Attack Surface Management (ASM) nimmt die Perspektive eines Angreifers ein und hilft Sicherheitsteams, Transparenz über Assets zu gewinnen, für die der IT Governance und Kontrolle fehlen, z. B. Schatten-IT, Systeme von Drittanbietern und Fachbereichsanwendungen.
IT-Fachjargon erklärt
Was ist Attack Surface Management?
ASM kombiniert Menschen, Prozesse, Technologien und Services, um interne und externe Assets eines Unternehmens kontinuierlich zu ermitteln, zu inventarisieren und zu verwalten. Das übergeordnete Ziel besteht darin, sicherzustellen, dass erkannte Exponierungen behoben werden, bevor sie von böswilligen Akteuren ausgenutzt werden können.
ASM umfasst drei Bereiche: Cyber Asset Attack Surface Management (CAASM), External Attack Surface Management (EASM) und Digital Risk Protection Services (DRPS). Jeder Bereich konzentriert sich auf einen bestimmten Anwendungsfall: CAASM auf Assets und Schwachstellen, EASM auf externe Assets und DRPS auf digitale Assets.
Verwandte Inhalte: Ivantis Forschungsberichtreihe „State of Cybersecurity“: Attack Surface Management
Was ist Cyber Asset Attack Surface Management (CAASM)?
CAASM bietet eine vollständige, aktuelle und konsolidierte Sicht auf die internen und externen Assets eines Unternehmens, etwa Endpoints, Services, Geräte und Anwendungen.
CAASM-Produkte erreichen dies, indem sie Daten aus vorhandenen internen Quellen erfassen, wie Asset-Ermittlung, IT-Asset-Management, Endpoint Security, Schwachstellenmanagement und Patch-Management-Tools sowie aus Ticketing-Systemen über API-Integrationen.
Anschließend werden die erfassten Daten automatisch aggregiert, normalisiert und dedupliziert sowie in einer einzigen Benutzeroberfläche dargestellt. So müssen IT- und Sicherheitsteams Asset-Daten nicht mehr manuell zusammentragen und abgleichen. CAASM-Produkte ermöglichen es Teams außerdem, Abfragen über erfasste Daten auszuführen, Sicherheitsschwachstellen zu identifizieren, Lücken in Sicherheitskontrollen zu erkennen und Probleme zu beheben.
Was ist External Attack Surface Management?
Wie der Name nahelegt, konzentriert sich External Attack Surface Management auf eine Outside-in-Sicht auf die Angriffsfläche, indem internetexponierte Assets und Systeme sowie zugehörige Schwachstellen ermittelt werden.
Zu den Assets, die EASM erkennt, gehören Webanwendungen, IPs, Domainnamen, SSL-Zertifikate und Cloud-Services. Zu den Arten von Schwachstellen, die EASM identifiziert, zählen unter anderem exponierte Server, Zugangsdaten, Fehlkonfigurationen öffentlicher Cloud-Services, Offenlegungen im Deep Web und Dark Web sowie Schwachstellen im Softwarecode von Drittanbietern.
Neben der Asset-Ermittlung bieten EASM-Produkte üblicherweise weitere Funktionen, darunter:
- Aktives externes Scannen von Cloud-, IT-, IoT- und OT-Umgebungen.
- Analyse von Assets, um festzustellen, ob sie risikobehaftet oder anfällig sind oder ein anomales Verhalten zeigen.
- Priorisierung von Assets anhand von Faktoren wie geschäftlichen Auswirkungen und Wahrscheinlichkeit einer Ausnutzung durch einen böswilligen Akteur.
- Behebungs-Workflows und Integrationen mit Ticketing-Systemen, Lösungen für Security Orchestration, Automation and Response (SOAR) und anderen Tools.
Was sind Digital Risk Protection Services (DRPS)?
DRPS kombinieren Technologie und Services, um digitale Assets und Daten vor externen Bedrohungen zu schützen. Sie erweitern Erkennung und Überwachung über die Unternehmensperimeter hinaus – auf das offene Web, Deep Web, soziale Medien und App-Marktplätze –, um nach Bedrohungen für digitale Unternehmensressourcen zu suchen, einschließlich IP-Adressen und markenbezogener Assets.
Da Unternehmen immer mehr Online-Aktivitäten durchführen, ist es für Sicherheitsteams entscheidend, diese Funktionen einzuführen und über Bedrohungen innerhalb des Unternehmensnetzwerks hinauszublicken. DRPS identifizieren Bedrohungen und liefern zugleich verwertbare Informationen zu Bedrohungsakteuren sowie zu den Tools, Taktiken und Prozessen, die sie ausnutzen.
Worin unterscheiden sich CAASM, EASM und DRPS?
CAASM, EASM und DRPS sind allesamt Komponenten von ASM und konzentrieren sich auf das Sicherheits-Asset-Management und die Priorisierung von Problemen. Diese Gemeinsamkeiten können zu Verwirrung über die Unterschiede zwischen diesen Lösungen führen.
Diese Tabelle fasst die Unterschiede zwischen CAASM, EASM und DRPS zusammen.
| Merkmal / Funktion | CAASM | EASM | DRPS |
|---|---|---|---|
| Schwerpunkt | Assets und Schwachstellen | Externe Assets | Digitales Risiko |
| Anwendbare Assets |
|
|
|
| Zusammensetzung |
|
|
|
| Funktionen |
|
|
|
| Datenquellen | Passive Datenerfassung über API-Integrationen mit vorhandenen internen Tools:
CAASM-Tools erfassen in der Regel auch Daten aus DRPS- und EASM-Tools. |
| Überwachung von:
|
Warum ist Attack Surface Management wichtig?
Führende Sicherheits-Frameworks sind sich einig, dass das Verständnis Ihrer Angriffsfläche entscheidend für eine starke Sicherheitslage ist. Sowohl das NIST CSF als auch die CIS Controls führen dies als grundlegende Fähigkeit auf.
Attack Surface Management ist so wichtig, weil Sie ohne Transparenz über Ihre gesamte Angriffsfläche nicht wissen, welche Schwachstellen Ihr Unternehmen exponieren. Dadurch erhalten Sie wiederum keine ausreichende Sicht auf die Risikolage Ihres Unternehmens – und können daher nicht erkennen, ob Sie innerhalb Ihrer Risikobereitschaft bleiben oder wie Sie Ihre Maßnahmen auf die Exponierungen mit dem höchsten Risiko ausrichten sollten.
Da sich Angriffsflächen so schnell verändern und erweitern, wird Attack Surface Management nur noch wichtiger. Sicherheitsteams können es sich schlicht nicht leisten, im Blindflug zu arbeiten.
Verwandte Inhalte: Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens