der zunehmenden Anzahl an vernetzten Geräten stetigem Wachstum. Das erschwert es Organisationen auch, den Überblick über all ihre Schwachstellen zu behalten und diese angemessen zu beheben.
Warum ist ASM wichtig?
Was man nicht kennt oder sieht, kann man nicht schützen. Das Angriffsflächenmanagement bietet Organisationen wichtige Einblicke in puncto Risiken und gibt ihnen die Möglichkeit, diesen Risiken entgegenzuwirken. Aufgrund der Dynamik der modernen Cloud-Nutzung ist für Organisationen sowohl internes als auch externes Angriffsflächenmanagement erforderlich.
Organisationen können das Risiko von Cyberangriffen und Datenlecks reduzieren, indem sie die Anzahl der Zugangspunkte und Schwachstellen in ihren Systemen und Netzwerken minimieren. Das sorgt dafür, dass sie einen umfassenden und kontinuierlich aktualisierten Katalog all ihrer über das Internet zugänglichen Assets und der damit verbundenen Risiken haben.
Zur Erstellung eines solchen Referenzsystems braucht es einen neuen Ansatz, da Netzwerkperimeter der Vergangenheit angehören und die traditionelle Übersicht über die Angriffsfläche eines Unternehmens somit ebenfalls nicht mehr aktuell ist. Moderne Angriffsflächen umfassen alle über das Internet zugänglichen Assets in der Cloud, On-Premises-Assets sowie jene, die sich an verschiedenen Ort befinden.
Zwischen privaten, öffentlichen und Multi-Cloud-Umgebungen, durch Fusionen und Übernahmen „geerbten“ Assets, Zugang bei Partnern in der Lieferkette und mobilen Mitarbeitern ist es IT-Experten unmöglich, den Überblick über alle Assets und die dafür verantwortlichen Personen zu behalten – zumindest mit manuellen Methoden.
In der Vergangenheit wurden Assetverzeichnisse anhand von langsamen, manuellen und unregelmäßigen Prozessen generiert – z. B. im Rahmen von Red-Team-Übungen oder Penetrationstests. Doch leider sind moderne Infrastrukturen extrem dynamisch, besonders in der Cloud. Es bedarf nur eines Mitarbeiters im Besitz einer Kreditkarte und schon wird eine neue Cloud-Instanz außerhalb des Wirkungsbereichs Ihrer Sicherheitsmaßnahmen geschaffen. Das ist ein sehr gängiges Beispiel dafür, wie eine Angriffsfläche wächst.
Außerdem hat die Qualität der Daten in einem Assetverzeichnis direkte Auswirkungen auf die Effizienz aller Sicherheitsprozesse. Schwachstellenscanner können nur bekannte Assets prüfen, was bedeutet, dass unbekannte Assets nicht gesichert werden können und somit eine direkte Bedrohung darstellen, was Sicherheitsteams wiederum die Kontrolle entzieht.
MIT Technology Review Insights stellte in einer Umfrage fest, dass rund 50 % der untersuchten Unternehmen schon mindestens einmal über unbekannte oder nicht verwaltete Assets angegriffen wurden und weitere 19 % fest mit einem solchen Angriff rechnen.
Die Geschwindigkeit und der Umfang des Internets
Hacker werden unbekannte Assets finden und ausnutzen, da sie gezielt auf der Suche nach dem schwächsten Glied sind. Sie haben ihre eigene digitale Transformation durchlaufen und können das gesamte Internet in weniger als einer Stunde nach anfälligen Systemen durchsuchen. Das bedeutet, dass die durchschnittliche Zeit bis zur Inventarisierung (Mean Time to Inventory, MTTI) von Verteidigern kürzer sein muss als die Durchsuchungszeit der Angreifer.
Untersuchungen des Cortex Xpanse-Teams haben ergeben, dass Cyberkriminelle einmal pro Stunde in Systemen nach über das Internet zugänglichen Assets scannen und nach CVE-Bekanntgaben sogar noch schneller – alle 15 Minuten oder sogar noch häufiger. Dagegen benötigen internationale Großkonzerne im Durchschnitt 12 Stunden, um Sicherheitslücken zu finden, und das auch nur, wenn das Unternehmen von allen Assets in seinem Netzwerk weiß.
