IT-Fachjargon erklärt

Exposure Management

Das Exposure Management stellt einen umfassenderen, praktischeren und proaktiveren Ansatz zur Verbesserung der Cybersicherheit Ihrer Organisation dar. Traditionelle Ansätze zum Schwachstellenmanagement stoßen an ihre Grenzen, sodass Organisationen zunehmend einen neueren Ansatz zum Schutz ihrer digitalen Infrastrukturen verfolgen.

Was ist Exposure Management?

Exposure Management ist die Praxis, proaktiv und selektiv Risiken auf der digitalen Angriffsfläche eines Unternehmens zu identifizieren, zu bewerten und zu mindern. Dazu gehört, mögliche Zugangspunkte und Angriffsvektoren zu verstehen, die von ihnen ausgehenden Risiken zu priorisieren und Maßnahmen zum Schutz vor den kritischsten Bedrohungen zu ergreifen. Das ultimative Ziel besteht darin, die tatsächlichen Gefährdungen auf einem akzeptablen Risikoniveau zu halten.

Wie unterscheidet sich das Exposure Management vom Management von Sicherheitslücken?

Das Exposure Management ist ganzheitlicher und nutzt die risikobasierte Priorisierung von Gefährdungen und die Validierung identifizierter, priorisierter Gefährdungen, um einen umfassenden Überblick über die gesamte digitale Angriffsfläche einer Organisation zu erhalten. Es bietet vollständige Transparenz über Assets wie Server, Endpunkte, mobile Geräte, Geräte des Internets der Dinge (IoT) und Websites und die damit verbundenen Risiken. Dazu gehören Software-Schwachstellen, fehlende Patches, Fehlkonfigurationen, schwache oder kompromittierte Anmeldedaten und vieles mehr.

Es befasst sich auch mit dem menschlichen Risiko und klärt Mitarbeitende durch regelmäßige Schulungen über potenzielle Bedrohungen und bewährte Verfahren auf. Es legt klare Protokolle fest, die im Falle eines Sicherheitsvorfalls befolgt werden müssen, und fordert die Mitarbeitenden auf, potenzielle Sicherheitslücken und -maßnahmen zu melden. Außerdem werden benutzerfreundliche Sicherheitstools entwickelt, um menschliche Fehler zu reduzieren.

Was sind einige der Leitprinzipien des Exposure Managements?

  • 100 %ige Sichtbarkeit aller Assets und Risiken, damit eine Organisation ihre gesamte Angriffsfläche sehen kann.
  • Einsatz einer risikobasierten Priorisierung, um Ressourcen auf die kritischsten Gefährdungen auszurichten. Zu den Überlegungen gehören Schweregrad/Ausnutzbarkeit, realer Bedrohungskontext und potenzielle Auswirkungen auf das Geschäft.
  • Verwendung von ergebnisbasierten Kennzahlen zur Messung der Wirksamkeit von Maßnahmen zur Reduzierung des Gesamtrisikos.
  • Förderung der Zusammenarbeit zwischen Geschäftseinheiten, Sicherheitsteams, IT-Teams und Führungskräften durch einen datengesteuerten Ansatz für Sicherheitsinvestitionen, der die Sicherheitslage und die Ressourcenzuweisung optimiert.

Dieser letzte Grundsatz ist so wichtig, dass wir uns ansehen sollten, wie er in der Praxis funktioniert.

Zunächst legt die Unternehmensführung die allgemeine Risikotoleranz für das Unternehmen fest. Jeder Geschäftsbereich informiert dann das Sicherheitsteam über die Assets und Systeme, die für seine Prozesse von entscheidender Bedeutung sind. Die Sicherheitsabteilung legt dann fest, wie sie ihre Bemühungen in Übereinstimmung mit diesen Leitlinien ausrichtet.

Nachgelagert werden IT- und Entwicklungsteams, die mit der Risikominderung oder -behebung beauftragt sind, die Prioritäten des Sicherheitsteams befolgen. Die Zusammenarbeit ist an dieser Stelle von entscheidender Bedeutung, da IT-Abteilung und Entwickler die Gründe für ihr Handeln verstehen müssen – andernfalls handeln sie möglicherweise nicht mit der gebotenen Dringlichkeit.

Über die traditionelle Verwaltung von Sicherheitslücken hinaus

Die Verwaltung von Sicherheitslücken ist das Fundament, auf dem viele Cybersicherheitsprogramme aufgebaut wurden. Traditionell lag der Schwerpunkt auf der Identifizierung und Priorisierung von Sicherheitslücken und Schwachstellen in Software auf der Grundlage standardisierter Bewertungssysteme wie dem Common Vulnerability Scoring System (CVSS).

