Attack Surface Management im Unternehmen implementieren
Zunehmende Cloud-Nutzung und dezentralisierte Arbeitsumgebenen lassen sie Angriffsflächen von Unternehmen stetig wachsen. Eine strategische, organisierte Überwachung tut not.
Ein Programm zur Verwaltung von Angriffsflächen (ASM-Programm, Attack Surface Management) hat die folgenden drei Hauptziele:
Identifizieren und Reduzieren der Angriffsfläche des IT-Ökosystems.
Verringern der Sicherheitsprobleme und Schwachstellen innerhalb der verbleibenden Angriffsfläche.
Kontinuierliches Überwachen der Angriffsfläche auf Änderungen sowohl bei den Vermögenswerten als auch bei den Bedrohungen und bei Bedarf das Einleiten entsprechender Abhilfemaßnahmen.
Was ist eine Angriffsfläche?
Die Angriffsfläche einer Organisation ist die Summe aller ihrer exponierten IT-Ressourcen, unabhängig davon, ob sie sicher oder anfällig, bekannt oder unbekannt sind oder aktiv genutzt werden oder nicht. Die Angriffsfläche umfasst sowohl nach innen gerichtete Ressourcen – beispielsweise private Netzwerke, Geräte und Apps – als auch nach außen gerichtete Ressourcen – beispielsweise Web-Apps und öffentliche Cloud-Dienste.
Im Wesentlichen ist eine Angriffsfläche alles, was Cyberkriminelle vor Ort, in der Cloud, in untergeordneten Netzwerken und in den Umgebungen von Drittanbietern entdecken können und werden. Dazu gehören Hardware, Software, SaaS, Cloud-Assets, IoT-Geräte und vieles mehr.
Im Zeitalter der digitalen Transformation sind moderne Angriffsflächen umfangreich und nehmen weiter zu.
Was ist das Attack Surface Management und warum ist es wichtig?
Attack Surface Management ist ein kontinuierlicher Prozess, der Folgendes umfasst:
Identifizierung, Inventarisierung, Klassifizierung und Überwachung aller digitalen Ressourcen eines Unternehmens, einschließlich interner und externer Ressourcen.
Bewertung der Gefährdung von Vermögenswerten durch Cyberbedrohungen.
Analyse und Entschärfung potenzieller Angriffsvektoren und Schwachstellen.
Das Attack Surface Management ist von entscheidender Bedeutung für den Schutz sensibler Daten, die Erreichung und Aufrechterhaltung einer starken Sicherheitslage und die Verhinderung von Cyberangriffen und Datenschutzverletzungen.
Wie man ein Programm zur Verwaltung von Angriffsflächen aufbaut
Viele ASM-Anbieter versprechen, dass ihre Produkte den geeigneten Rahmen für die Erkennung, Inventarisierung, Priorisierung und Überwachung aller digitalen Ressourcen bieten. Die Wahrheit ist jedoch, dass ein wirklich erfolgreiches Programm zur Verwaltung von Angriffsflächen ein mehrstufiges, multidisziplinäres Unterfangen ist, das Unterstützung auf Vorstandsebene und die enge Zusammenarbeit von Sicherheits-, Netzwerk-, Entwicklungs- und HR-Teams sowie von einzelnen Geschäftsbereichsleitern erfordert.
Schritt 1. Verstehen Sie Ihr Netzwerk und wo es verwundbar ist
Zunächst sollten sich die Sicherheits- und Netzwerkteams mit der Bestandsermittlung befassen, das heißt, sie sollten die digitalen Bestände prüfen, auf die Bedrohungsakteure stoßen könnten, wenn sie das Unternehmen untersuchen, und bisher unbekannte Bestände identifizieren.
Ein Inventar digitaler Bestände sollte bereits vorhanden sein, aber jetzt ist ein guter Zeitpunkt, um den Risikomanagementprozess zu überdenken und gegebenenfalls Risikobewertungen durchzuführen. Erkundigen Sie sich bei den Geschäftsbereichen, ob die Klassifizierungen, die Geschäftskritikalität und die Risikobewertungsstufen auf dem neuesten Stand sind. Dies ermöglicht eine korrekte Prioritätensetzung bei der Sanierung von Anlagen auf der Grundlage des Cyberrisikos. Dies ist auch eine Gelegenheit, überflüssige oder doppelte Anwendungen und Dienste zu identifizieren und zu entfernen - eine der einfachsten Möglichkeiten, um die Angriffsfläche zu verringern.