Das Angriffsflächenmanagement erfordert die Berücksichtigung aller Aspekte, um den Katalog an Assets, die mit dem Netzwerk einer Organisation verbunden sind, kontinuierlich auf dem neuesten Stand zu halten. Mit „Assets“ sind hier IP-Adressen, Domains, Zertifikate, Cloud-Infrastrukturen und physische Systeme gemeint. Dabei wird auch eine Übersicht darüber gegeben, welcher Bereich der Organisation für welches Asset verantwortlich ist.
Eine ASM-Lösung muss mit der gleichen Geschwindigkeit und in derselben Größenordnung wie das stetig wachsende Internet der Dinge (IoT) arbeiten, um laufend über alle öffentlich zugänglichen Assets hinweg Risiken aufzuspüren, zu identifizieren und zu beheben – ganz gleich, ob diese Assets On-Premises, in der Cloud, von Tochterunternehmen oder wichtigen Lieferanten betrieben werden.
Zudem muss ASM eine Außenansicht ermöglichen und sich nicht ausschließlich auf die Assetverzeichnisse und Protokolle von anderen Sicherheitsprodukten verlassen, da diese möglicherweise nicht umfangreich genug sind. Externe Scans stellen sicher, dass alle bekannten und unbekannten Assets überblickt und die resultierenden Daten für Sicherheitsprozesse genutzt werden können.
Im Bericht „Hype Cycle for Security Operations 2021” beschreibt Gartner, wie eine Ansicht von außen auf Schwachstellen (im Rahmen von externem Angriffsflächenmanagement) Organisationen „einen besseren Überblick darüber bieten kann, was für sie wirklich wichtig ist – ohne dass sie die gesamte Bedrohungslandschaft im Blick behalten und sich fragen müssen, was genau für sie relevant ist”.
Arten von Angriffsflächen
Das Angriffsflächenmanagement umfasst bestimmte Kategorien, die sich jeweils auf eine Art von Asset und seine zugehörige Angriffsfläche konzentrieren. Es ist sehr wichtig, die verschiedenen Arten von Angriffsflächen zu verstehen, um die Assets Ihrer Organisation umfassend zu schützen.
Dies sind die verschiedenen Arten des Angriffsflächenmanagements:
| Art | Definition | Wichtige Merkmale |
|---|---|---|
| Externes ASM (EASM) | Management von extern zugänglichen Assets | z. B. Websites, Public-Cloud-Infrastrukturen und Social-Media-Konten |
| Internes ASM (IASM) | Management von internen Assets | z. B. interne Netzwerke, Geräte und Anwendungen |
| Cyberasset-ASM (CAASM) | Management von Cyberassets | z. B. Software, Daten und geistiges Eigentum |
| Open-Source-ASM (OSASM) | Management von Open-Source-Software | z. B. Bibliotheken, Frameworks und Tools |
Studieren Sie die Arten, Kategorien und Aufgaben des Angriffsflächenmanagements im Detail: Was sind die Arten und Aufgaben des Angriffsflächenmanagements? (auf Englisch)
Bekannte Assets
Bekannte digitale Assets sind Geräte, Systeme und Anwendungen, von denen das Sicherheitsteam einer Organisation weiß und deren Verbindung mit dem Netzwerk genehmigt wurde. Sie sind Teil des Verzeichnisses der Organisation und werden so regelmäßig geprüft und Sicherheitsbewertungen unterzogen.
Unbekannte Assets
Unbekannte digitale Assets sind das genaue Gegenteil – Geräte, Systeme und Anwendungen, die der Organisation und ihrem Sicherheitsteam nicht bekannt sind und deren Präsenz im Netzwerk nicht genehmigt wurde. Dazu zählen Schatten-IT, nicht autorisierte Geräte, Ransomware und nicht verwaltete Anwendungen. Unbekannte Assets stellen eine besondere Gefahr für die Sicherheit einer Organisation dar, da sie für Schwachstellen in der Cybersicherheit sorgen können.
