Die weit verbreitete Nutzung von Cloud-Einrichtungen und die damit einhergehende Ausbreitung von Unternehmensnetzwerken in Verbindung mit der zunehmenden Verlagerung von Arbeitsplätzen in die Ferne hatte eine massive Vergrößerung der Angriffsfläche von Unternehmen zur Folge und führte zu einer wachsenden Zahl von blinden Flecken in vernetzten Architekturen.
Die unvorhergesehene Folge dieser erweiterten Angriffsfläche mit fragmentierter Überwachung war ein deutlicher Anstieg der Zahl erfolgreicher Cyberangriffe, vor allem Ransomware, aber auch eine Reihe anderer Angriffsarten. Das Hauptproblem sind die unüberwachten blinden Flecken, die Cyberangreifer nutzen, um in die Infrastruktur von Unternehmen einzudringen und ihre Angriffe auszuweiten oder sich seitlich zu bewegen, um an wertvolle Informationen zu gelangen.
Das Problem liegt in der Entdeckung. Die meisten Unternehmen haben sich schneller weiterentwickelt, als sie in der Lage sind, den Überblick über all die beweglichen Teile zu behalten, und die Katalogisierung aller vergangenen und aktuellen Bestände wird oft als komplexe und ressourcenintensive Aufgabe mit geringem unmittelbaren Nutzen angesehen.
In Anbetracht der potenziellen Kosten eines erfolgreichen Einbruchs und der zunehmenden Fähigkeit von Cyber-Angreifern, gefährdete Ressourcen zu identifizieren und zu nutzen, kann es jedoch zu einem katastrophalen Einbruch führen, wenn auch nur eine einzige Ressource nicht überwacht wird.
Hier können neue Technologien wie das Attack Surface Management (ASM) von unschätzbarem Wert sein.
Was ist Attack Surface Management (ASM)?
ASM ist eine Technologie, die entweder Internet- und Zertifikatsdatenbanken durchforstet oder Angreifer nachahmt, die Aufklärungsmethoden anwenden. Beide Ansätze zielen darauf ab, eine umfassende Analyse der Werte deines Unternehmens durchzuführen, die während des Erkundungsprozesses aufgedeckt werden. Bei beiden Ansätzen werden deine Domänen, Subdomänen, IPs, Ports, Schatten-IT usw. nach Internet-Assets gescannt, bevor sie analysiert werden, um Schwachstellen und Sicherheitslücken zu erkennen.
Advanced ASM enthält für jede aufgedeckte Sicherheitslücke umsetzbare Empfehlungen zur Schadensbegrenzung, die von der Bereinigung ungenutzter und unnötiger Ressourcen zur Verringerung der Angriffsfläche bis hin zur Warnung von Personen reichen, dass ihre E-Mail-Adresse leicht zugänglich ist und für Phishing-Angriffe missbraucht werden könnte.
ASM umfasst Berichte über Open-Source Intelligence (OSINT), die für einen Social-Engineering-Angriff oder eine Phishing-Kampagne genutzt werden könnten, wie z. B. öffentlich zugängliche persönliche Informationen in sozialen Medien oder sogar Material wie Videos, Webinare, öffentliche Reden und Konferenzen.
Das Ziel von ASM ist es, sicherzustellen, dass kein exponiertes Objekt unüberwacht bleibt, und jeden blinden Fleck zu beseitigen, der zu einem Einfallstor werden könnte, das ein Angreifer nutzt, um in dein System einzudringen.
Wer braucht ASM?
In seinem Webinar über den Stand der Cybersecurity-Effektivität 2021 spricht der Cyber-Evangelist David Klein direkt die besorgniserregenden Erkenntnisse an, die von den Nutzern von Cymulate bei der Einführung von ASM aufgedeckt wurden. Sie wussten nicht, dass sie vor dem Einsatz von ASM:
80% hatten keine Anti-Spoofing- und SPF-E-Mail-Einträge
77% hatten unzureichende Website-Schutzmaßnahmen
60% hatten ungeschützte Konten, Infrastruktur und Verwaltungsdienste
58% hatten gehackte E-Mail-Konten.
37% nutzten extern gehostetes Java.
26 % hatten keinen DMARC-Eintrag für ihre Domäne konfiguriert.
23% hatten eine Fehlanpassung des SSL-Zertifikats für den Host.
Sobald diese Sicherheitslücken identifiziert sind, können sie geschlossen werden, aber der besorgniserregende Faktor ist das Ausmaß der unbekannten Gefährdung, bevor sie identifiziert wurde.
Die ASM-Nutzer in dieser Analyse stammen aus einer Vielzahl von Branchen, Regionen und Unternehmensgrößen. Das zeigt, dass jeder, der über eine vernetzte Infrastruktur verfügt, von der Einführung von ASM als integraler Bestandteil seiner Cybersicherheitsinfrastruktur profitieren kann.
Wo kannst du ASM finden?
Obwohl die Technologie noch neu ist, gibt es eine wachsende Zahl von ASM-Anbietern. Wie immer ist es effizienter, ASM als Teil einer weiter entwickelten Plattform zu betrachten als ein eigenständiges Produkt.
Der Schwerpunkt einer ASM-Lösung wird teilweise durch den Schwerpunkt des Produktkorbs bestimmt, mit dem sie verbunden ist. So wird eine ASM-Lösung, die mit einer reaktiven Suite wie Endpoint Detection and Response (EDR) verbunden ist, wahrscheinlich eher auf erweiterte Scanning-Fähigkeiten ausgerichtet sein, während eine ASM-Lösung, die in eine proaktive Plattform wie Extended Security Posture Management (XSPM) integriert ist, wahrscheinlich eher darauf ausgerichtet ist, die Scanning-Fähigkeiten zu nutzen, um die Aufklärungsmethoden und -werkzeuge von Cyberangreifern zu emulieren.
Die Entscheidung für eine integrierte ASM-Lösung erleichtert die Zentralisierung der Daten zur Sicherheitslage des Unternehmens in einer einzigen Ansicht und verringert so das Risiko einer Datenüberlastung der SOC-Teams.