Reduzieren Sie die Bedrohungen für Ihre mit dem Internet verbundenen Assets.
CAASM-Demo anfordernExternal Attack Surface Management (EASM) ist der Prozess der Identifizierung von internen Geschäfts-Assets im öffentlichen Internet, ebenso wie das Monitoring von Schwachstellen, Fehlkonfigurationen der öffentlichen Cloud, offengelegten Zugangsdaten oder anderen externen Informationen und Prozessen, die von Angreifern ausgenutzt werden könnten. Diese Bemühungen stehen im Einklang mit dem Ziel, einen klaren Überblick über den Sicherheitsstatus der Cloud zu erhalten.
Wie bereits erwähnt, können Fehlkonfigurationen eine große Rolle in Bezug auf Ihre Schwachstellen spielen. Die ordnungsgemäße Konfiguration einer Cloud-Umgebung bedeutet, Schutzmaßnahmen gegen digitale Risiken zu implementieren, um sie vor einer breiten Palette an Bedrohungen zu schützen, sei es in Form von absichtlichen Angriffen oder unbeabsichtigten Fehlern – Fehlkonfigurationen, ungenügendes Sicherheitsbewusstsein usw. –, die Angriffen Tür und Tor öffnen.
Das interne Angriffsflächen-Management behandelt die Sicherheit von Assets –einschließlich Menschen, die von Social Engineering wie Phishing betroffen sein könnten – die sich hinter den Firewalls und schützenden Sicherheitsmaßnahmen eines Unternehmens befinden. Diese Vermögenswerte sind theoretisch nicht dem öffentlichen Internet zugänglich und liegen hinter Abwehrmaßnahmen, die die internen Betriebsabläufe und Geschäftsgeheimnisse des Unternehmens schützen.
EASM – auch wenn es ein Teil von ASM ist – ist auf den Schutz der eher kommerziellen Geschäftstätigkeiten ausgerichtet, die über den Schutz seiner internen Sicherheitsmaßnahmen hinausgehen. Dazu gehören öffentlich zugängliche Websites, Anwendungen, E-Commerce-Abläufe und alle Backends, auf die ein Angreifer Zugriff hätte, wenn er diese digitalen Assets ausnutzte.
Der Unterschied zwischen EASM und dem Cyber Asset Attack Surface Management (CAASM) besteht darin, dass sich EASM-Methoden in erster Linie darauf konzentrieren, öffentlich zugängliche Assets zu entdecken und zu schützen, auf die praktisch jeder im Internet Zugriff erhalten kann. CAASM-Methoden konzentrieren sich sowohl auf die interne als auch auf die externe Angriffsfläche, um einem Sicherheitsteam maximale Sichtbarkeit ihrer Angriffsfläche vor und hinter dem Perimeter zu bieten. Eine CAASM-Plattform kann dies über API-Integrationen erreichen, die Zugriff auf den Tech-Stack einer Organisation haben, um diese ganzheitliche Sicht zu ermöglichen.
Das Management externer Angriffsflächen EASM) ist wichtig, da bei öffentlichen, Internet-zugänglichen – oder externen – Assets das Potenzial für Angriffe und Ausnutzung besteht. Es ist wichtig, daran zu denken, dass diese externe Angriffsfläche Bedrohungsakteuren die Tür öffnen kann, um eine interne Angriffsfläche auszunutzen.
EASM-Lösungen werden immer besser darin, die nach außen gerichteten Assets zu identifizieren, die Teil der Angriffsfläche eines Unternehmens werden, da mit jedem öffentlichen Launch neue Angriffsvektoren entstehen. Eine EASM-Lösung sollte in der Lage sein, Threat Feeds für Threat Hunting zu nutzen. Dies ist entscheidend, um zu verstehen, was Bedrohungsakteure auf freier Wildbahn ausnutzen und ob es sich lohnt, das Team zusammenzurufen und ein potenzielles Problem proaktiv anzugehen. Schlüsselaspekte einer proaktiven Bedrohungssuche können sein:
EASM sollte externe Bedrohungsinformationen von der Angriffsoberfläche außerhalb des Netzwerks nutzen können, um Risiken und Bedrohungen richtig zu erkennen und zu priorisieren – von den unmittelbarsten Netzwerkendpunkten bis hin zum Deep- und Dark-Web. Die unzähligen Assets, die Unternehmen jeden Tag ins öffentliche Internet stellen, sind wirklich erstaunlich und bei jedem dieser Assets – wenn es online geht – müssen Überlegungen angestellt werden, um eine potenzielle Ausnutzung zu verhindern.