Riskante Assets
Ähnlich wie unbekannte digitale Assets werden riskante digitale Assets auf unbefugte Weise mit einem Netzwerk verbunden. Der Unterschied besteht jedoch darin, dass es sich bei riskanten Assets um bekannte Assets handelt, die nicht autorisiert sind oder ein Sicherheitsrisiko darstellen.
Unbekannte Assets hingegen sind unerkannte oder bislang nicht entdeckte Assets innerhalb eines Netzwerks oder Systems, die zwar möglicherweise in der Vergangenheit zugelassen wurden, aber seitdem in Vergessenheit geraten sind. Sie werden üblicherweise von Angreifern genutzt, um sich nicht autorisierten Zugriff zum Netzwerk oder zu den Daten einer Organisation zu verschaffen. Riskante Assets sind oft schwer zu erkennen und zu verwalten, da sie nicht Teil des Inventars oder der Sicherheitskontrollen einer Organisation sind.
Anbieter
Auch Anbieter können eine Gefahr für die Sicherheit einer Organisation darstellen, da sie für Sicherheitslücken oder Schwachstellen in der Cybersicherheit sorgen können. Organisationen müssen ihre Beziehungen mit Anbietern sorgfältig verwalten und prüfen, um das Risiko von Cyberangriffen zu minimieren.
In puncto Verwaltung können zum Beispiel regelmäßige Sicherheitsbewertungen durchgeführt, vertragliche Anforderungen bezüglich der Sicherheit festgelegt und kontinuierliche Überprüfungs- und Risikomanagementprozesse implementiert werden. Beispiele hierfür sind Softwareanbieter, Cloud-Serviceanbieter und externe Dienstleister.
Kernfunktionen von ASM
Eine Lösung für das Angriffsflächenmanagement sollte fünf Kernfunktionen umfassen, um vor Sicherheitslücken zu schützen. Mit diesen Funktionen erhalten Organisationen einen umfassenden Überblick über ihre Angriffsfläche und können Sicherheitslücken sowie Schwachstellen identifizieren, Maßnahmen priorisieren und das Risiko von Cyberangriffen und Datenlecks reduzieren.
Erkennung
Während der Erkennung führen Organisationen und ihre Sicherheitsteams Scans durch, prüfen Protokolle und nutzen andere Tools, um sowohl bekannte als auch unbekannte Assets zu finden. Das Ziel ist es, alle Assets, Systeme, Anwendungen und Zugangspunkte zu identifizieren, die sich im Netzwerk einer Organisation befinden.
Zuordnung
Sobald alle Assets identifiziert wurden, muss sichergestellt werden, dass Assets automatisch den individuellen Geschäftseinheiten oder Tochterunternehmen zugeordnet und dann mit bestehenden SOC-Tools integriert werden – zur schnelleren Identifizierung von Eigentümern und der besseren Vorfallsbehebung.
Kontext
Das Kontextualisieren hilft Organisationen bei der Priorisierung sowie dabei, ihre Ressourcen auf die größten Risiken und kritischsten Bereiche zu konzentrieren. Die erkannten Assets und Schwachstellen müssen im Kontext betrachtet werden, damit ein effektives Angriffsflächenmanagement möglich ist. Das beinhaltet die Analyse der Assets und Schwachstellen hinsichtlich des spezifischen Risikoprofils einer Organisation sowie ihrer Complianceanforderungen und Geschäftsziele.
Priorisierung
Die Schwachstellen und Assets müssen nach ihrer Wichtigkeit und basierend auf ihrem Risiko sowie den potenziellen Auswirkungen gereiht werden. Dazu zählen auch Faktoren wie die Wahrscheinlichkeit der Ausnutzung, die möglichen Auswirkungen eines Angriffs und die Schwierigkeit der Behebung. So können Organisationen und Sicherheitsteams ihre Ressourcen zuerst auf die kritischsten Sicherheitslücken konzentrieren.
