Attack Surface Management – ASM

Ivantis Forschungsreport-Reihe zum Stand der Cybersicherheit

Die Angriffsflächen für Unternehmen vergrößern sich rasant. Eine Ivanti-Studie untersucht das Ausmaß des Problems und Strategien für ein umfassendes Attack Surface Management.

Executive Summary herunterladen

01

Erweiterung der Angriffsfläche

Aufgrund des technologischen Fortschritts und der Entwicklung von Everywhere Work sind die Angriffsflächen für Unternehmen heute größer und komplexer denn je.

Aktuelles Problem

Unternehmen müssen ein schnell wachsendes Ökosystem von Geräten, Tools und Assets in ihren Netzwerken überwachen, deren Anzahl immer mehr zunimmt. Dennoch haben sie nur einen begrenzten Einblick in diese expandierende digitale Umgebung.

Mehr als die Hälfte der von Ivanti befragten IT-Fachleute sind wenig zuversichtlich, in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern zu können. Und mehr als jeder Dritte gibt an, dass er schlechter darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren, als es noch vor einem Jahr der Fall war.



50 %

der Büroangestellten geben an, dass sie private Geräte bei der Arbeit verwenden.

32 %

davon geben an, dass ihr Arbeitgeber nichts davon weiß.

Warum dies wichtig ist

Das Problem ist nicht nur eine Frage der Komplexität (d. h. die Zunahme von Geräten und Assets, die zu Zersiedelung von Daten und Ineffizienz führt). Dieses wachsende Ökosystem sorgt für eine immer größere Anzahl von Schwachstellen und Gefährdungen, die zu Datenschutzverletzungen, Ausfallzeiten, mangelnder Einhaltung von Compliance-Vorschriften, Reputationsrisiken und vielem mehr führen können.

Aus diesen und weiteren Gründen ist das Attack Surface Management  (ASM) heute ein wichtiger Bestandteil der Cybersicherheitsabwehr. Und die Untersuchungen von Ivanti zeigen, dass zunehmend in ASM investiert wird.

Die ASM-Strategie unterstützt die kontinuierliche Erkennung von neuen Bedrohungen und aktiven Angriffen sowie eine datengesteuerte Methode für die Priorisierung und für das Management von Schwachstellen.

Da die Angreifer immer raffinierter werden, müssen Unternehmen diesen Bedrohungen begegnen, indem sie sich in ihren Gegner hineinversetzen und wirksame Strategien entwickeln: Wo würde ein Angriff beginnen? Welche Systeme würden zuerst angegriffen? Wie würde der Angriff ablaufen?

 

Warum ist ASM gerade jetzt so wichtig?

Da die Angriffsflächen immer größer und komplexer werden, müssen sich auch die Sicherheitsstrategien weiterentwickeln.

Durch die herkömmliche Erkennung von IT-Assets und die Risikobewertung werden Hardware- und Software-Ressourcen im gesamten Unternehmensnetzwerk identifiziert und inventarisiert.

Das reicht jedoch nicht mehr aus. ASM geht noch einen Schritt weiter: Es identifiziert nicht nur die Assets, sondern bewertet auch die Risiken, die mit bekannten und unbekannten Assets in einer komplexen digitalen Umgebung verbunden sind. Und es empfiehlt Maßnahmen sowie die Reihenfolge der Umsetzung dieser Maßnahmen.



02

Isolierte Daten

Angesichts der großen Menge an strukturierten und unstrukturierten Daten, die jeden Tag im digitalen Ökosystem generiert werden, können kritische Signale bezüglich des Zustandes und der Sicherheit des Unternehmens leicht übersehen werden.

Aktuelles Problem

Große Angriffsflächen erzeugen riesige Datenströme, aber Unternehmen sind oft schlecht darin, diese Daten ausreichend zu schützen — das heißt, die Daten sind isoliert oder für die Personen unzugänglich, die sie benötigen, um die Sicherheit des Unternehmens zu gewährleisten oder das Geschäft voranzutreiben.