Achten Sie besonders auf die Überprüfung von DevOps. Entwickler neigen dazu, neue Ressourcen und Arbeitslasten zu erstellen und in Betrieb zu nehmen, ohne sich unbedingt an die Sicherheitsrichtlinien zu halten. Sie verwenden möglicherweise Dienste, Code und Infrastrukturen von Drittanbietern, wodurch sich die Angriffsfläche schnell vergrößert. Die Implementierung von Infrastruktur als Code (IaC) kann viele dieser Probleme eindämmen und verhindern, dass anfällige Konfigurationen Assets für Angriffe offen lassen.
Die Segmentierung des Netzwerks ist eine weitere wichtige Methode zur Verringerung der Angriffsfläche. Durch die Unterteilung eines Netzwerks in Segmente wird seine Oberfläche in kleinere Bereiche aufgeteilt, was die Überwachung und Kontrolle des Zugangs und des Datenverkehrsflusses erleichtert.
Schritt 2. Bewertung der ASM-Plattformen und der Funktionen, die sie bieten sollten
Sobald die Anzahl der bekannten und zulässigen Assets festgelegt ist, ist es an der Zeit, eine ASM-Plattform auszuwählen und einzusetzen, die einen kontinuierlichen Einblick in bestehende oder neu auftretende Sicherheitslücken bietet, wenn sich die Bedrohungslandschaft und die IT-Umgebungen ändern.
Nehmen Sie sich die Zeit, die Funktionen von Anbietern von Angriffsflächenmanagement zu bewerten und zu testen. Zu den wichtigsten Funktionen, auf die Sie achten sollten, gehören die folgenden:
Automatisierte Erkennung. Jedes Produkt sollte in der Lage sein, die Basislinie der Angriffsfläche zu ermitteln und gleichzeitig die Zahl der Fehlalarme zu begrenzen. Früher war die Erkennung eine manuelle und zeitraubende Tätigkeit. Stellen Sie also sicher, dass keine wiederholten manuellen Eingaben erforderlich sind und dass der Prozess mit nur einem Domänennamen oder einer IP-Adresse durchgeführt werden kann.
Kontinuierliche Überwachung. Die Angriffsflächen sind dynamisch, daher ist eine Sichtbarkeit in Echtzeit entscheidend. Bei der Überwachung sollten die dringendsten Sicherheitsrisiken auf der Grundlage der folgenden Kriterien priorisiert werden: - Wie wahrscheinlich ist es, dass ein Vermögenswert angegriffen wird und wie auffindbar er ist. - Bedrohungsdaten und bekannte Schwachstellen. - Wie leicht es ausgenutzt werden kann und wie anfällig es nach einem Angriff ist. - Komplexität der erforderlichen Abhilfemaßnahmen.
Intelligente ASM-Plattformen können Schwachstellen herabstufen - selbst wenn sie öffentlich als hoch kritisch eingestuft werden -, wenn sich eine Anlage in einer Umgebung befindet, in der sie nicht ausgenutzt werden kann.
Der Blick von außen nach innen. Um ihre Netzwerke wirksam vor Angriffen zu schützen, müssen Sicherheitsteams den digitalen Fußabdruck des Unternehmens mit den Augen eines potenziellen Eindringlings sehen. Auf diese Weise können sie Schwachstellen und Schwachpunkte beseitigen, bevor sie ausgenutzt werden können. Stellen Sie sicher, dass das zu evaluierende Produkt in der Lage ist, die Angriffsfläche aus der Sicht eines böswilligen Hackers zu analysieren. Dies ist die Exposition, auf die es wirklich ankommt.
Handlungsorientierte Warnungen. Jede Warnung sollte mit einem Kontext und einer Anleitung zur Behebung versehen sein, um das Schwachstellenmanagement zu unterstützen und es den Sicherheitsteams zu ermöglichen, sich auf die kritischsten Schwachstellen zu konzentrieren und angemessen zu reagieren. Zu den Informationen sollten die betroffene Anlage, ihre IP-Adresse, ihr Zweck, ihr Eigentümer und die Angabe gehören, ob sie aktiv ist und Verbindungen zu anderen Anlagen hat. Auf diese Weise können die Teams die Bedeutung und den Grad der Gefährdung innerhalb der Umgebung einschätzen und entscheiden, ob die Anlage offline genommen, gelöscht, gepatcht oder nur überwacht werden soll.
