Nicht nur bei großen und komplexen IT-Systemen ist die Angriffsfläche für Cyberkriminelle riesig. Die Zahl an öffentlich und extern verfügbaren oder dem Internet ausgesetzten IT-Assets wächst stetig, wodurch immer mehr potenzielle Einfallstore für verheerende Cyberattacken entstehen. Doch das kann man mit EASM in den Griff bekommen.
Die Bedrohungslage für kleine, mittlere und große Unternehmen wird immer kritischer. Eine Möglichkeit, sich auf die Gefahren durch Cyberattacken einzustellen, ist „External Attack Surface Management“ (EASM) – derzeit ein vieldiskutiertes Trendthema in der IT-Security. EASM lässt sich auch mit dem Wort „Bestandskontrolle“ umschreiben und meint das genaue Wissen um die eigene potenzielle Angriffsfläche sowie das Ziehen der richtigen Schlüsse daraus.
Was ist die Attack Surface in der Unternehmens-IT?
In der Cybersicherheit wird das Wort Angriffsfläche (Attack Surface) für öffentlich oder extern verfügbare oder dem Internet ausgesetzte IT-Assets verwendet. Cyberkriminelle starten ihre Angriffe oftmals mit einer Überprüfung dieser Assets auf offensichtliche Schwachstellen. Typische Assets sind IP-Adressen, Ports (offen, geschlossen oder geschützt), DNS-Records, Anwendungsendpunkte, Webseiten, APIs, Remote-Zugriffspunkte, Datenbanken, Verschlüsselungsdetails, kompromittierte Kennwörter oder Zugangsdaten sowie File-Sharing-Dienste.
All diese Assets in ihrer verwirrenden Vielfalt vereinen sich zu einer erheblichen Angriffsfläche auf die Unternehmens-IT. Peter Van Lierde, Chief Information Security Officer (CISO) bei Sibelga, einem systemkritischen Energieversorgungsunternehmen in der Metropolregion Brüssel, bringt die Problematik in einer Case Study von Sweepatic Security auf den Punkt:„Das Problem ist der Mangel an Transparenz. Wenn man nicht weiß, was man irgendwo im Internet hat und welchen Status es hat – sowohl aus technischer als auch aus rechtlicher Sicht –, ist das aus der Security-Perspektive so, als würde man als Blinder gegen eine große Mauer fahren.“
Für Unternehmen wird es immer schwieriger, den Überblick darüber zu behalten, welche IT-Assets online verfügbar sind. Hinzu kommt der kontinuierliche Strom neu bereitgestellter Assets – sowohl on-premises als auch in diversen Clouds. An dieser Stelle kommt EASM ins Spiel. Denn man kann nur das schützen, was man auch kennt!
EASM als Game Changer im Kampf gegen Cyberkriminalität
Attack Surface Management ist der Prozess, ein Unternehmensnetzwerk für Cyberkriminelle so unattraktiv wie möglich zu machen. Grundsätzlich will ein Angreifer für die Entwicklung einer Angriffsstrategie bei einem potenziellen Opfer ein Maximum an Informationen und Schwachstellen finden. Dazu simuliert er unter anderem normalen Traffic und klassische Suchanfragen, um so viele Daten wie möglich zu sammeln.
Je aufgeräumter die Angriffsfläche des potenziellen Opfers ist, desto mehr Aufwand muss er betreiben. Da dieser Aufwand für Cyberkriminelle schnell nicht mehr rentabel ist, kann es dazu führen, dass der Angreifer seine Attacke abbricht, um sich einem leichteren Ziel zuzuwenden.
Was ist bei einem EASM-Programm erforderlich?
Eine erfolgreiche EASM-Strategie fußt auf neun Komponenten:
1. Erfassung und Inventur von Assets: Das automatische Erkennen und Erfassen aller Online-Assets eines Unternehmens ist die Kernkomponente einer jeden EASM-Lösung. Dabei werden kontinuierlich Aufzeichnungen über die bekannten, unbekannten, verwalteten und nicht verwalteten IT-Assets vorgenommen, die mit dem Internet verbunden sind. Die Informationen über diese Assets und Assets, die diesen ähnlich sind, werden automatisch auf dem neuesten Stand gehalten, um einen Echtzeit-Status der externen Angriffsfläche abzubilden.
2. Angriffsflächenbewertung und Reporting: Dabei handelt es sich um eine Bewertung der Cybersecurity-Lage des Unternehmens basierend auf offensichtlichen Schwachstellen. Sie gibt beispielsweise an, wie gut das Patch-Management funktioniert und ob es sich verbessert hat.
