External Attack Surface Management

Jedes Unternehmen, egal ob groß oder klein, verfügt heutzutage über ein gewisses Maß an IT-Infrastruktur, die sich je nach Unternehmensgröße und -zweck sehr unterschiedlich zusammensetzt. Sie umfasst dabei Rechner, Netzwerke und Server, aber auch jegliche Arten von Software und Netzwerkdiensten; demnach auch alle im Internet exponierten IT-Systeme.

Die Corona-Pandemie hat sich auf die ohnehin mit hoher Geschwindigkeit fortschreitende Digitalisierung als weiterer Katalysator ausgewirkt, denn an vielen Stellen musste schnell zusätzliche Infrastruktur aufgebaut werden, um Mitarbeitern mobiles Arbeiten und Home-Office zu ermöglichen. Wenn es schnell gehen muss, werden auch Fehler gemacht und nicht immer wird der Sicherheitsaspekt vollständig mitbetrachtet. So wurden in dieser Zeit eine Vielzahl unsicherer Schnittstellen und Systeme online gestellt. Mit der IT-Infrastruktur wächst auch eine Angriffsfläche.

Attack Surface Management

Digitale Angriffsfläche

Jedes Unternehmen mit IT-Infrastruktur, praktisch alle Unternehmen, verfügen also auch über eine digitale Angriffsfläche. Nicht jedes Unternehmen ist sich dessen in vollem Umfang bewusst. Und auch wenn ein Bewusstsein für die potenzielle Angriffsfläche vorhanden ist, so stellt die Identifikation und die kontinuierliche Überwachung der Angriffsfläche IT-Verantwortliche mitunter vor große Herausforderungen.

Die digitale Angriffsfläche eines Unternehmens, setzt sich insbesondere aus den Teilen der IT-Infrastruktur zusammen, die im Internet exponiert, d.h. von außen sicht- und erreichbar sind. Sie ist damit auch als die Gesamtzahl der Wege definiert, die Cyberkriminelle nutzen können, um ein Netzwerk von außerhalb zu kompromittieren, d.h. sensible Daten auszuspähen oder zu manipulieren

Es gibt auf der einen Seite also Risikofaktoren der eigenen IT-Infrastruktur, die unmittelbar im Verantwortungs- und Einflussbereich des Unternehmens liegen und die Angreifer als potenzielles Einfallstor nutzen können. Hierzu zählen Faktoren, wie der Einsatz veralteter Software, offene Schnittstellen oder schlicht Fehlkonfigurationen im eigenen Netzwerk. Oftmals gibt es auch Bestandteile der IT-Infrastruktur, die längst nicht mehr benötigt und gewartet werden, aber noch immer online und in Vergessenheit geraten sind und damit ein großes Risiko für mögliche Angriffe darstellen.

Auf der anderen Seite vergrößert sich die Angriffsfläche auch durch Faktoren, auf die das Unternehmen nur bedingt unmittelbar Einfluss nehmen kann, die aber ebenfalls einen großen Schaden anrichten können. Hierunter fallen Themen wie Phishing, durchgesickerte Zugangsdaten, Identitätsdiebstahl, verwundbare Partner oder Drittanbieter, die über sensible Unternehmens-informationen verfügen, bzw. deren Dienste genutzt werden.

Externe digitale Angriffsfläche

Attack Surface Management Tool

In der Praxis müssen Unternehmen demnach nicht nur eine große, sondern vor allem auch eine sehr dynamische Angriffsfläche vor Cyberkriminellen verteidigen, was nicht selten mit einem hohen manuellen Aufwand verbunden ist. An dieser Stelle unterstützt ein Attack Surface Management Tool und ermöglicht das kontinuierliche Monitoring der eigenen, dynamischen Angriffsfläche mit dem Ziel diese möglichst klein und sicher zu halten.

So besteht eine Hauptaufgabe des Angriffsflächen-Management im ersten Schritt darin, die mit dem Internet verbunden IT-Assets des Unternehmens zu identifizieren und zu analysieren. Dabei werden mit minimalem Input (Email-Adresse, primäre Domains, ggf. IPs) bekannte und unbekannte Bestandteile der IT-Infrastruktur ausfindig gemacht und inventarisiert. Die rechtzeitige Information darüber, ob etwas aus der eigenen Infrastruktur unbeabsichtigt online gestellt worden ist, z.B. ein Testsystem oder ob möglicherweise ein Dritter eine Domain auf den eigenen Firmennamen registriert hat, kann im Zweifelsfall vor weitaus größeren Schäden bewahren als wenn ein solcher Vorgang über einen längeren Zeitpunkt unbemerkt bliebe.