Einfache Integration. Das ausgewählte ASM-Produkt muss sich in bestehende Cybersicherheitsplattformen und -dienste integrieren lassen, beispielsweise SIEM, Security Orchestration, Automation und Response sowie Extended Detection and Response. APIs machen die Integration einfacher.
Schritt 3. Einführung von Richtlinien und Schulungen nach der Einführung von ASM
Sobald das Programm zur Verwaltung der Angriffsfläche eingeführt ist, tauchen zweifellos versteckte oder unbekannte Objekte auf. Diese müssen untersucht und gegebenenfalls entfernt oder durch geeignete Sicherheitskontrollen geschützt werden. Das Sicherheitsteam muss herausfinden, wie und warum diese Objekte angelegt wurden, damit Prozesse und Verfahren eingeführt werden können, um ihr zukünftiges Auftreten zu verhindern oder zu kontrollieren.
Hier spielen die Personalabteilung, die Leiter der Geschäftsbereiche und das für die Schulung des Sicherheitsbewusstseins zuständige Team eine entscheidende Rolle. Die neuen Prozesse und Verfahren müssen in die täglichen Arbeitsabläufe eingebettet werden, wobei die entsprechenden Schulungen darauf zugeschnitten sein müssen, ihre Existenz zu erklären und zu bestätigen. Die Entwicklungsteams brauchen besondere Aufmerksamkeit, vor allem, wenn diese neuen Richtlinien die Lebenszyklen der Anwendungs- und Dienstentwicklung betreffen.
Nehmen Sie sich die Zeit, die Rolle von ASM für den Schutz des Unternehmens und die Gefahren der Schatten-IT zu erläutern und die Regeln für den Schutz von Daten und Vermögenswerten für Remote-Mitarbeiter zu verstärken. Fernarbeit vergrößert die Angriffsfläche und kann leicht neue digitale Werte hervorbringen.
Jetzt ist auch der richtige Zeitpunkt, um das Prinzip der geringsten Rechte (POLP) zu überdenken und sicherzustellen, dass die Rollen und Rechte richtig zugeordnet sind. Stellen Sie sicher, dass Ihr Unternehmen über Richtlinien verfügt, die verhindern, dass ehemalige Mitarbeiter die Angriffsfläche erweitern. Diese ASM-Verfahren sollten nach jeder Art von Fusion, Akquisition oder Übernahme durchgeführt werden, um geerbte Vermögenswerte und Angriffsflächen einzubeziehen, ebenso wie bei der Einführung neuer Technologien oder Dienste.
Nehmen Sie sich die Zeit, die Rolle von ASM für den Schutz des Unternehmens und die Gefahren der Schatten-IT zu erläutern und die Regeln für den Schutz von Daten und Vermögenswerten für Remote-Mitarbeiter zu verstärken.
Schritt 4. Messung des Erfolgs der ASM-Plattform und des Programms
Nach der Einführung der ASM-Plattform sollten Sie den Erfolg anhand von Metriken bewerten. Sie sollten einen signifikanten Rückgang der Zahl der unerwarteten neuen Anlagen sowie eine schnellere Erkennung und Behebung von Schwachstellen feststellen. Außerdem sollten Sie einen Rückgang der Zahl der Vorfälle feststellen, die auf die Stufe „ernst“ oder „kritisch“ eskalieren.
Die Personalabteilung sollte ihre Mitarbeiter, vor allem diejenigen, die aus der Ferne arbeiten, weiterhin daran erinnern, dass sie dafür verantwortlich sind, die Angriffsflächen so gering wie möglich zu halten.
Heutzutage ist die Angriffsfläche eines Unternehmens immer schwieriger zu verteidigen, was zum Teil auf die Migration zu Cloud-Plattformen und -Diensten sowie dezentralisierte Arbeitsumgebungen zurückzuführen ist. Aus diesem Grund ist ein umfassendes ASM-Programm wichtiger denn je, um IT-Ökosysteme sicher zu halten. Ein Programm zur Verwaltung von Angriffsflächen trägt dazu bei, die Sicherheit Ihres Unternehmens zu erhöhen, viele der Schlüsselelemente gängiger Sicherheitsrahmen zu erfüllen und wichtige gesetzliche Vorschriften einzuhalten.
