Entdecken, beheben und schützen Sie gefährdete Angriffsflächen.
Exposure Management (EM) ist der Prozess der Auseinandersetzung mit den Zugriffspunkten – oder Angriffsvektoren – und digitalen/physischen Assets entlang der Angriffsfläche einer Organisation, von denen der gesamte Risikostatus erhöht werden kann, da sie durch Bedrohungsakteure und Verstöße gefährdet sind.
Bei einer genaueren Betrachtung, wie eine Sicherheitsorganisation mit der Gefährdung durch Bedrohungen umgehen kann, gibt es viele Wege, die CISOs und andere Fachkräfte einschlagen können. Eine der umfassenderen Lösungen ist jedoch das Management der Cyber-Asset-Angriffsfläche (Cyber Asset Attack Surface Management, CAASM). Mit diesem Tool können Organisationen eine umfassende Bestandsaufnahme ihrer digitalen Assets durchführen, um jederzeit mehr Sichtbarkeit ihres Sicherheitsstatus zu erhalten.
Allerdings konstatiert Gartner®: „Ohne ein breit gefächertes Engagement sind die meisten Gefährdungsmanagement-Teilbereiche, beispielsweise die Schwachstellenanalyse, nicht in der Lage, effektiv zu funktionieren. Die frühzeitige Einbindung von Abwehr-Teams und die Entwicklung von Mobilisierungsprozessen sind für den Erfolg von entscheidender Bedeutung.“
Cybersecurity-Mitarbeiter müssen die Zustimmung der Stakeholder einholen, die nicht nur das Budget kontrollieren, sondern auch die aktuellen KPIs vorgeben, von denen die Richtung – und damit der Stand der digitalen Risiken – des Unternehmens bestimmt wird .
Zu diesem Zweck wird in der Gartner-Studie auch empfohlen, dass Verantwortliche für Sicherheit und Risikomanagement „die Geltungsbereiche der Gefährdungsanalyse basierend auf den geschäftlichen Schlüsselprioritäten und Risiken entwickeln und dabei die potenziellen geschäftlichen Auswirkungen einer Kompromittierung berücksichtigen, anstatt sich in erster Linie allein auf den Schweregrad der Bedrohung zu konzentrieren.“
Exposure Management ist im Wesentlichen ein Oberbegriff, der verschiedene Methoden zum Schutz und zum Ergreifen von Gegenmaßnahmen für potenzielle Schwachstellen entlang der Angriffsfläche eines Unternehmensnetzwerks beinhaltet – sowohl innerhalb als auch außerhalb der Cloud. Um Unklarheiten zu vermeiden, lassen Sie uns auf einige der konkreten Möglichkeiten eingehen, wie Organisationen Gefährdungen und Bedrohungen erfolgreich bewältigen können.
Exposure Management und Vulnerability Management (VM) decken im Wesentlichen ähnliche Funktionen ab – das Schließen von Lücken in einem Netzwerk und seinen Systemen/Anwendungen – aber VM kann als Unterfunktion des Gefährdungsmanagements betrachtet werden.
Einfach ausgedrückt: EM schützt das Netzwerkperimeter, hinter dem sich die im Netzwerk ausgeführten Systeme und Anwendungen befinden. Gartner ist jedoch davon überzeugt, dass „EM die heutigen Praktiken des Schwachstellen-Managements ersetzen wird.“ Im Wesentlichen könnte die Kategorie EM über VM eingeordnet werden und bei der Gesamtkategorie läge der Schwerpunkt auf Lösungen, welche die Netzwerk-Angriffsflächen vor Eindringen schützen und ihre Systeme gegen Schwachstellen absichern sollten.
Cybersecurity-Teams suchen in der heutigen Zeit häufiger nach einer Darstellung der Gesamtheit potenzieller Gefährdungen entlang der Netzwerk-Angriffsfläche, unabhängig davon, ob es sich um eine Fehlkonfiguration in einem (Identitätss und Access Management (IAM)- Protokoll oder um eine Schwachstelle handelt, die aktiv ausgenutzt wird und sofort priorisiert werden muss, um Gegenmaßnahmen zu ergreifen.
Diese umfassendere Sichtweise, die ähnliche Gegenmaßnahmen zusammenführt, könnte durchaus zum Aufkommen konsolidierter Tools führen, mit denen die subtileren Unterschiede in der Bandbreite der möglicherweise ausnutzbaren Probleme angegangen werden können. Diese Tools sollten die Fähigkeiten haben, mehrere Ergebnisse zu ermöglichen und die Effizienz zu steigern.
EM ist wichtig, weil es notwendig ist, Tools zu verwenden, die dazu beitragen, Schwachstellen zu identifizieren und patchen, die potenziell von Bedrohungsakteuren ausgenutzt werden könnten. EM ist auch deshalb wichtig, weil es – wie bereits erwähnt – ein Thema und eine Plattform ist, das/die viele unterschiedliche Funktionen beinhalten kann.
Attack surface management (ASM) ist der Prozess, die Sichtbarkeit in einer sich ständig verändernden Netzwerkumgebung aufrechtzuerhalten, damit Sicherheitsteams Schwachstellen schließen und sich gegen aufkommende Bedrohungen entlang des Netzwerks verteidigen können.