Bestandteile des Attack Surface Management:

Entdecken von IT-Assets (Scan)
Inventarisierung und Klassifizierung
Risikobewertung und Sicherheitseinstufung
Kontinuierliche Überwachung
Überwachung relevanter IT-Sicherheitsvorfälle und Identitätsverletzungen

Mithilfe von regelmäßigen Scans sammelt das Tool die benötigten Informationen automatisiert und kontinuierlich aus dem von außen frei zugänglichen Teil des Datenverkehrs, sodass keine Auswirkungen oder gar Beeinträchtigungen der Unternehmens-IT entstehen. Eine manuelle Konfiguration ist dafür nicht zwingend notwendig.

Damit eignet sich ein Attack Surface Management Tool nicht nur zur effektiven Analyse, dem Monitoring und der kontinuierlichen Verbesserung des eigenen Sicherheitsstatus, sondern auch zur Risikobewertung von Lieferanten, Partnern und anderen Drittparteien.

Beispiele für mögliche IT-Assets:

Webanwendungen, Dienste und APIs
Cloud-Speicher und Netzwerkgeräte
Domainnamen, SSL-Zertifikate und IP-Adressen
Backends
E-Mail Server

Nach dem Entdecken der relevanten Assets erfolgt eine auf Experten-Knowhow basierende, aber automatisierte, Risikobewertung und Sicherheitseinstufung der Ergebnisse, die in einer klar priorisierten Darstellung mit konkreten Handlungsempfehlungen mündet. Anhand dieser kann der CISO (Chief Information Security Officer) oder das zuständige IT-Team die Angriffsfläche reduzieren und mögliche Einfallstore schließen. Die Betrachtung der Assets und Risiken erfolgt dabei nicht zeitlich isoliert pro Scanvorgang, sondern kontinuierlich im Zeitverlauf in Verbindung mit dem Aufbau einer Historie.

Zusätzlich zur Identifikation und Analyse der IT-Assets bietet das Tool die Möglichkeit, das Clear- und Darkweb in Bezug auf relevante IT-Sicherheitsvorfälle wie Datendiebstähle oder Identitätsverletzungen zu überwachen.

Warum wird Attack Surface Management für Unternehmen immer wichtiger?

Parallel zu den in den meisten Unternehmen wachsenden IT-Infrastrukturen steigt gleichzeitig die Anzahl von Cyberangriffen und die Professionalität, mit der diese durchgeführt werden von Jahr zu Jahr stark an. Im Jahr 2021 wird der durch Cyberkriminalität verursachte Schaden auf ca. 6 Billionen USD geschätzt¹ - im Vergleich dazu: das Bruttoinlandsprodukt (BIP) von Deutschland (der 4. größten Volkswirtschaft der Welt) liegt bei ca. 3,8 Billionen USD².

Jeden Tag werden 320.000 neue Schadprogramme entwickelt³ und oft liegt diesem “Erfindergeist” eine monetäre Motivation zu Grunde. Ein beliebtes Ziel ist es zum Beispiel, wichtige Unternehmensdaten zu extrahieren oder zu verschlüsseln, um im Anschluss vom Eigentümer der Daten ein Lösegeld zu fordern (Ransomware). Da es sich bei den Angreifern nicht selten um Profis handelt, die unternehmerisch denken und ihren Profit maximieren wollen, gehen sie bei ihren Angriffen möglichst effizient vor und greifen automatisiert eine Vielzahl von Unternehmen gleichzeitig an. Besonders gefährdet sind also die Unternehmen, die ihre eigene Angriffsfläche nur unzureichend kennen und aus diesem Grund bekannte Sicherheitslücken über einen längeren Zeitraum unverschlossen lassen. Ein umfassendes Attack Surface Management Tool hilft an dieser Stelle beim kontinuierlichen Aufdecken, Beseitigen und Monitoren von Schwachstellen.

Die Advanced IT-Security Solutions GmbH hat sich zum Ziel gesetzt, Unternehmen und deren IT-Infrastuktur dabei zu unterstützen, ihre digitale Angriffsfläche zu verstehen und präventiv zu schützen.

Sichern Sie sich jetzt Ihren kostenlosen Beta-Zugang zum AIS “Findalyze” Attack Surface Explorer.

Quellen:
1) https://cybersecurityventures.com/annual-cybercrime-report-2020/
2) https://de.statista.com/statistik/daten/studie/157841/umfrage/ranking-der-20-laender-mit-dem-groessten-bruttoinlandsprodukt/
3) https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html