Behebung
Sobald Sicherheitslücken oder Schwachstellen im Netzwerk, den Systemen oder den Anwendungen einer Organisation identifiziert wurden, müssen sie behoben werden. Das Ziel ist es, das Risiko von Cyberangriffen oder Datenlecks, bei denen diese Schwachstellen ausgenutzt werden, zu reduzieren oder gar zu beseitigen.
Wie genau der Behebungsprozess abläuft, hängt von der Art und dem Schweregrad der Schwachstelle ab und kann das Patchen oder Aktualisieren von Software, die Konfiguration von Firewalls oder anderen Sicherheitskontrollen, die Zugangsbeschränkung zu bestimmten Assets oder die Außerbetriebnahme veralteter Systeme oder Anwendungen umfassen. Die Behebung muss kontinuierlich ablaufen, um sicherzustellen, dass die Schwachstelle nicht erneut auftritt oder wieder eingeführt wird.
Erkunden Sie, wie der lebenszyklusbasierte ASM-Ansatz Sicherheitsteams ein dynamisches Rahmenwerk bietet, um Cyberrisiken proaktiv zu erkennen und zu beheben: Was ist der ASM-Lebenszyklus? (auf Englisch)
Der Unterschied zwischen Angriffsflächen und Bedrohungsmengen
Auch wenn die beiden Konzepte oft synonym verwendet werden, unterscheiden sich die „Angriffsfläche” (Attack Surface) und die „Bedrohungsmenge” (Threat Surface) in einigen feinen aber entscheidenden Punkten. Es ist wichtig, dass Sie diese Unterschiede verstehen, damit Sie die Assets Ihrer Organisation effektiv schützen können.
Die Angriffsfläche ist weiter gefasst, da sie alle potenziellen Schwachstellen umfasst, und ihre Verwaltung zielt darauf ab, das allgemeine Risiko zu senken. Die Bedrohungsmenge ist spezifischer und beinhaltet Sicherheitslücken, auf die bekannte Bedrohungen abzielen. Bei ihrer Verwaltung werden Sicherheitslücken basierend auf spezifischen Bedrohungen priorisiert. Die Angriffsfläche ist beispielsweise auch relativ statisch und verändert sich nur langsam, während die Bedrohungsmenge dynamisch ist und mit dem Auftreten neuer Bedrohungen und Angreifertaktiken wächst.
Organisationen können ihr Sicherheitsniveau enorm verbessern und ihre kritischsten Assets schützen, indem sie die Schwachstellen in ihrer Angriffsfläche identifizieren sowie beheben und sich gleichzeitig auf die Bedrohungen konzentrieren, die das größte Risiko darstellen.
Erfahren Sie, wie Sie die Unterschiede zwischen Ihrer Angriffsfläche und Ihrer Bedrohungsmenge bestimmen können, um Ihre Sicherheitsstrategien zu stärken: Was ist der Unterschied zwischen der Angriffsfläche und der Bedrohungsmenge? (auf Englisch)
Relevante Angreifer
Im Kontext des Angriffsflächenmanagements bezieht sich der Begriff „Angreifer” auf Individuen, Gruppen oder Organisationen, die ein Risiko für Ihre IT-Ressourcen – Daten, Anwendungen, Geräte, Netzwerkinfrastrukturen, Teams und weitere – darstellen. Zu besonders relevanten Angreifern zählen hier:
Hacker und Cyberkriminelle
Black Hat-Hacker sind Individuen oder Gruppen mit böswilligen Absichten, die Sicherheitslücken und Schwachstellen in Software sowie im IT-Betrieb zur persönlichen Bereicherung ausnutzen oder um Schaden anzurichten. Cyberkriminelle sind Individuen oder (vermehrt auch) Gruppen, die Aktivitäten wie Identitätsdiebstahl, finanziellen Betrug oder die Verbreitung von Malware für finanziellen Profit vornehmen.
Staatliche Akteure
Regierungsbehörden oder staatlich gesponserte Organisationen können sich an Cyberspionage, Cyberkriegsführung oder anderen schädlichen Aktivitäten beteiligen, um politische, wirtschaftliche oder militärische Ziele zu verfolgen. Die in den USA ansässige Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht regelmäßig Berichte zu Gruppen, die von China, Russland, Nordkorea und dem Iran aus tätig sind und mit den dortigen Regierungen zusammenarbeiten.