Dies gibt IT- und Cybersicherheitsteams jedoch nur eine eingeschränkte Sicht auf Risiken, sodass sie möglicherweise viel Aufwand betreiben, aber bei weitem keinen optimalen Schutz erreichen. Zu den inhärenten Einschränkungen der Verwaltung von Sicherheitslücken gehören:

  • Begrenzter Umfang: Sie zielt in erster Linie auf Schwachstellen in Betriebssystemen und Software von Drittanbietern ab, während andere Arten von Assets vernachlässigt werden. Dies führt zu blinden Flecken, die moderne Organisationen einer größeren Bandbreite an Bedrohungen aussetzen.
  • Konzentration auf falsche Schwachstellen: Wenn man sich auf CVSS verlässt, kann dies dazu führen, dass sich die Teams auf die falschen Schwachstellen konzentrieren, da CVSS zwar den Schweregrad der Sicherheitslücke (wie leicht eine Sicherheitslücke ausgenutzt werden kann) misst, nicht aber das Risiko (die potenziellen Auswirkungen einer Ausnutzung). Das bedeutet, dass Organisationen der Behebung von Gefährdungen mit hohem Schweregrad Vorrang einräumen könnten, selbst wenn diese nur ein geringes oder gar kein Risiko darstellen, und andere mit niedrigem Schweregrad, die ein hohes Risiko darstellen, ignorieren könnten.
  • Zu viele Schwachstellen: Außerdem werden bei CVSS im Gegensatz zu risikobasierten Bewertungssystemen oft viele Schwachstellen als kritisch eingestuft, was dazu führt, dass Teams viel Aufwand für minimale Ergebnisse betreiben. Viele Gefährdungen könnten theoretisch ausgenutzt werden, werden es in der Praxis jedoch nie. CVSS bewertet außerdem nur Common Vulnerabilities and Exposures (CVEs), während Organisationen auch andere Probleme wie Fehlkonfigurationen angehen müssen. Eine übermäßige Abhängigkeit von CVSS könnte dazu führen, dass sie diese übersehen. Mit Hunderttausenden von CVEs und Dutzenden – manchmal Hunderten – weiteren, die täglich in der National Vulnerability Database veröffentlicht werden, ist leicht zu erahnen, dass die Verwaltung von Sicherheitslücken mit vielen von ihnen möglicherweise nicht zurechtkommt.
  • Aktivitätsbasierte Metriken: Bei der herkömmlichen Verwaltung von Sicherheitslücken wird der Erfolg häufig anhand von Metriken wie der mittleren Zeit bis zur Problemlösung (MTTR) und der Einhaltung von Service-Level-Vereinbarungen (SLA) gemessen. Diese zeigen, ob eine Begrenzung oder Behebung rechtzeitig durchgeführt wurde, aber nicht, ob sie sich auf die Sicherheitslage ausgewirkt hat.

Probleme mit veralteten Ansätzen

Viele kostspielige Sicherheitsverletzungen sind auf die bereits erwähnten Lücken in der Verwaltung von Sicherheitslücken zurückzuführen. Als Hacker 2013 in das Netzwerk von Target eindrangen, war dies auf gestohlene Netzwerk-Zugangsdaten eines Drittanbieters zurückzuführen, wodurch 40 Millionen Kredit- und Debitkartenkonten offengelegt wurden. In jüngster Zeit haben Hacker US-Wasserversorgungs- und Abwasserbehandlungssysteme ins Visier genommen, indem sie eine Sicherheitslücke in programmierbaren Steuerungssystemen ausnutzten, einer speziellen Art von Betriebstechniksystemen.

Laut Verizon hat sich die Nutzung von Sicherheitslücken als Einfallstor von 2023 bis 2024 fast verdreifacht. Sie machen 14 % aller Sicherheitsverletzungen aus und werden durch mehr Angriffe auf ungepatchte Zero-Day-Sicherheitslücken verursacht.

Dieselbe Studie ergab, dass 95 % der IT- und Sicherheitsexperten der Meinung sind, dass KI Sicherheitsbedrohungen gefährlicher machen wird. Dennoch hat fast jeder Dritte keine Strategie, um die Risiken zu bewältigen, die mit generativer KI einhergehen.

