Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens
Chris Goettl
Zusammenfassung
- Attack Surface Discovery ist ein Prozess, bei dem Asset-Typen nach ihrem Sichtbarkeitsgrad klassifiziert und anschließend Software – etwa Discovery-Tools, External-Attack-Surface-Management-Tools und weitere – eingesetzt wird, um Sichtbarkeitslücken zu schließen und Schwachstellen zu identifizieren.
- Attack Surface Discovery ist ein grundlegendes Element für eine starke Sicherheitslage und stellt den entscheidenden ersten Schritt im Exposure Management dar.
- Ihre Angriffsfläche setzt sich aus digitalen, physischen und menschlichen Komponenten zusammen.
- Sobald die Angriffsfläche identifiziert ist, können Sie die Schwachstellen bewerten und priorisieren – im Einklang mit der Risikobereitschaft Ihres Unternehmens. So lassen sich Maßnahmen gezielt dort umsetzen, wo sie die größte Wirkung entfalten.
Kontrolle ist entscheidend: Wird Ihre Angriffsfläche nicht aktiv überwacht, wächst sie schneller, als Sie es erwarten – und mit ihr das Cybersicherheitsrisiko.
Risiken lassen sich zwar nie vollständig ausschließen, da sich Angriffsflächen kontinuierlich verändern. Doch Sie können sie gezielt steuern, sodass Ihr Gesamtrisiko im Rahmen Ihrer Risikobereitschaft bleibt.
Warum ist Attack Surface Discovery so wichtig?
Effektives Cybersicherheitsmanagement beginnt mit einem klaren Verständnis der eigenen Angriffsfläche. Genauer gesagt müssen Sie erkennen, was sich unter der Oberfläche befindet – Endgeräte, Schwachstellen und andere potenzielle Angriffsvektoren, die Ihr Unternehmen verwundbar machen können.
Erst wenn diese Faktoren sichtbar werden, lässt sich die Angriffsfläche wirksam steuern. Die erste Funktion des National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) Version 1.1 lautet „Identify“ („Identifizieren“). Laut NIST bilden die Aktivitäten innerhalb der Funktion „Identify“ die Grundlage für eine wirksame Umsetzung des Frameworks. Ähnlich verhält es sich mit den CIS Controls v8, die unter anderem folgende Sicherheitsmaßnahmen umfassen:
- Sicherheitsmaßnahme 1 – Inventarisierung und Management der Unternehmens-Assets
- Sicherheitsmaßnahme 2 – Inventarisierung und Management der Software-Assets
- Sicherheitsmaßnahme 7 – Kontinuierliches Schwachstellenmanagement
Kurz gesagt: Sie können nur schützen, was Sie kennen. Doch wie erkennen Sie, was sich tatsächlich in Ihrer Umgebung befindet?
Wie beginne ich mit Attack Surface Discovery?
Attack Surface Discovery bedeutet, die Perspektive eines Angreifers einzunehmen, um angreifbare Assets und die damit verbundenen Schwachstellen zu ermitteln.
Ihre Angriffsfläche lässt sich dabei in drei Bereiche unterteilen: die digitale, die physische und die menschliche Angriffsfläche. Im Folgenden liegt der Schwerpunkt auf der Sichtbarmachung Ihrer digitalen Angriffsfläche – die beiden anderen Bereiche werden dabei ergänzend berücksichtigt.
Zur digitalen Angriffsfläche zählen klassische IT-Assets, also Hardware wie Endgeräte und Server ebenso wie Softwareanwendungen. Hinzu kommen externe, internetseitige Komponenten wie Webanwendungen, IP-Adressen, Domainnamen, SSL-Zertifikate und Cloud-Services.
Der erste Schritt besteht darin, jedes Element Ihrer digitalen Angriffsfläche zu erfassen und bestehende Sichtbarkeitslücken zu identifizieren. Sie können jedes Element wie folgt klassifizieren:
- Bewusste Kenntnis: Cyber-Assets, die Ihnen bekannt sind und die nachweislich Teil Ihrer Angriffsfläche sind.
- Bewusste Unkenntnis: Cyber-Assets, von denen Sie wissen, dass sie zu Ihrer Angriffsfläche gehören, die Sie jedoch möglicherweise nicht aktiv überwachen und/oder verwalten.
- Unbewusste Unkenntnis: Cyber-Assets, die möglicherweise Teil Ihrer Angriffsfläche sind – oder auch nicht. Sie haben darüber keine gesicherten Informationen.
- N/A: Cyber-Assets, von denen Sie mit absoluter Sicherheit wissen, dass sie nicht Teil Ihrer Angriffsfläche sind.
Nutzen Sie unsere anpassbare Attack-Surface-Checkliste für eine vollständige Bestandsaufnahme Ihrer Angriffsfläche.
Tools zur Identifizierung und Verwaltung Ihrer Angriffsfläche
Nachdem Sie Ihre Asset-Typen klassifiziert haben, folgt im nächsten Schritt die Auswahl geeigneter Tools und Methoden, mit denen Sie Sichtbarkeitslücken schließen – und so aus bewusster und unbewusster Unkenntnis echte, bewusste Kenntnis machen.