Welche Auswirkungen haben Datensilos aus Sicht von IT- und Sicherheitsfachleuten auf ihre Arbeit?

Quote Icon

Ich muss oft auf Daten zugreifen, die in einem anderen System gespeichert sind. Aber um diese Informationen zu erhalten, kann ich nur mit jemandem sprechen, der Zugang hat, verfüge aber selbst nicht über den für meine Arbeit erforderlichen Zugang.

Quote Icon

Ich habe nicht immer alle Daten, die ich brauche, um fundierte Entscheidungen zu treffen, und ich verliere wertvolle Zeit damit, um an sie heranzukommen.

Quote Icon

Unvollständige Informationen sorgen bei mir für Unklarheit.



Warum dies so wichtig ist

Cybersicherheitsfachleute berichten, dass sie aufgrund von Datensilos nicht schnell und entschlossen genug handeln können.

82 %

geben an, dass ihre Produktivität aufgrund von Datensilos leidet.

40 %

geben an, dass Datensilos ihre Reaktionszeiten bei Vorfällen verlangsamen.

33 %

geben an, dass eine mangelnde Abstimmung mit anderen Abteilungen innerhalb des Unternehmens dazu führt, dass sich die Beteiligten nicht auf die richtige/beste Vorgehensweise einigen können.

Mit anderen Worten: Datensilos sind nicht nur ineffizient, sie sorgen für einen begrenzten Einblick und verstärken die Gefährdungslage. Aber das muss nicht sein. CAASM-Tools (Cyber Asset Attack Surface Management) können die Datenprobleme von Unternehmen lösen, indem sie EASM- und DRPS-Daten integrieren und den Unternehmen so einen noch nie dagewesenen Zugang zu Daten und Informationen sowie Einblicke ermöglichen.

 

ASM-Tools: eine Einführung

  • External Attack Surface Management (EASM): Kontinuierliche Überwachung und Erkennung von mit dem Internet verbundenen Assets auf der Suche nach Schwachstellen, die von Angreifern ausgenutzt werden können.
  • Digital Risk Protection Services (DRPS): Überwachung eines breiten Spektrums von Risiken über digitale Ressourcen und Kanäle in Bezug auf Markenschutz, Bedrohungsinformationen und Datenlecks. 
  • Cyber Asset Attack Surface Management (CAASM): Bereitstellung eines integrierten Überblicks über alle physischen und digitalen Cyber-Assets im gesamten Netzwerk eines Unternehmens – eine zentrale Informationsquelle für IT- und Sicherheitsteams, die Informationen über alle Unternehmens-Assets, einschließlich der Rechte, des Netzwerkzugriffs und des Geschäftskontextes, enthält.



03

Priorisierung

Unternehmen haben Schwierigkeiten, Risiken zu bewerten, Prioritäten für die angemessene Reaktion zu setzen und folgerichtig auf Bedrohungen zu reagieren.

Aktuelles Problem

Unternehmen bemühen sich vergeblich um eine Priorisierung der Schwachstellen, die es zu entschärfen gilt – aufgrund einer Vielzahl komplexer Faktoren:

Externe Faktoren: eine sich schnell entwickelnde Bedrohungslandschaft; eine noch nie dagewesene Anzahl an und Geschwindigkeit des Auftretens von Schwachstellen und Angriffen 

Interne Faktoren: schlechter Einblick in die Angriffsfläche; Unfähigkeit, den Schweregrad bestehender Schwachstellen einzuschätzen; Schwierigkeiten bei der Koordinierung und Übermittlung einer Reaktion

Obwohl 64 % der Unternehmen angeben, dass sie über eine dokumentierte Methode für die Priorisierung von Sicherheitspatches verfügen, sind die Ergebnisse beim genauen Hinsehen beunruhigend.


