Attack Surface Management – ASM

Aktuelles Problem

Unternehmen müssen ein schnell wachsendes Ökosystem von Geräten, Tools und Assets in ihren Netzwerken überwachen, deren Anzahl immer mehr zunimmt. Dennoch haben sie nur einen begrenzten Einblick in diese expandierende digitale Umgebung.

Mehr als die Hälfte der von Ivanti befragten IT-Fachleute sind wenig zuversichtlich, in den nächsten 12 Monaten einen schädlichen Sicherheitsvorfall verhindern zu können. Und mehr als jeder Dritte gibt an, dass er schlechter darauf vorbereitet ist, Bedrohungen zu erkennen und auf Vorfälle zu reagieren, als es noch vor einem Jahr der Fall war.

Warum dies wichtig ist

Das Problem ist nicht nur eine Frage der Komplexität (d. h. die Zunahme von Geräten und Assets, die zu Zersiedelung von Daten und Ineffizienz führt). Dieses wachsende Ökosystem sorgt für eine immer größere Anzahl von Schwachstellen und Gefährdungen, die zu Datenschutzverletzungen, Ausfallzeiten, mangelnder Einhaltung von Compliance-Vorschriften, Reputationsrisiken und vielem mehr führen können.

Aus diesen und weiteren Gründen ist das Attack Surface Management  (ASM) heute ein wichtiger Bestandteil der Cybersicherheitsabwehr. Und die Untersuchungen von Ivanti zeigen, dass zunehmend in ASM investiert wird.

Die ASM-Strategie unterstützt die kontinuierliche Erkennung von neuen Bedrohungen und aktiven Angriffen sowie eine datengesteuerte Methode für die Priorisierung und für das Management von Schwachstellen.

Da die Angreifer immer raffinierter werden, müssen Unternehmen diesen Bedrohungen begegnen, indem sie sich in ihren Gegner hineinversetzen und wirksame Strategien entwickeln: Wo würde ein Angriff beginnen? Welche Systeme würden zuerst angegriffen? Wie würde der Angriff ablaufen?

Aktuelles Problem

Unternehmen bemühen sich vergeblich um eine Priorisierung der Schwachstellen, die es zu entschärfen gilt – aufgrund einer Vielzahl komplexer Faktoren:

Externe Faktoren: eine sich schnell entwickelnde Bedrohungslandschaft; eine noch nie dagewesene Anzahl an und Geschwindigkeit des Auftretens von Schwachstellen und Angriffen 

Interne Faktoren: schlechter Einblick in die Angriffsfläche; Unfähigkeit, den Schweregrad bestehender Schwachstellen einzuschätzen; Schwierigkeiten bei der Koordinierung und Übermittlung einer Reaktion

Obwohl 64 % der Unternehmen angeben, dass sie über eine dokumentierte Methode für die Priorisierung von Sicherheitspatches verfügen, sind die Ergebnisse beim genauen Hinsehen beunruhigend.

Sicherheitsfachleute stufen fast alle Arten von Schwachstellen (z. B. aktive Angriffe, für die Einhaltung von Vorschriften erforderliche Patches, Richtlinien der Unternehmensleitung) als mindestens „mäßig dringend”, wenn nicht sogar als „äußerst dringend” ein. Und wenn alle Schwachstellen Priorität haben … dann gibt es im Prinzip keine.

Warum ist dies so wichtig?

Angesichts des anhaltenden Sicherheitsfachkräftemangels müssen die Teams ihre Ressourcen effektiv einsetzen, um die Sicherheit ihrer Unternehmen zu gewährleisten — deshalb ist es so wichtig, die Risikobewältigung des Unternehmens zu priorisieren.

Wie funktioniert das? ASM verwendet Algorithmen und Methoden, um Risikobewertungen zu erstellen, die die Risiken auf der Grundlage von Faktoren wie der Wahrscheinlichkeit eines Angriffs, dem Schweregrad des Risikos, den potenziellen negativen Auswirkungen und mehr priorisieren.

Diese Art von Risikomanagement und -optimierung ist angesichts der Menge an internen und externen Daten, die Sicherheitsfachleute überwachen und analysieren müssen, von entscheidender Bedeutung. Das Ergebnis? Weniger Ausfallzeiten, weniger Geschäftsunterbrechungen und eine insgesamt bessere Cybersicherheitslage.

Prioritäten setzen, Daten harmonisieren und Automatisierung nutzen

In der heutigen digitalen Landschaft definieren wir neu, was ein Asset ist. Es geht nicht mehr nur um physische Geräte. Es entstehen unzählige Arten von Assets, die geschlossene Netze in offene Systeme verwandeln, die auf IP-Protokollen basieren. Dieser Wandel hat den „Explosionsradius” für Unternehmen jeder Größe erheblich erweitert und setzt sie aufgrund von Fehlkonfigurationen und der Exposition gegenüber dem Internet erhöhten Risiken aus. 

Ich empfehle, das Prinzip „DEER” anzuwenden: Aufdeckung (Discover), Auflistung der Risiken (Enumerate exposures), Abhilfe (Remediate). 

Die eigentliche Herausforderung für das DEER-Prinzip ist die schiere Menge an Daten, die Unternehmen nutzen müssen. Im Durchschnitt wirken sich 60 bis 70 verschiedene Datenquellen auf jedes Unternehmen aus. Es gibt fünf Eigenschaften, die Unternehmen haben sollten, um all diese Daten effektiv zu verwalten:

1. Die Fähigkeit, die Daten zu übernehmen.  
2. Die Fähigkeit, die Daten zu normalisieren.  
3. Die Fähigkeit, die Daten zu kennzeichnen.  
4. Die Fähigkeit, die Daten auf der Grundlage der Absichten eines Angreifers zu priorisieren.  
5. Ein Verständnis für die Prioritäten des Unternehmens. 