Und doch sind sich viele Führungskräfte in Unternehmen nicht bewusst, wie groß die Sicherheitslücken in ihren Organisationen sind. Eine Studie von Ivanti ergab, dass 55 % der IT- und Sicherheitsexperten der Meinung sind, dass Führungskräfte außerhalb der IT-Abteilung die Verwaltung von Sicherheitslücken nicht verstehen, und 47 % dieser Führungskräfte stimmten dem zu.

Und fast zwei von drei der befragten Organisationen investieren noch nicht in kritische Bereiche wie das externe Angriffsflächenmanagement (EASM). EASM ist für ein effektives Exposure Management von entscheidender Bedeutung, da es die kontinuierliche Erkennung, Bewertung und Priorisierung von Risiken umfasst und die Sichtbarkeit bietet, die zum Schutz vor Cyberangriffen erforderlich ist. Durch die Identifizierung und Bewertung von Assets mit Internet-Zugang hilft EASM einer Organisation, ihre Gefährdungslandschaft zu verstehen. So können beispielsweise mit den Tools von EASM Schatten-IT-Anwendungen und -Geräte aufgedeckt werden, die außerhalb eines Sicherheitsbereichs betrieben werden und mögliche Angriffsvektoren schaffen, oder es können Sicherheitslücken bei Drittanbietern und Lieferanten aufgedeckt werden.

Ein umfassenderer Ansatz

Im Jahr 2022 veröffentlichte Gartner einen Bericht, in dem die Notwendigkeit der Umsetzung eines so genannten Continuous Threat Exposure Management (CTEM)-Programms betont wurde. Dieser Bericht legte einen integrierten, iterativen und proaktiven Ansatz zur Priorisierung und Reparatur von Schwachstellen und zur kontinuierlichen Verbesserung der Sicherheitslage fest.

Es wurde das Konzept erörtert, dass eine „ausreichende“ Cybersicherheit pragmatischer und erreichbarer ist als der Versuch, eine „perfekte“ Cybersicherheit zu erreichen. Dies wird erreicht, indem die Risiken, die für eine Organisation am wahrscheinlichsten eine Bedrohung darstellen, ständig identifiziert und priorisiert werden.

CTEM ist eine Struktur zur Verwaltung von Cyberrisiken – stellen Sie es sich vor als ein Framework wie das Cybersecurity Framework (CSF) 2.0 des National Institute of Standards and Technology (NIST) oder die Version 8.1 der Center for Internet Security (CIS) Controls. Es handelt sich um einen definierten Prozess zur kontinuierlichen Identifizierung, Bewertung, Validierung und Minderung von Risiken. Exposure Management ist ein weiter gefasster Begriff, der sich auf die allgemeine Praxis des Managements von Risiken in Bezug auf die Assets eines Unternehmens bezieht.

Verwandte Themen: Wie Ivanti-Lösungen NIST CSF 2.0 entsprechen

Viele Anbieter passen ihre Tools für das Expositionsmanagement an CTEM an und bieten spezifische Module für jede Phase des Prozesses an.

Hier sind die Ansätze, die das Exposure Management nutzt und die es von der Verwaltung von Sicherheitslücken unterscheiden:

  • Erweiterter Umfang: Das Exposure Management wirft ein breiteres Netz aus und deckt eine größere Bandbreite an Risiken ab als nur Software-Risiken; es spürt auch andere auf, wie z. B. schwache Anmeldedaten oder ineffektive Implementierungen zur Verhinderung von Datenverlust. Es umfasst auch Assets, die gefährdet sein könnten, einschließlich falsch konfigurierter Assets, unsicherer Cloud-Umgebungen und IoT-Geräte. Durch die Überwachung und Analyse all dieser Faktoren erhält eine Organisation ein klareres und realistischeres Bild ihrer allgemeinen Risikolage.
  • Risikobasierte Priorisierung: Das Exposure Management priorisiert Risiken auf der Grundlage ihrer potenziellen Auswirkungen auf die Organisation und bewertet dabei Faktoren wie die Kritikalität des Unternehmens, die Ausnutzbarkeit und die Wahrscheinlichkeit eines Angriffs. Dadurch wird sichergestellt, dass die Ressourcen so zugewiesen werden, dass sie zuerst die kritischsten Risiken mindern.
  • Ergebnisbasierte Maßstäbe: Durch Exposure Management verlagert sich der Schwerpunkt von aktivitätsbasierten zu ergebnisbasierten Kennzahlen. Es misst die tatsächliche Wirksamkeit von Cybersicherheitsmaßnahmen bei der Verbesserung der Risikoposition einer Organisation und liefert umsetzbare Erkenntnisse zur Optimierung von Ressourcen und Abwehrmaßnahmen.