Sicherheitsfachleute stufen fast alle Arten von Schwachstellen (z. B. aktive Angriffe, für die Einhaltung von Vorschriften erforderliche Patches, Richtlinien der Unternehmensleitung) als mindestens „mäßig dringend”, wenn nicht sogar als „äußerst dringend” ein. Und wenn alle Schwachstellen Priorität habendann gibt es im Prinzip keine.



Warum ist dies so wichtig?

Angesichts des anhaltenden Sicherheitsfachkräftemangels müssen die Teams ihre Ressourcen effektiv einsetzen, um die Sicherheit ihrer Unternehmen zu gewährleisten — deshalb ist es so wichtig, die Risikobewältigung des Unternehmens zu priorisieren.

Wie funktioniert das? ASM verwendet Algorithmen und Methoden, um Risikobewertungen zu erstellen, die die Risiken auf der Grundlage von Faktoren wie der Wahrscheinlichkeit eines Angriffs, dem Schweregrad des Risikos, den potenziellen negativen Auswirkungen und mehr priorisieren.

Diese Art von Risikomanagement und -optimierung ist angesichts der Menge an internen und externen Daten, die Sicherheitsfachleute überwachen und analysieren müssen, von entscheidender Bedeutung. Das Ergebnis? Weniger Ausfallzeiten, weniger Geschäftsunterbrechungen und eine insgesamt bessere Cybersicherheitslage.

04

Risiko durch Lieferanten

Die Lieferanten und Anbieter eines Unternehmens stellen eine Erweiterung der Angriffsfläche dar – aber viele behandeln sie nicht als stark vernetzte Einstiegspunkte für Angreifer.

Aktuelles Problem

Eine Studie von Capterra in 2023 ergab, dass 61 % der Unternehmen in den vorangegangenen 12 Monaten von Angriffen auf die Softwarelieferkette betroffen waren.

Dennoch zeigt die Ivanti-Studie, dass weniger als die Hälfte der Unternehmen (46 %) die anfälligen Systeme/Komponenten von Drittanbietern in ihrer Softwarelieferkette identifiziert hat – obwohl weitere 39 % angaben, dass sie dies im kommenden Jahr planen.



Warum dies so wichtig ist

Die Angriffsflächen Ihrer Anbieter und Partner sind Erweiterungen der Angriffsfläche Ihres Unternehmens. Eine einzige Sicherheitsverletzung in Ihrer Softwarelieferkette kann schädliche Auswirkungen haben – auf den Umsatz und die Reputation, aber auch auf das Compliance-Risiko und die Haftungsrisiken. Ein Beispiel: Die massive Datenpanne bei Target vor etwa zehn Jahren rührte daher, dass Angreifer Zugangsdaten in die Hände bekamen, die einem Drittanbieter gestohlen worden waren, einem Hersteller von Kühl- und HLK-Systemen – kaum der Einstiegspunkt, den sich die meisten für eine schädliche Datenpanne vorstellen würden. Der Einzelhändler gab später bekannt, dass er 162 Millionen Dollar an Ausgaben in den Jahren 2013 und 2014 im Zusammenhang mit diesem Ereignis verbuchte, was heute 213 Millionen Dollar entspricht. 

Um solche Angriffe zu verhindern, kann ASM Ihre mit dem Internet verbundenen Assets überwachen, damit Sie das ganzheitliche Risikoprofil Ihres Unternehmens besser verstehen, einschließlich der Risiken, die durch Ihre Lieferkette entstehen. Und sie kann eine wichtige Rolle bei der Prüfung neuer Lieferanten, Anbieter, Partner und sogar Übernahmeziele spielen.

Die Studie von Gartner® aus dem Jahr 2023 kommt zu dem Ergebnis, dass „trotz eines dramatischen Anstiegs der Angriffe auf die Softwarelieferkette Sicherheitsbewertungen nicht als Teil des Risikomanagements oder der Beschaffungsaktivitäten der Anbieter durchgeführt werden. Dies macht Unternehmen anfällig für Angriffe.”