Sobald Sie eine klare Priorisierung vorgenommen haben, müssen Sie eine sehr solide Abhilfestrategie entwickeln. Und jeder dieser Schritte kann mit einem Shift-Left (entwicklerorientiert) oder einem Shift-Right (sicherheitsorientiert) durchgeführt werden.

Als Nächstes kommt die Automatisierung, bei der das Service-Management eine Rolle spielen kann. Entwickeln Sie automatisierte Workflows für die Geräteverwaltung und schreiben Sie Tickets für Entwickler, Ops- und Sicherheitsteams. Erstellen Sie dann automatisierte Workflows, um sicherzustellen, dass die Abhilfemaßnahmen mit nur wenigen menschlichen Eingriffen durchgeführt werden können.

Dr. Srinivas Mukkamala
Chief Product Officer, Ivanti

Schwachstellen in der Lieferkette erkennen und einkalkulieren

Unternehmen müssen der Sicherheit von Lieferketten und Anbietern mehr Aufmerksamkeit schenken. Um dies effektiv zu tun, sollten Sie sich die folgenden vier Regeln zu eigen machen: 

1. Legen Sie klare Sicherheitsanforderungen für Anbieter fest, die mit Ihren Unternehmensrichtlinien übereinstimmen und den Branchenvorschriften wie GDPR und HIPAA entsprechen. Diese Standards sollten allen Vertrieblern und Lieferanten klar mitgeteilt werden. 
2. Führen Sie gründliche Risikobewertungen Ihres Lieferantennetzes durch, um herauszufinden, inwieweit die einzelnen Lieferanten die aktuellen Sicherheitsanforderungen erfüllen. Veranstalten Sie regelmäßige Audits und Konformitätsprüfungen, um die Einhaltung von Compliance-Vorschriften zu gewährleisten. 
3. Vergewissern Sie sich, dass Anbieter ein integrierter Bestandteil Ihres Incident-Response-Plans (IRP) sind, insbesondere wenn sie Zugang zu den Systemen und Daten Ihres Unternehmens haben. Dadurch wird sichergestellt, dass es einen vordefinierten Prozess für das Management von Zwischenfällen mit Anbietern gibt. 
4. Stellen Sie sicher, dass Sicherheitsmaßnahmen in die vertraglichen Vereinbarungen mit Anbietern aufgenommen werden, um sie in die Verantwortung zu nehmen und ein gegenseitiges Verständnis der Rolle aller Beteiligten bei der Aufrechterhaltung der Sicherheit zu schaffen. 

Vor allem sollten Sie mit den Anbietern zusammenarbeiten und einen regelmäßigen Austausch über potenzielle Bedrohungen und Möglichkeiten zur gemeinsamen Verbesserung der Sicherheitsmaßnahmen anregen.

Daren Goeson 
Senior Vice President of Product Management, SUEM, Ivanti

Denken Sie daran: Ein ausgefeiltes Attack Surface Management ist vor allem dynamisch.

Unternehmen müssen sich über neue externe Risiken im Klaren sein – vornehmlich über solche, die für ihre spezifischen Branchen und Märkte typisch sind – und darüber, wie diese Risiken mit internen Schwachstellen zusammenwirken.  

Sie können Risiken nicht ohne Kontext bewerten. Ihr Sicherheitsteam könnte eine Schwachstelle in der Software eines Lieferanten finden, die es mit „5” (d. h. mittelmäßig) einstuft. Das ist eigentlich nicht so tragisch. Aber ein Angreifer könnte sie anders klassifizieren und sich denken: „Das ist zwar nur eine weniger kritische Schwachstelle, aber wenn ich sie mit einer anderen Schwachstelle zusammen nutze, dann habe ich gute Chancen, die Sicherheit des Unternehmens anzugreifen". 

Die Software für das Management der Angriffsfläche und die Festlegung von Prioritäten müssen die Dynamik jeder Schwachstelle und jeder Entdeckung berücksichtigen, die es gibt. Wenn sich Schwachstellen verändern, wenn sie mit Ransomware in Verbindung gebracht oder ausgenutzt werden, kann eine ASM-Lösung erkennen, wie diese Prioritäten dynamisch gesteuert und geändert werden können. 

Der Stand unserer Software ändert sich täglich, aber einige dieser Änderungen können intern nicht umgesetzt werden. Jemand anderes kann unsere Angriffsfläche beeinflussen und verändern, indem er einen kleinen Fehler ausnutzt – und dann hat das Ganze plötzlich höchste Priorität. Ein gutes Attack Surface Management ist also sehr dynamisch, berücksichtigt Trends und bewertet das Risiko auf der Grundlage aktueller Daten ständig neu.

Rex McMillan
Vice President of Product Management, Ivanti

Zum einen basiert dieser Report auf zwei Umfragen, die Ivanti Ende 2023 und 2024 durchgeführt hat: „Everywhere Work Report 2024: Flexible Arbeit stärken” und „Report zum Stand der Cybersicherheit 2024: Wendepunkt”. Insgesamt wurden im Rahmen dieser beiden Studien 15.000 Führungskräfte, IT-Fachleute und Büroangestellte befragt. Zum anderen bezieht sich der Report auf Untersuchungen aus Drittquellen.

^{*Gartner, Mitigate Enterprise Software Supply Chain Security Risks, von Dale Gardner, 31. Oktober 2023 GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA sowie weltweit und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten. Alle Rechte vorbehalten.}