Ein Toolkit für effektives Exposure Management

Das Exposure Management erfordert einen mehrschichtigen Ansatz, bei dem eine Vielzahl von Instrumenten und Techniken zum Einsatz kommt. Welche spezifischen Verfahren eine Organisation anwendet, hängt von ihrer Größe, Branche und Risikotoleranz ab.

Sie sind in zwei Hauptkategorien unterteilt: Gefährdungsbewertung und Gefährdungsvalidierung.

Instrumente zur Gefährdungsbewertung

  • Externes Angriffsflächen-Management (External Attack Surface Management – EASM): Diese sind speziell auf die externe Angriffsfläche ausgerichtet:
    • Externe Asset-Identifizierung: Sie identifizieren alle mit dem Internet verbundenen Assets, einschließlich Websites, Anwendungen und Cloud-Ressourcen.
    • Gefährdungserkennung: Sie lokalisieren eine Vielzahl von Gefährdungen in externen Assets, die ausgenutzt werden könnten.
    • Angriffspfad-Analyse: Einige fortgeschrittene Lösungen können potenzielle Angriffspfade simulieren, um zu beleuchten, wie Angreifer Schwachstellen ausnutzen könnten.
    • Deep-Web-Überwachung: Scannen des Deep Web und Dark Web, um exponierte Assets oder geleakte Anmeldedaten zu identifizieren, die für Angriffe verwendet werden könnten.
  • Cyber Asset Attack Surface Management (CAASM): In der Vergangenheit haben CAASM-Tools eine einheitliche Ansicht des gesamten IT-Ökosystems bereitgestellt – die „einzige Informationsquelle“ für alle internen und externen Assets, die eine einheitliche Ansicht der gesamten Angriffsfläche bietet. Heute sind die CAASM-Funktionen zunehmend Teil der EASM-Lösungen, sodass keine separaten CAASM-Tools mehr erforderlich sind.
  • Risikobasiertes Schwachstellenmanagement (Risk-Based Vulnerability Management – RBVM): RBVM-Tools gehen über die traditionelle Verwaltung von Sicherheitslücken hinaus, indem sie Risiken nach folgenden Kriterien priorisieren:
    • Ausnutzbarkeit: Ob sie bereits aktiv ausgenutzt werden.
    • Auswirkungen auf das Unternehmen: Welche Auswirkungen hätte es auf die Organisation, wenn diese Sicherheitslücke ausgenutzt würde?

Plattformen zur Gefährdungsvalidierung

Diese sind für die Gewährleistung der Genauigkeit der Priorisierung der Exposition von entscheidender Bedeutung:

  • Simulation von Einbrüchen und Angriffen: Diese simulieren reale Angriffsszenarien, um die Wirksamkeit von Sicherheitskontrollen zu testen und potenzielle Schwachstellen aufzudecken.
  • Kontinuierliches automatisiertes Red Teaming: Diese bieten fortlaufende Red-Team-Übungen, die das Verhalten von Angreifern simulieren, um die Abwehr kontinuierlich zu testen.
  • Penetrationstests als Dienstleistung (Penetration testing as a Service – PTaaS): PTaaS ermöglicht es einer Organisation, externe Penetrationstester mit der Durchführung eingehender Bewertungen ihrer Sicherheitslage zu beauftragen.

Exposure Management inplementieren

Der Übergang von der Verwaltung von Sicherheitslücken zur Verwaltung von Gefährdungen erfordert eine detaillierte Strategie. Hier sind die wichtigsten Schritte:

  • Aufbau eines Frameworks für die Zusammenarbeit: Die traditionelle Verwaltung von Sicherheitslücken erfolgt oft in einem Silo, wobei Sicherheitsteams ausschließlich für die Identifizierung und Priorisierung verantwortlich sind und das Problem dann an die IT-Abteilung weitergeben, damit diese einen Patch bereitstellt. Aber Exposure Management lebt von der Zusammenarbeit, daher ist es wichtig, damit zu beginnen, diese in drei Bereichen aufzubauen:
    • Funktionsübergreifende Zusammenarbeit: Ihr Sicherheitsteam sollte mit verschiedenen Geschäftsbereichen zusammenarbeiten, um deren kritische Systeme und Daten zu kennen. Wenn man beispielsweise die Anforderungen des E-Commerce versteht, kann man Risiken, die sich darauf auswirken könnten, priorisieren und die Risikobewertung durch die Berücksichtigung der geschäftlichen Auswirkungen präzisieren.
    • Verbesserte Kommunikation: Sorgen Sie für eine gute Kommunikation mit IT-Mitarbeitenden und Entwicklern, die Schwachstellen durch Patches und Codeänderungen beheben werden. Die Notwendigkeit, etwas zu reparieren, lässt sich leichter rechtfertigen, wenn sie die geschäftlichen Auswirkungen verstehen.
    • Engagement auf Vorstandsebene: Metriken, die über grundlegende Aktivitätsebenen (SLAs und MTTR) hinausgehen, sind erforderlich. Fortgeschrittene Metriken, die auf Dashboards visualisiert werden, zeichnen ein klares Bild der Risikolage, sodass Vorstandsmitglieder auch ohne Sicherheitskenntnisse die Effektivität und den ROI von Sicherheitsmaßnahmen erkennen können.
  • Festlegung der Risikotoleranz: Eine Organisation muss zunächst ihre Risikotoleranz festlegen. Es ist eine geschäftliche Entscheidung, bei der die Investition in Sicherheitskontrollen gegen das akzeptable Restrisiko abgewogen wird. Darin müssen die Kosten für das Beheben von Sicherheitslücken, die Überarbeitung von Codes, das Reparieren von Fehlkonfigurationen, die Umsetzung anderer Sicherheitsmaßnahmen und mögliche Geschäftsunterbrechungen enthalten sein. Diese müssen gegen den möglichen finanziellen Schaden und den Reputationsverlust abgewogen werden, die durch eine Sicherheitsverletzung entstehen können. Es gibt keine standardisierten Rechner zur Bestimmung der Risikotoleranz. Es handelt sich um eine dynamische, aber notwendige Aufgabe, die sowohl die Sicherheit – wer liefert die Daten, um die Entscheidung zu treffen – als auch das Management umfasst.
  • Scoping: Definieren Sie die Assets und Risiken, die bewertet werden müssen. Dies kann die Zusammenarbeit mit verschiedenen Geschäftsbereichen beinhalten, um deren kritische Systeme und Daten zu verstehen.
  • Bewertungsinstrumente: Nutzen Sie vorhandene Scanner für Sicherheitslücken, die Sie möglicherweise bereits haben. Um jedoch einen umfassenderen Überblick zu erhalten, sollten Sie in Betracht ziehen, zusätzliche Tools wie EASM-Lösungen zu integrieren, die internetfähige Assets und potenzielle Risiken identifizieren.
  • Priorisierung: Integrieren Sie RBVM, um Risiken basierend auf einer Kombination aus Schweregrad der Sicherheitslücke, Ausnutzbarkeit und potenziellen geschäftlichen Auswirkungen zu priorisieren. So stellen Sie sicher, dass Sie die kritischsten Risiken zuerst angehen.
  • Validierung: Aufgrund möglicher Verzerrungen sollten Sie separate Validierungsinstrumente oder -verfahren in Betracht ziehen, um die Genauigkeit der Priorisierung durch RBVM sicherzustellen.
  • Kontinuierliche Verbesserung: Exposure Management ist ein fortlaufender Prozess und keine Einmalaktion. Überprüfen und verfeinern Sie Ihre Bemühungen regelmäßig, um neuen Bedrohungen immer einen Schritt voraus zu sein.

Die Zukunft des Exposure Management

Die Zukunft des Expositionsmanagements wird durch einen Wechsel von reaktiven zu proaktiven Strategien gekennzeichnet sein. KI und Automatisierung werden entscheidende Werkzeuge sein, um Sicherheitslücken vorherzusagen, Abhilfemaßnahmen zu automatisieren und sich nahtlos in Plattformen für Bedrohungsinformationen zu integrieren. Intern werden Organisationen die Zusammenarbeit ausbauen und neue Tools und Prozesse implementieren, die es ihnen ermöglichen, smartere, effektivere und effizientere Entscheidungen zu treffen.

Dieser ganzheitliche Ansatz wird sich auch auf die Sicherheit der Lieferkette erstrecken, die sich bereits jetzt als essenziell erweist. Außerdem wird Exposure Management bei der Einhaltung der sich weiterentwickelnden regulatorischen Landschaft noch wichtiger werden.

Durch die Integration all dieser Elemente in ein kohärentes Programm zum Risikomanagement können Organisationen ihre Sicherheitslage zu einem Zeitpunkt deutlich verbessern, an dem dies dringend erforderlich ist.