05

Handlungsschritte

Fachleute erläutern, wie Unternehmen das gesamte Ausmaß der Schwachstellen ihrer Angriffsfläche erkennen und Maßnahmen zum Risikomanagement ergreifen können.

Prioritäten setzen, Daten harmonisieren und Automatisierung nutzen

In der heutigen digitalen Landschaft definieren wir neu, was ein Asset ist. Es geht nicht mehr nur um physische Geräte. Es entstehen unzählige Arten von Assets, die geschlossene Netze in offene Systeme verwandeln, die auf IP-Protokollen basieren. Dieser Wandel hat den „Explosionsradius” für Unternehmen jeder Größe erheblich erweitert und setzt sie aufgrund von Fehlkonfigurationen und der Exposition gegenüber dem Internet erhöhten Risiken aus. 

Ich empfehle, das Prinzip „DEER” anzuwenden: Aufdeckung (Discover), Auflistung der Risiken (Enumerate exposures), Abhilfe (Remediate). 

Die eigentliche Herausforderung für das DEER-Prinzip ist die schiere Menge an Daten, die Unternehmen nutzen müssen. Im Durchschnitt wirken sich 60 bis 70 verschiedene Datenquellen auf jedes Unternehmen aus. Es gibt fünf Eigenschaften, die Unternehmen haben sollten, um all diese Daten effektiv zu verwalten:

  1. Die Fähigkeit, die Daten zu übernehmen.  
  2. Die Fähigkeit, die Daten zu normalisieren.  
  3. Die Fähigkeit, die Daten zu kennzeichnen.  
  4. Die Fähigkeit, die Daten auf der Grundlage der Absichten eines Angreifers zu priorisieren.  
  5. Ein Verständnis für die Prioritäten des Unternehmens. 

Sobald Sie eine klare Priorisierung vorgenommen haben, müssen Sie eine sehr solide Abhilfestrategie entwickeln. Und jeder dieser Schritte kann mit einem Shift-Left (entwicklerorientiert) oder einem Shift-Right (sicherheitsorientiert) durchgeführt werden.

Als Nächstes kommt die Automatisierung, bei der das Service-Management eine Rolle spielen kann. Entwickeln Sie automatisierte Workflows für die Geräteverwaltung und schreiben Sie Tickets für Entwickler, Ops- und Sicherheitsteams. Erstellen Sie dann automatisierte Workflows, um sicherzustellen, dass die Abhilfemaßnahmen mit nur wenigen menschlichen Eingriffen durchgeführt werden können.

Dr. Srinivas Mukkamale

Dr. Srinivas Mukkamala
Chief Product Officer, Ivanti

Schwachstellen in der Lieferkette erkennen und einkalkulieren

Unternehmen müssen der Sicherheit von Lieferketten und Anbietern mehr Aufmerksamkeit schenken. Um dies effektiv zu tun, sollten Sie sich die folgenden vier Regeln zu eigen machen: 

  1. Legen Sie klare Sicherheitsanforderungen für Anbieter fest, die mit Ihren Unternehmensrichtlinien übereinstimmen und den Branchenvorschriften wie GDPR und HIPAA entsprechen. Diese Standards sollten allen Vertrieblern und Lieferanten klar mitgeteilt werden. 
  2. Führen Sie gründliche Risikobewertungen Ihres Lieferantennetzes durch, um herauszufinden, inwieweit die einzelnen Lieferanten die aktuellen Sicherheitsanforderungen erfüllen. Veranstalten Sie regelmäßige Audits und Konformitätsprüfungen, um die Einhaltung von Compliance-Vorschriften zu gewährleisten. 
  3. Vergewissern Sie sich, dass Anbieter ein integrierter Bestandteil Ihres Incident-Response-Plans (IRP) sind, insbesondere wenn sie Zugang zu den Systemen und Daten Ihres Unternehmens haben. Dadurch wird sichergestellt, dass es einen vordefinierten Prozess für das Management von Zwischenfällen mit Anbietern gibt. 
  4. Stellen Sie sicher, dass Sicherheitsmaßnahmen in die vertraglichen Vereinbarungen mit Anbietern aufgenommen werden, um sie in die Verantwortung zu nehmen und ein gegenseitiges Verständnis der Rolle aller Beteiligten bei der Aufrechterhaltung der Sicherheit zu schaffen. 