Beim externen Attack Surface Management (EASM) geht es um die Identifizierung interner Firmen-Assets, die im öffentlichen Internet präsent sind, sowie um die Überwachung auf Schwachstellen, Fehlkonfigurationen der öffentlichen Cloud, offengelegten Zugangsdaten oder anderen externen Informationen und Prozessen, die von Angreifern ausgenutzt werden könnten.
Das Management der Cyber-Asset-Angriffsfläche (CAASM) bietet eine einheitliche Übersicht aller Cyber-Assets. So kann das Sicherheitspersonal gefährdete Assets und potenzielle Sicherheitslücken durch Datenintegration, Konvertierung und Analytics identifizieren. Es ist als maßgebliche Quelle für Asset-Informationen vorgesehen, im Zusammenhang mit Eigentum, Netzwerk und Geschäft.
Digital Risk Protection (DRP) ist der Prozess zum Schutz digitaler Werte und der Markenreputation vor externen Bedrohungen. DRP-Lösungen arbeiten unter der Prämisse, dass Organisationen die Aktivitäten von Bedrohungsakteuren zu ihrem Vorteil nutzen können, um Angriffe zu erkennen, bevor sie stattfinden. DRP nutzt Erkenntnisse aus dem Monitoring von Cyber Threat Intelligence (CTI), um praxisrelevante Schutzbereiche aufzuzeigen.
Das Auffinden und Korrigieren von Lücken, Schwachstellen, Fehlern in der Authentifizierungskonfiguration und vielen anderen Sicherheitsproblemen sind Aktionen, die Cybersecurity-Teams meist rasch durchführen müssen. EM-Plattformen sind wichtig, weil sie viele Fähigkeiten beinhalten, die es Sicherheitsteams ermöglichen, genau das zu tun.
Es ist wichtig, die Funktionen eines gesamten EM-Lifecycle zu kennen, da die Auswirkungen dieser Prozesse bestimmen, welche Art von Programm eine bestimmte Organisation mit bestimmten Anforderungen letztlich implementiert, um das Unternehmen am besten zu unterstützen. Werfen wir einen Blick auf den grundlegenden EM-Lifecycle:
Das Automatisieren dieser Prozesse ermöglicht es Cybersecurity-Mitarbeitern, Gefährdungen und Risikoebenen schnell zu validieren und Systeme für eine schnellere Priorisierung und Remediation zu erstellen. Ein EM-Programm-Lifecycle ist keine Plug-and-Play-Implementierung.
Dazu sind Prozesse erforderlich, die von Stakeholdern aus der gesamten Organisation mit unterschiedlichen Prioritäten vereinbart werden. Aber die Arbeit, die in die Entwicklung dieses maßgeschneiderten Programms investiert wurde, ist das, was an Geld und Stress erspart wird, auf lange Sicht durchaus wert.
Wie wir gelernt haben, gehört mehr zu EM als Gefährdungen durch das Internet und potenzielle Bedrohungsakteure. Aber welche positiven Auswirkungen und Vorteile kann ein effektives EM-Programm auf das Geschäft und seinen Gewinn haben?
Stakeholder müssen in der Lage sein, das Risiko richtig einzuschätzen, um potenzielle Bedrohungen zu bestimmen. Wenn festgestellt wird, dass bestimmte Faktoren zu einem bestimmten Zeitpunkt einfach nicht als Risiko betrachtet werden, dann folgt daraus, dass etwas, das sonst als Gefährdung betrachtet werden könnte, möglicherweise als keine solche kategorisiert wird.
Wenn die Bedrohungen entsprechend ihrem Risikowert richtig eingeschätzt werden, können höherrangige interne Stakeholder – CISO, IT-Leitung, Führungsteam – den Nutzen, den Cybersecurity dem Unternehmen im Endeffekt bringen kann, deutlicher erkennen, indem sie Gefährdungen richtig kategorisieren und sie in der Reihenfolge ihrer tatsächlichen Priorität angehen.
Durch die verbesserte Fähigkeit, zu priorisieren und schneller zu handeln, kann die Implementierung einer effektiven EM-Plattform den Sicherheitsstatus der Organisation rasch verbessern. Eine stärkerer Sicherheitsstatus bedeutet außerdem, dass interne und externe Richtlinien und Vorschriften wahrscheinlich häufiger eingehalten werden, was dem Unternehmen wiederum eine bessere Compliance-Position verschafft.
In Bezug auf die Netzwerkzugriffskontrolle (Network Access Control, NAC) liegt die größte Stärke von EM wahrscheinlich darin, dazu beizutragen, dass Schwachstellen lokalisiert und Gefährdungen beseitigt werden, die nicht vorhanden sein sollten. Sobald dies erfolgt ist, verbessert es die Fähigkeit des Security Operations Center (SOC), die Kontrolle darüber zu automatisieren, wer Zugriff auf das Netzwerk erhält – und die hinauszuwerfen, die kein Recht haben, dort zu sein.