Unter dem Dach des Attack Surface Managements finden sich noch gezieltere Lösungsansätze – Cyber Asset Attack Surface Management (CAASM), External Attack Surface Management (EASM) und Digital Risk Protection Services (DRPS). Die Tools bündeln die Ergebnisse, machen Schwachstellen leichter erkennbar und bieten zum Teil auch Funktionen zur Priorisierung und Behebung. So können Sie schneller auf neue Erkenntnisse reagieren und Ihr Risiko gezielt verringern.
Schon lange stehen Unternehmen vor der Aufgabe, ihre digitale Angriffsfläche zu identifizieren und zu managen – und das bereits zu Zeiten, in denen spezialisierte ASM-Lösungen noch nicht verfügbar waren. Stattdessen kamen andere Ansätze zum Einsatz – viele davon sind auch heute noch in Gebrauch.
| Ansatz | Beschreibung | Vorteiles | Nachteile |
|---|---|---|---|
| Asset-Discovery-Tools | Erkennen und erfassen Hardware- und Software-Assets, die sich mit Ihrem Netzwerk verbinden. | Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co. | Kann Blindspots aufweisen – etwa bei Schatten-IT, Drittanbietersystemen und geschäftskritischen Anwendungen.nbsp; |
| Breach and Attack Simulation (BAS) | Testet Bedrohungsvektoren automatisch, um ein tieferes Verständnis für Schwachstellen in der Sicherheitslage zu gewinnen und bestehende Sicherheitskontrollen zu validieren. | Erstellt Reports über Sicherheitslücken und priorisiert die Behebung nach Risiko. | Konzentriert sich ausschließlich auf bekannte Angriffe. Bietet keine direkte Unterstützung bei der Behebung. |
| Cloud Security Posture Management (CSPM) | Ermöglicht das Verständnis von Änderungen in Cloud-Konfigurationen. | Bietet Echtzeit-Sichtbarkeit in Cloud-Konfigurationen. | Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten. |
| Configuration Management Database (CMDB) | Verfolgt Änderungen an Systemen. | Bereits in den meisten Unternehmen im Einsatz. | Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten. |
| Eigenentwickelter Ansatz | Kombiniert Tabellenkalkulationen, Skripte und manuelle Prozesse zur Verwaltung der Angriffsfläche. | Günstig oder kostenlos aus reiner Kostensicht (unter Vernachlässigung der Analystenstunden). | Zeitaufwendig und fehleranfällig. Nicht skalierbar oder in Echtzeit nutzbar. |
| IT Asset Management (ITAM) | Trackt und überwacht Assets über ihren gesamten Lebenszyklus hinweg. | Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co. | Deckt nur bekannte und verwaltete Assets ab, während unbekannte oder nicht verwaltete Teile der Angriffsfläche unberücksichtigt bleiben. |
| Penetration Testing (z. B. automatisierte Pentest-Tools oder Penetration Testing as a Service) | Identifiziert Schwachstellen in Ihrem Netzwerk und in Anwendungen durch die Simulation eines Cyberangriffs. | Liefert konkrete Beispiele für die Sicherheitslage sowie Hinweise für Budgetprioritäten. | Konzentriert sich ausschließlich auf die erste Phase der Cyber Kill Chain: Reconnaissance. Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Qualität und Erfahrung der Pentester ab, die die Simulation durchführen. |
| Red Teaming | Verschafft ein umfassendes Bild der Cybersicherheitslage eines Unternehmens, indem eine realistische Angriffssimulation gegen Netzwerke, Anwendungen, physische Schutzmaßnahmen und Mitarbeitende durchgeführt wird. | Geht über klassisches Penetration Testing hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen. Geht zudem über die digitale Angriffsfläche hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen. | Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Erfahrung und Qualität der Red-Teamer ab, die die Simulation durchführen. |
| Threat Intelligence | Bietet Zugang zu Informationen über Bedrohungen und andere Cybersicherheitsaspekte. | Versorgt Sicherheitsexperten mit Erkenntnissen über Bedrohungen und Schwachstellen. | Ausgerichtet auf Unternehmen mit einer hochentwickelten Sicherheitsorganisation, hochqualifiziertem Personal und umfangreichen Ressourcen. |
| Schwachstellenmanagement-Tools (z. B. Scanner) |
Identifizieren und verwalten Schwachstellen in der eigenen Infrastruktur und in Anwendungen. | Bereits in den meisten Unternehmen im Einsatz. | Bieten keine Transparenz in Bezug auf unbekannte Assets. Überwältigende Datenmengen. |
Diese Methoden ersetzen zwar keine dedizierte ASM-Lösung, leisten jedoch einen wichtigen Beitrag zu den IT- und Sicherheitsprozessen eines Unternehmens.