Vor allem sollten Sie mit den Anbietern zusammenarbeiten und einen regelmäßigen Austausch über potenzielle Bedrohungen und Möglichkeiten zur gemeinsamen Verbesserung der Sicherheitsmaßnahmen anregen.

Daren Goesson

Daren Goeson 
Senior Vice President of Product Management, SUEM, Ivanti

Denken Sie daran: Ein ausgefeiltes Attack Surface Management ist vor allem dynamisch.

Unternehmen müssen sich über neue externe Risiken im Klaren sein – vornehmlich über solche, die für ihre spezifischen Branchen und Märkte typisch sind – und darüber, wie diese Risiken mit internen Schwachstellen zusammenwirken.  

Sie können Risiken nicht ohne Kontext bewerten. Ihr Sicherheitsteam könnte eine Schwachstelle in der Software eines Lieferanten finden, die es mit „5” (d. h. mittelmäßig) einstuft. Das ist eigentlich nicht so tragisch. Aber ein Angreifer könnte sie anders klassifizieren und sich denken: „Das ist zwar nur eine weniger kritische Schwachstelle, aber wenn ich sie mit einer anderen Schwachstelle zusammen nutze, dann habe ich gute Chancen, die Sicherheit des Unternehmens anzugreifen". 

Die Software für das Management der Angriffsfläche und die Festlegung von Prioritäten müssen die Dynamik jeder Schwachstelle und jeder Entdeckung berücksichtigen, die es gibt. Wenn sich Schwachstellen verändern, wenn sie mit Ransomware in Verbindung gebracht oder ausgenutzt werden, kann eine ASM-Lösung erkennen, wie diese Prioritäten dynamisch gesteuert und geändert werden können. 

Der Stand unserer Software ändert sich täglich, aber einige dieser Änderungen können intern nicht umgesetzt werden. Jemand anderes kann unsere Angriffsfläche beeinflussen und verändern, indem er einen kleinen Fehler ausnutzt – und dann hat das Ganze plötzlich höchste Priorität. Ein gutes Attack Surface Management ist also sehr dynamisch, berücksichtigt Trends und bewertet das Risiko auf der Grundlage aktueller Daten ständig neu.

Rex McMillan

Rex McMillan
Vice President of Product Management, Ivanti

Methode

Zum einen basiert dieser Report auf zwei Umfragen, die Ivanti Ende 2023 und 2024 durchgeführt hat: „Everywhere Work Report 2024: Flexible Arbeit stärken” und „Report zum Stand der Cybersicherheit 2024: Wendepunkt”. Insgesamt wurden im Rahmen dieser beiden Studien 15.000 Führungskräfte, IT-Fachleute und Büroangestellte befragt. Zum anderen bezieht sich der Report auf Untersuchungen aus Drittquellen.


 

*Gartner, Mitigate Enterprise Software Supply Chain Security Risks, von Dale Gardner, 31. Oktober 2023 GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA sowie weltweit und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten. Alle Rechte vorbehalten. 

Vielen Dank!

Executive Summary herunterladen Herunterladen

Executive Summary herunterladen

Erhalten Sie wichtige Erkenntnisse und Umfrageergebnisse, einschließlich Diagramme und Grafiken, in einem präsentationsfähigen Format.