Insider
Mitarbeitende, Zeitarbeitende oder Geschäftspartner, die Insiderwissen bezüglich der Systeme einer Organisation haben, können ihre Zugriffsrechte missbrauchen – zur persönlichen Bereicherung, weil sie einen Groll hegen oder aus anderen Gründen.
Hacktivisten
Dies umfasst Individuen oder Gruppen, die aus sozialen, politischen oder ideologischen Motiven handeln und Systeme infiltrieren, um ihre Ansichten zu verbreiten oder gegen bestimmte Aktionen oder Organisationen zu protestieren.
Häufig ausgenutzte Angriffsvektoren
Angriffsvektoren sind die Wege oder Methoden, die Angreifer nutzen, um Sicherheitslücken auszunutzen und sich Zugriff auf die Systeme und Daten einer Organisation zu verschaffen. Hier ein paar Beispiele verschiedener Angriffsvektoren:
Phishing
Phishingangriffe umfassen betrügerische E-Mails oder SMS-Nachrichten, die scheinbar von einer legitimen Quelle stammen, wie z. B. Banken, Regierungsbehörden oder einer vertrauenswürdigen Person. Diese Nachrichten enthalten in der Regel schädliche Links oder Anhänge, über die – sobald sie geöffnet werden – Malware installiert wird oder sensible Daten gestohlen oder Benutzerkonten kompromittiert werden.
Malware
Malware ist Software, die darauf ausgelegt ist, Computersysteme zu beschädigen oder zu beeinträchtigen. Angreifer nutzen Malware häufig, um sich unbefugten Zugang zu verschaffen, Daten zu stehlen oder Systeme zu schädigen. Gängige Arten von Malware sind z. B. Viren, Würmer, Ransomware und Spyware.
Social Engineering
Social Engineering beschreibt die Manipulation von Personen, sodass diese sensible Informationen preisgeben oder so handeln, dass sie die Sicherheit einer Organisation gefährden. Angreifer nutzen dazu eine Reihe an Techniken, wie beispielsweise Identitätsbetrug, Pretexting oder Angstmacherei, um ihre Opfer dazu zu verleiten, sensible Informationen zu enthüllen oder Handlungen vorzunehmen, von denen der Angreifer profitiert.
Sicherheitslücken in Webanwendungen
Angreifer zielen oft auf Webanwendungen ab, da diese verbreitet im Einsatz sind und potenziell Sicherheitslücken beinhalten – zum Beispiel hinsichtlich SQL Injection, XSS (Cross-Site-Scripting) sowie unsicherer Authentifizierungsmechanismen. Wenn Angreifer diese Sicherheitslücken ausnutzen, können sie Daten stehlen, sich unbefugt Zugriff verschaffen oder die Funktionalität von Websites beeinträchtigen.
Netzwerkangriffe
Netzwerkangriffe zielen auf die Netzwerkinfrastruktur einer Organisation ab und verfolgen das Ziel, den Netzwerkdatenverkehr zu beeinträchtigen, unbefugten Zugang zu Systemen zu ermöglichen oder sensible Daten zu stehlen. Häufige Angriffsarten sind Denial-of-Service(DoS)-Angriffe, Man-in-the-Middle(MitM)-Angriffe und Netzwerkscans.
Zero-Day-Exploits
Zero-Day-Exploits haben es auf Schwachstellen abgesehen, die Softwareanbietern und Entwicklern nicht bekannt sind. Diese Schwachstellen sind sehr gefährlich, da es für sie keine Patches oder Updates zur Behebung gibt. Angreifer nutzen Zero-Day-Exploits häufig, um sich Zugang zu Systemen zu verschaffen und sensible Informationen zu stehlen, bevor die Sicherheitslücke öffentlich bekannt gegeben wird.