Externe, proaktive Threat Intelligence ist ein Muss für jedes Cybersecurity-Team, das beabsichtigt, die Angriffsfläche ihres Unternehmens bestmöglich zu schützen. Es ist wichtig, präventive Maßnahmen zu ergreifen, die über ein Netzwerkperimeter hinausgehen, um auf Incidents entlang jeder dynamischen Angriffsfläche reagieren zu können.
EASM funktioniert durch kontinuierliches Monitoring und Entdecken öffentlich zugänglicher Assets im Internet auf potenzielle Schwachstellen, die als Angriffsvektoren ausgenutzt werden können. Sollte dies geschehen, könnten Bedrohungsakteure potenziell auch in die interne Angriffsfläche einer Organisation eindringen.
Tatsächlich sagt Forrester, dass EASM funktioniert, wenn „Tools oder Funktionalitäten, die kontinuierlich nach Internet-Assets suchen, diese entdecken und aufzählen, die eindeutigen Fingerabdrücke der entdeckten Assets feststellen und Gefährdungen sowohl von bekannten als auch von unbekannten Assets identifizieren“. Werfen wir einen Blick auf einige von Forrester ermittelte Anwendungsfälle, die Besonderheiten der EASM-Funktionalitäten veranschaulichen können:
Anhand dieser Anwendungsfälle können wir allmählich verstehen, wie viele Assets jeden Tag mit dem ausdrücklichen Ziel erstellt werden, sich mit dem öffentlichen Internet zu verbinden und die Angriffsfläche einer Organisation von intern nach extern – und damit global – zu erweitern. Externe Threat Intelligence-Feeds sind von entscheidender Bedeutung, um Bedrohungen auf einer externen Angriffsfläche einzudämmen und zu stoppen.
Die Fähigkeiten von EASM haben wir bereits in verschiedenen Abschnitten weiter oben behandelt, wir fassen sie hier jedoch mit einigen Ergänzungen zusammen.
Je nach Anbieter sollten die Engineering-Teams für Threat Intelligence und Erkennungen in der Lage sein, Erkennungen über SaaS bereitzustellen. Das bedeutet, Zugriff auf die neuesten Alerts, Updates und Thrat Intelligence zu haben. EASM-Nutzer sollten die Tools für Bedrohungsmanagement kontinuierlich mit aktuellen Informationen anreichern können.
Ein Security Operations Center (SOC) kann eine EASM-Plattform nutzen, um raschen Zugriff auf Fehlkonfigurationsdaten für alle Assets zu erhalten, die sich hinter dem Perimeter befinden. Von dort aus könnte ein Priorisierungsprozess durchgeführt werden, um festzustellen, welche Assets sofortige Aufmerksamkeit benötigen. An der proaktiven Front kann EASM genutzt werden, um Bedrohungsinformationen für Red, Blue und Purple Teams zu sammeln, die Übungen durchführen.
Eine EASM-Plattform sollte in erster Linie in der Lage sein, Experten dabei zu helfen, Sichtbarkeit in ihre wichtigsten nach außen gerichteten Assets zu erhalten, damit sie priorisieren und Gegenmaßnahmen ergreifen können, bevor Angreifer die Schwachstellen aufspüren.
Die Vorteile von EASM sind tiefgreifend und können einen unglaublich positiven Einfluss auf die Effektivität von proaktiven Sicherheitsmaßnahmen und die gesamte Reputation des Unternehmens haben.
Attack Surface Security: Aktuelles aus dem Rapid7 Blog
Rapid7 Blog: Das 1x1 des Cyber Asset Attack Surface Management