Durch den Wechsel in die Cloud, die Zunahme von SaaS-Anwendungen (Software-as-a-Service) und Remote-Arbeitern ist die Angriffsfläche der meisten Unternehmen größer und komplexer geworden, wodurch ihre Definition und Verteidigung um ein Vielfaches schwieriger ist. Da praktisch jede Ressource als Einfallstor für einen Cyberangriff missbraucht werden kann, ist es für Unternehmen wichtiger denn je, die Sichtbarkeit der Angriffsfläche bei allen Assets verbessern – ganz gleich, ob diese bekannt oder unbekannt sind, sich vor Ort oder in der Cloud bzw. intern oder extern befinden.
Was ist die Angriffsflächenverwaltung?
Angriffsflächenverwaltung bezeichnet kontinuierliche Abläufe zur Erkennung, Überwachung, Evaluierung, Priorisierung und Beseitigung von Angriffsvektoren innerhalb der IT-Infrastruktur eines Unternehmens.
Die Verwaltung der Angriffsfläche ist von der Art her mit der oft in IT-Hygienelösungen integrierten Asset-Erkennung und -Verwaltung vergleichbar. Der wesentliche Unterschied ist jedoch, dass für die Angriffserkennung und Schwachstellenverwaltung die Sichtweise des Angreifers eingenommen wird. Dadurch kann das Unternehmen nicht nur die Risiken durch bekannte Assets identifizieren und evaluieren, sondern auch die Risiken durch unbekannte und nicht autorisierte Komponenten.
Was ist die Angriffsfläche?
Mit der Angriffsfläche wird das komplexe Netzwerk aus IT-Assets bezeichnet, das bei einem Cyberangriff ausgenutzt werden kann. In den meisten Fällen setzt sich die Angriffsfläche eines Unternehmens aus vier Hauptkomponenten zusammen:
- Lokale Assets: Assets, die sich vor Ort befinden, z. B. Server und Hardware
- Cloud-Assets: alle Assets, bei denen die Cloud für den Betrieb oder die Bereitstellung genutzt wird, z. B. Cloud-Server und -Workloads, SaaS-Anwendungen oder in der Cloud gehostete Datenbanken
- Externe Assets: von einem externen Anbieter oder Partner erworbene Online-Services, mit denen Unternehmensdaten gespeichert oder verarbeitet werden bzw. die in das Unternehmensnetzwerk integriert sind
- Ergänzende Netzwerke: Netzwerke, die von mehr als einem Unternehmen genutzt werden (z. B. bei einer Fusion oder Übernahme die von einer Dachgesellschaft betriebenen Netzwerke)
Beachten Sie, dass die Angriffsfläche eines Unternehmens sich im Laufe der Zeit weiterentwickelt, da kontinuierlich neue Geräte hinzugefügt und Benutzer aufgenommen werden und die Geschäftsanforderungen sich ändern. Deshalb müssen Unternehmen alle Assets kontinuierlich überwachen sowie evaluieren und Schwachstellen identifizieren, bevor Cyberkriminelle sie ausnutzen.
Die Vorteile der Angriffsflächenverwaltung
Durch das Einnehmen der Haltung von Angreifern und Imitieren ihrer Toolsets erhalten Unternehmen einen besseren Überblick über alle potenziellen Angriffsvektoren und können gezielte Maßnahmen zur Verbesserung der Sicherheit ergreifen, indem die mit bestimmten Assets verbundenen Risiken reduziert werden bzw. die Angriffsfläche selbst minimiert wird. Ein effektives Tool zur Angriffsflächenverwaltung bietet folgende Möglichkeiten:
- Automatisierung der Asset-Erkennung, -Prüfung und -Korrektur
- Kontinuierliche Abbildung aller Assets
- Schnelle Identifizierung und Deaktivierung von Schatten-IT-Assets sowie anderen zuvor unbekannten Assets
- Eliminierung bekannter Schwachstellen wie schwache Kennwörter, Konfigurationsfehler und veraltete bzw. nicht gepatchte Software
Was sind die Kernfunktionen der Angriffsflächenverwaltung?
Eine effektive Strategie für die Angriffsflächenverwaltung umfasst fünf Kernfunktionen:
Phase 1: Erkennung
In dieser Anfangsphase liegt der Fokus auf der Identifizierung und Abbildung aller digitalen Assets der internen und externen Angriffsfläche. Legacy-Lösungen sind möglicherweise nicht in der Lage, unbekannte, nicht autorisierte oder externe Assets zu erkennen. Eine moderne Lösung zur Angriffsflächenverwaltung hingegen imitiert die Toolsets von Bedrohungsakteuren, um Sicherheitslücken und Schwachstellen in der IT-Umgebung zu finden. Dadurch verbessert sich nicht nur der Überblick über die gesamte Angriffsfläche, sondern es wird auch sichergestellt, dass das Unternehmen alle Assets kennt, die als Angriffsvektor missbraucht werden könnten.
Phase 2: Testen
Die Angriffsfläche ändert sich ständig, da neue Geräte verbunden und Benutzer hinzugefügt werden und das Unternehmen sich weiterentwickelt. Daher ist es wichtig, dass das Tool die Angriffsfläche kontinuierlich überwachen und prüfen kann. Eine moderne Lösung zur Angriffsflächenverwaltung prüft und analysiert Assets rund um die Uhr, um die Entstehung neuer Sicherheitsschwachstellen zu verhindern, Sicherheitslücken zu identifizieren und Konfigurationsfehler sowie andere Risiken zu beseitigen.