3. Schutz der Marke: Der Markenschutz ist ein weiterer zentraler Punkt einer EASM-Lösung. Dabei dreht sich alles um das automatische Erkennen von Cybersquatting und Domain-Spoofing, wenn also Internet-Domainnamen registriert werden, die jemandem gar nicht zustehen, oder Domainnamen, die denen von legitimen Organisationen sehr ähnlich sind. Diese oder ähnlich aussehende Domains werden gerne für Phishing-Angriffe verwendet und sollten zum Schutz von Kunden und Mitarbeitern dauerhaft überwacht werden.
4. Überwachung von Verschlüsselungszertifikaten: Ein ordnungsgemäßes Verschlüsseln kann Man-in-the-Middle-Angriffe verhindern und dazu beitragen, dass Kunden nicht von einer Warnmeldung über unsichere Zertifikate abgeschreckt werden. Eine fortschrittliche EASM-Lösung behält Verschlüsselungsaspekte und -lücken rund um die Uhr im Auge.
5. Einhaltung der DSGVO: Ein ausgefeiltes EASM kann auch das Einhalten der Cookie-Policy von Webanwendungen sicherstellen. Das System ermittelt weltweit alle Internet-Aktivitäten eines Unternehmens und kann Verstöße gegen die Cookie-Zustimmung aufdecken, um empfindliche Strafzahlungen zu vermeiden.
6. Fusionen und Akquisitionen: Bei aufstrebenden Unternehmen mit regelmäßigen Fusionen und Akquisitionen vergrößert sich naturgemäß die Angriffsfläche auf die Unternehmens-IT erheblich. Ein fortschrittliches Attack-Management-System skaliert problemlos mit diesbezüglichen Erweiterungen des Firmennetzwerks und hilft dabei, neue Assets effektiv zu priorisieren und zu schützen.
7. Schatten-IT: Unbekannte und nicht verwaltete IT-Assets, die unter anderem von unautorisierten Mitarbeitern eingespielt werden, sorgen für einen hohen Verwaltungsaufwand. EASM weist auf solche Assets hin, sodass die Administration rechtzeitig entsprechende Maßnahmen ergreifen kann.
8. Bewertung von Schwachstellen und Fehlkonfigurationen: Ein External Attack Surface Management untersucht alle entdeckten Online-Assets auch auf Schwachstellen und Fehlkonfigurationen. Auf diese Weise können Unternehmen ihre Angriffsfläche entsprechend verwalten und zeitnah Abhilfemaßnahmen einleiten.
9. Kompromittierte Zugangsdaten: Mit einer EASM-Plattform lässt sich ermitteln, ob Anmeldeinformationen von Nutzern einer Domain gestohlen wurden. So kann dieser Nutzer rechtzeitig gewarnt oder gesperrt werden.
Für wen lohnt sich die Implementierung eines EASM-Systems?
Die Implementierung einer EASM-Lösung kann sich vor allem für CISOs oder Cybersecurity-Experten aus zwei verschiedenen Gruppen lohnen:
- Sicherheitsexperten, die noch am Anfang des Themas Cybersecurity stehen, müssen sich zunächst einen Überblick über die Lage verschaffen. Sie brauchen weitreichende Informationen über den Zustand ihrer Infrastruktur und IT-Prozesslandschaft und wollen herausfinden, welche IT-Assets von außen sichtbar und erreichbar sind. Nur dann können sie eine entsprechende Sicherheitsarchitektur aufbauen.
- Erfahrene Sicherheitsexperten mit bereits hinreichend etablierten Systemen haben eine Vielzahl von Prozessen, Systemen und Tools aus dem Security-Segment im Einsatz, sodass es eigentlich keine Sicherheitslücken geben dürfte. EASM bietet für diese Gruppe einen wertvollen Reality-Check für deren IT-Prozesslandschaft, indem es den Schatten einer Organisation im Netz auf dieselbe Art und Weise kartographiert, wie es Angreifer auf der Suche nach Schwachstellen machen würden.
Schneller und unkomplizierter Einstieg in die EASM-Materie
Gefragt ist somit eine umfassende, leicht bedienbare und skalierende EASM-Lösung für nahezu jede Unternehmensgröße – wie es Sweepatic von Outpost24 bietet. Das einfache Onboarding-Verfahren erfordert keine Software- oder Agenten-Installation – die Sweepatic-Plattform ist cloud-basiert und über ein sicheres Login über den Internetbrowser zugänglich. Benötigt werden nur grundlegende Informationen wie Firmenname und primäre Domains, um mit der Analyse loszulegen. Wer von der Plattform überzeugt ist, kann EASM als SaaS-Lösung nahtlos in seine bestehende IT-Umgebung integrieren.
Hier können Sie ein kostenloses Assessment Ihrer Angriffsfläche anfordern.
kommentar field