Fehlkonfigurationen in der Cloud
Fehlkonfigurationen in der Cloud treten auf, wenn Cloud-Dienste oder ‑Anwendungen nicht sicher konfiguriert sind und diese dadurch anfällig für Angriffe sind. Gängige Fehlkonfigurationen umfassen beispielsweise unsichere Speicher-Buckets, offene Ports und unzureichende Zugriffskontrollen, die von Angreifern ausgenutzt werden können, um auf sensible Daten zuzugreifen oder Cloud-Dienste zu beeinträchtigen.
Angriffe auf Lieferketten
Angriffe auf Lieferketten zielen auf Drittanbieter oder Zulieferer ab und sollen böswilligen Akteuren Zugang zu den Systemen oder Daten einer Organisation verschaffen. Hier infiltrieren Angreifer beispielsweise die Systeme oder die Software von Organisationen, um ins Netzwerk Malware einzuschleusen oder Backdoors zu installieren.
Insiderbedrohungen
Insiderbedrohung beschreiben Sicherheitsvorfälle, die von Einzelpersonen mit autorisiertem Zugriff auf die Systeme und Daten einer Organisation verursacht werden. Diese Personen können aufgrund böswilliger Absichten, Nachlässigkeit oder mangelndem Bewusstsein die Sicherheit gefährden – unwissentlich oder auch absichtlich.
Physische Angriffe
Physische Angriffe betreffen die physische Sicherheit der Standorte, Ausrüstung und des Personals einer Organisation. Das kann z. B. Gerätediebstahl, unbefugten Zugang zu zugangsbeschränkten Bereichen oder physischen Schaden an der Ausrüstung umfassen.
Wie Sie Angriffsflächenrisiken senken
Organisationen – und besonders CISOs – sollten Lösungen für das interne und externe Angriffsflächenmanagement nutzen, um Risiken entgegenzuwirken. Das beinhaltet auch das Implementieren von Schritten zur:
- Reduzierung der Anzahl der Zugangspunkte zu ihren Systemen und Netzwerken
- Identifizierung und dem Patchen von Sicherheitslücken in ihren Systemen und Anwendungen
- Implementierung starker Authentifizierungs- und Zugangskontrollen bezüglich des Zugriffs auf sensible Daten und Systeme
- Überwachung ihrer Systeme und Netzwerke auf unübliche Aktivitäten oder verdächtiges Verhalten
- Regelmäßigen Überprüfung und Aktualisierung ihrer Sicherheitsrichtlinien und ‑prozesse, um sicherzustellen, dass diese auf dem neuesten Stand bezüglich aktueller Bedrohungen und Best Practices sind
Erkunden Sie den CISO-Leitfaden zu ASM mit Expertenstrategien für die Risikobewertung, Assetkontrolle und Cybersicherheit: Wie gelingt CISOs das effektive Angriffsflächenmanagement? (auf Englisch)
Beurteilung der Angriffsfläche
Um für durchgängige Sicherheit zu sorgen, ist es wichtig, dass Sie Ihre Angriffsfläche, Sicherheitslücken und Sicherheitsprotokolle kontinuierlich überprüfen. Regelmäßige Angriffsflächenanalysen und Schwachstellenscans können aufstrebende Bedrohungen sowie potenzielle Einfallstore offenlegen.
Eine Bewertung der Angriffsfläche und Risiken durch Dritte liefert wertvolle Kennzahlen zur Evaluierung des Sicherheitsniveaus und bietet Einblicke bezüglich des Risikos durch Bedrohungen sowie Empfehlungen zur Verbesserung der Sicherheit.
Bewertungskennzahlen und ‑indikatoren
Mit einer Angriffsflächenbewertung können Sie Ihr Risiko im Allgemeinen und den Zustand Ihres Sicherheitsniveaus messen. Die meisten ASM-Lösungen haben ein gutes Tool für die Risikobewertung im Angebot, doch für einen umfassenden Überblick über alle Bedrohungen und Ihr gesamtes Sicherheitsniveau kann es sinnvoll sein, eine externe Auswertung durch einen Drittanbieter durchführen zu lassen.