Phase 3: Kontext
Jedes Asset kann als Angriffsvektor missbraucht werden, aber nicht alle IT-Komponenten bergen das gleiche Risiko. Eine erweiterte Lösung zur Angriffsflächenverwaltung führt Angriffsflächenanalysen durch und liefert relevante Informationen zum gefährdeten Asset und zu dessen Kontext in der IT-Umgebung. Faktoren wie der Zeitpunkt, der Ort und die Art der Asset-Nutzung, der Besitzer des Assets, dessen IP-Adresse und Netzwerkverbindungspunkte können helfen, das Ausmaß des Cyberrisikos für das Unternehmen zu bestimmen.
Phase 4: Priorisierung
Da die Lösung zur Angriffsflächenverwaltung alle IT-Assets erkennen und abbilden soll, benötigt das Unternehmen eine Möglichkeit, Korrekturmaßnahmen für bekannte Schwachstellen und Sicherheitslücken zu priorisieren. Die Angriffsflächenverwaltung liefert verwertbare Risiko- und Sicherheitsbewertungen, die auf verschiedenen Faktoren basieren, zum Beispiel die Sichtbarkeit der Schwachstelle, die Ausnutzbarkeit der Schwachstelle, der Aufwand für die Behebung des Risikos und der bisherige Ausnutzungsverlauf. Anders als bei Penetrationstests, Red Teaming und anderen klassischen Methoden zur Risikobewertung und Schwachstellenverwaltung basiert die Bewertung im Rahmen der Angriffsflächenverwaltung auf objektiven Kriterien, die anhand vordefinierter Systemparameter und Daten berechnet werden.
Phase 5: Behebung
Mit den automatisierten Schritten in den ersten vier Phasen des Angriffsflächenverwaltungsprogramms sind die IT-Mitarbeiter jetzt gut darauf vorbereitet, die schwerwiegendsten Risiken zu identifizieren und die Korrektur zu priorisieren. Da diese Maßnahmen oft von IT-Teams und nicht von Cybersicherheitsexperten umgesetzt werden, muss sichergestellt werden, dass Informationen funktionsübergreifend weitergegeben werden und dass alle Teammitglieder alle Sicherheitsabläufe kennen.
Wie können Unternehmen die Risiken der Angriffsfläche reduzieren?
Um die sich stets weiterentwickelnden Taktiken von Bedrohungsakteuren identifizieren und stoppen zu können, benötigen Sicherheitsteams einen Rundumblick auf ihre digitale Angriffsfläche. Das bedeutet, dass ein vollständiger Überblick über alle Assets erforderlich ist, einschließlich der internen Netzwerke des Unternehmens, unternehmenseigenen Assets außerhalb der Firewall sowie Informationen zu den Systemen und Entitäten, mit denen Benutzer und Systeme interagieren.
Wenn Unternehmen Maßnahmen zur digitalen Transformation umsetzen, kann es schwieriger werden, den Überblick über die sich ausbreitende Angriffsfläche zu behalten. Cloud-Workloads, SaaS-Anwendungen, Mikroservices und andere digitale Lösungen erhöhen die Komplexität innerhalb der IT-Umgebung, wodurch das Erkennen, Untersuchen und Reagieren auf Bedrohungen schwieriger wird.
Die RiskIQ Illuminate-Version für CrowdStrike wurde in die CrowdStrike Falcon®-Plattform integriert, um interne Endgeräte-Telemetriedaten nahtlos mit mehreren Petabyte an externen Internetdaten zu kombinieren, die über einen Zeitraum von mehr als 10 Jahren gesammelt wurden. Durch die Ergänzung der Endgerätedaten mit Internetdaten an einem Ort erhalten Unternehmen wichtigen Kontext zu internen Vorfällen, sodass Sicherheitsteams besser nachvollziehen können, wie interne Assets mit externer Infrastruktur interagieren. Dadurch können die Teams Angriffe verhindern oder blockieren bzw. nachvollziehen, ob ein Angriffe stattgefunden hat.
Wichtige Funktionen und Vorteile von RiskIQ Illuminate:
- Beschleunigte Erkennung und Reaktion: Durch umfassenden Kontext und bessere Transparenz innerhalb und außerhalb der Firewall können Sicherheitsteams das Unternehmen besser vor den neuesten Bedrohungen schützen, z. B. vor Datenkompromittierungen und Ransomware-Angriffen.
- Vereinfachte Zusammenarbeit: Mit RiskIQ Illuminate können die Sicherheitsteams von Unternehmen bei der Untersuchung von Bedrohungen und Reaktion auf Zwischenfälle nahtlos zusammenarbeiten, da die Ergebnisse von Analysten mit internem Know-how und Bedrohungsanalysen ergänzt werden.
- Proaktive Verwaltung der digitalen Angriffsfläche: Sie profitieren von einem umfassenden Überblick über nach außen gerichtete Assets und können sicherstellen, dass diese verwaltet werden und geschützt sind.