CAASM-Tools sind in der Praxis auf Daten aus der Asset Discovery, dem IT Asset Management (ITAM), dem Schwachstellen- und Patch-Management angewiesen – ohne diese Grundlage können sie nicht wirksam arbeiten. Ebenso ergänzt EASM die zuvor genannten Threat-Intelligence- und Security-Testing-Services.
Wie identifiziere ich die physische Angriffsfläche meines Unternehmens?
Die erste zentrale Komponente der physischen Angriffsfläche überschneidet sich mit der digitalen Angriffsfläche Ihres Unternehmens. Dies wird als Endgeräte-Angriffsfläche bezeichnet. Sie setzt sich im Wesentlichen aus allen Endgeräten zusammen, die sich mit Ihrem Netzwerk verbinden: Desktop-Rechner, Laptops, mobile Geräte und IoT-Geräte. Die Tools und Methoden, mit denen Sie Ihre digitale Angriffsfläche identifizieren, lassen sich auch hier einsetzen.
Die zweite zentrale Komponente Ihrer physischen Angriffsfläche umfasst Büros, Rechenzentren und andere Unternehmensstandorte. Viele der Methoden, die Sie bereits zur Absicherung Ihrer digitalen Angriffsfläche einsetzen, lassen sich auch hier anwenden – etwa im Rahmen physischer Penetrationstests, wie sie Teil des Red Teaming sind.
Wie identifiziere ich die menschliche Angriffsfläche meines Unternehmens?
Die menschliche Angriffsfläche lässt sich am Organigramm ablesen: Jeder, der auf sensible Informationen zugreifen oder diesen Zugriff steuern kann – ob intern oder extern –, beeinflusst direkt das Risiko Ihres Unternehmens. Nicht nur Mitarbeitende, auch Partner oder Dienstleister gehören dazu: Jeder, der sensible Informationen einsehen oder den Zugriff darauf blockieren kann, beeinflusst die menschliche Angriffsfläche Ihres Unternehmens.
Red Teaming – eine Methode zur Identifizierung von Elementen sowohl der digitalen als auch der physischen Angriffsfläche – kann auch genutzt werden, um eine wesentliche Komponente der menschlichen Angriffsfläche sichtbar zu machen: die Anfälligkeit von Mitarbeitenden für Social Engineering.
Unsachgemäß vergebene Benutzerrechte zählen zu den Hauptfaktoren der menschlichen Angriffsfläche. Um ihre Bestandteile zu identifizieren, sollten Sie analysieren, welche Personen Zugriff auf welche Systeme und Daten haben – und in welchem Umfang.
Ich habe die Angriffsfläche meines Unternehmens identifiziert. Wie geht es weiter?
Die Identifizierung Ihrer Angriffsfläche ist der erste Schritt auf dem Weg zum eigentlichen Ziel: der Behebung jener Schwachstellen, die das größte Risiko für Ihr Unternehmen darstellen. Dieser ganzheitliche Prozess wird als Exposure Management bezeichnet.
Attack Surface Discovery bildet, wie wir gesehen haben, einen der Grundsteine Ihrer Sicherheitsstrategie: Nur was Sie kennen, können Sie auch schützen. Exposure Management fügt einen weiteren Grundpfeiler hinzu: die Bestimmung Ihrer Risikobereitschaft. Sie gibt an, wie viel Risiko Ihr Unternehmen bereit ist zu tragen, um seine Ziele zu erreichen. (Nutzen Sie hierfür gerne unsere anpassbare Vorlage für Ihre Erklärung zur Risikobereitschaft.)
Sobald diese beiden Grundlagen stehen, können Sie die Schwachstellen Ihrer Angriffsfläche einschätzen: Wie hoch ist das Risiko für Ihr Unternehmen und passt es zu Ihrer Risikobereitschaft? Unser Leitfaden zur objektiven Cyber-Risikobewertung geht darauf im Detail ein.
Die Schwachstellen, die außerhalb Ihrer Risikobereitschaft liegen, haben oberste Priorität für die Behebung. So können Sie Ihre Maßnahmen gezielt dort konzentrieren, wo sie den größten Nutzen bringen.
FAQ
Was ist eine Angriffsfläche?
Ihre Angriffsfläche umfasst alle potenziellen Einstiegspunkte, über die auf eine IT-Umgebung zugegriffen werden kann, um einen Cyberangriff zu starten.
Woraus besteht eine Angriffsfläche?
Ihre Angriffsfläche gliedert sich in drei Bereiche: die digitale Angriffsfläche (klassische IT-Assets sowie extern exponierte, internetseitige Komponenten), die physische Angriffsfläche (Hardware und Standorte) und die menschliche Angriffsfläche.
Verkauft Ivanti Produkte, die bei der Erkennung und Verwaltung meiner Angriffsfläche helfen?
Ja, Ivanti Neurons for Discovery, Ivanti Neurons for Risk-Based Vulnerability Management, Ivanti Neurons for External Attack Surface Management und Ivanti Neurons for Application Security Posture Management unterstützen Sie dabei, Ihre Angriffsfläche zu identifizieren und effektiv zu managen.