Eine solche professionelle Beurteilung beginnt mit der Überprüfung und Auswertung Ihrer bestehenden Netzwerktopologien, Assetverzeichnisse, Schwachstellenscans und anderen relevanten Informationen. Das Risikobewertungsteam kann dann Gesprächstermine vereinbaren, um anhand dieser Informationen die Ziele sowie Sorgen der Organisation zu besprechen und sich ein umfassenderes Verständnis der Angriffsfläche zu verschaffen.
Die Ergebnisse können dann durch Threat Intelligence und brandaktuelles Wissen rund um Sicherheitslücken und Bedrohungen ergänzt werden. Im Rahmen dieses Prozesses können Sie speziell auf Ihre Umgebung und Ihre Sicherheitsanforderungen abgestimmte Erkenntnisse und Empfehlungen erhalten – mit Schwerpunkt auf den kritischsten Aspekten, die gemäß den Branchentrends am wahrscheinlichsten zu Sicherheitsproblemen führen könnten.
Dieser Ansatz gibt Ihnen die Möglichkeit, den Einsatz Ihrer beschränkten Ressourcen sinnvoll zu priorisieren, um sicherzustellen, dass Ihre Abwehrmaßnahmen angemessen funktionieren. Außerdem werden Ihnen Einblicke zu den nötigen Schritten hinsichtlich eines besseren Sicherheitsniveaus geboten.
Entdecken Sie, wie eine Beurteilung der Angriffsfläche Ihr ASM-Programm voranbringen und verbessern kann: Was ist eine Beurteilung der Angriffsfläche? (auf Englisch)
Die Auswirkungen der digitalen Transformation auf die Angriffsfläche
Die voranschreitende digitale Transformation in Organisationen und die Zunahme an mobilen Arbeitsmodellen in den vergangenen zehn Jahren haben Angriffsflächen maßgeblich verändert. Das hat zu einem Boom an Schwachstellen sowie deren Weiterentwicklung geführt, was Angreifern mehr Angriffsmöglichkeiten gibt. Folgende IT-Trends haben ebenfalls zu dieser Entwicklung beigetragen:
Zunehmende Konnektivität
Die digitale Transformation beinhaltet oft die Integration neuer Technologien, Geräte und Systeme. Diese steigende Konnektivität kann die Angriffsfläche erweitern, da jeder neue Verbindungspunkt potenziell Schwachstellen mit sich bringt, die Angreifer sich zunutze machen können.
Cloud-Nutzung
Die Verlagerung von Services und Daten in die Cloud ist eine gängige Maßnahme im Zuge der digitalen Transformation. Doch selbst wenn Cloud-Anbieter robuste Sicherheitsmaßnahmen implementieren, kann die unzureichend verwaltete Konfiguration von Cloud-Ressourcen, Zugriffskontrollen und des Datenverkehrs zwischen On-Premises- und Cloud-Umgebungen für neue Angriffsvektoren sorgen.
Internet der Dinge (IoT)
Die Nutzung von IoT-Geräten ist ein wichtiger Aspekt der digitalen Transformation. Diese Geräte – z. B. intelligente Sensoren und industrielle IoT-Geräte – können Cyberkriminellen neue Angriffspunkte bieten, da unsicher konfigurierte oder unzureichend verwaltete IoT-Geräte, besonders jene mit gleichbleibenden Standardkennwörtern, für Angriffe ausgenutzt werden können.
Mobile Mitarbeiter
Die digitale Transformation fördert das mobile Arbeiten und die Nutzung von Mobilgeräten. Auch wenn die Remotearbeit viel Flexibilität ermöglicht, wird dadurch die Angriffsfläche vergrößert, da Unternehmensnetzwerke Risiken durch potenziell unsichere Geräte und öffentliche Netzwerke ausgesetzt werden. Veraltete Heimrouter mit ungepatchten Sicherheitsproblemen werden weitgehend als Sicherheitslücken angesehen und Mobilgeräte können ohne ausreichenden Schutz zu Angriffsvektoren werden.
Integrationen für Drittanbietertools
Organisationen nutzen häufig Tools und Services von Drittanbietern, um ihre digitalen Funktionen auszuweiten, doch jede Integration birgt ein potenzielles Risiko, wenn sie nicht ordentlich geprüft und gesichert wird. Angreifer können Sicherheitslücken in Drittanbietersystemen ausnutzen, um sich Zugang zum Netzwerk einer Organisation zu verschaffen.
Fachkräftemangel in der Cybersicherheitsbranche
Digitale Transformationen erfordern oft neue Kompetenzen in puncto Cybersicherheit. Organisationen haben jedoch häufig Schwierigkeiten, Fachkräfte zu finden und zu halten, die mit der dynamischen Bedrohungslandschaft der neuen Umgebung umgehen können.
Im Rahmen der aktuellen „Cybersecurity Workforce Study” von ISC2 gaben 92 % der befragten Profis an, dass es in ihrer Organisation an Fachkräften fehlte. 67 % der Befragten meldeten auch einen Mangel an Mitarbeitenden mit Cybersicherheitsverantwortung für die Abwehr und Behebung von Sicherheitsproblemen.
Anwendungsbereiche für das Angriffsflächenmanagement
Das Angriffsflächenmanagement (ASM) ist keine Einheitslösung, sondern ein vielseitig einsetzbares Tool, das in verschiedenen Bereichen in unterschiedlichen Branchen und Organisationen verwendet werden kann. Hier sind ein paar gängige Beispiele dafür, wie ASM genutzt werden kann, um spezifische Sicherheitsherausforderungen zu meistern:
Durch die Identifizierung und Behebung von Sicherheitslücken über die gesamte Angriffsfläche hinweg kann ASM Organisationen dabei unterstützen, das Risiko von Cyberangriffen zu reduzieren, kritische Assets zu schützen, Sicherheitsvorschriften einzuhalten und das gesamte Sicherheitsniveau zu stärken.
Erkunden Sie die verschiedenen Anwendungsbereiche von ASM und wie die Lösung in verschiedenen Branchen eingesetzt werden kann: Was sind gängige Anwendungsbereiche für das Angriffsflächenmanagement? (auf Englisch)
Angriffsflächenmanagement (ASM) – FAQ
Das hängt von verschiedenen Faktoren ab, darunter der Größe der Organisation, der Komplexität der Angriffsfläche und dem Risikoniveau. Idealerweise sollte das Angriffsflächenmanagement jedoch kontinuierlich geschehen und nicht nur periodisch.
Welche Sicherheitslücken für die Behebung priorisiert werden sollten, hängt von der spezifischen Angriffsfläche einer Organisation ab sowie von ihrem Risikoniveau und der Ausnutzbarkeit. Organisationen sollten bei der Priorisierung den Schweregrad, die Wahrscheinlichkeit der Ausnutzung und die Auswirkungen auf das Geschäft berücksichtigen und identifizieren, welche Assets am wichtigsten für die Organisation sind – und daher nicht kompromittiert werden dürfen.
Dies kann Organisationen folgendermaßen gelingen:
- Evaluieren Sie den Prozentsatz der Sicherheitslücken, die innerhalb eines bestimmten Zeitraums behoben wurden, um den Fortschritt des Programms nachzuvollziehen.
- Bestimmen Sie den zeitlichen Umfang der Behebung von Sicherheitslücken, um Bereiche im Behebungsprozess mit Verbesserungsbedarf zu identifizieren.
- Berechnen Sie die Reduzierung von Angriffsflächenrisiken, um zu demonstrieren, welche Vorteile das Programm für die Verringerung des Risikos von Cyberangriffen bietet.
- Bewerten Sie die Compliance der Organisationen mit relevanten Branchenstandards und Vorschriften, um sicherzustellen, dass das Programm diesen Anforderungen entspricht.
Wie oben bereits erwähnt, müssen Organisationen einen proaktiven und kontinuierlichen Ansatz bezüglich der Asseterkennung und ‑verwaltung verfolgen, damit sie die mit unbekannten und nicht verwalteten digitalen Assets in ihrer Angriffsfläche verbundenen Risiken effektiv beseitigen können.
