Inhaltsverzeichnis

Was ist der Lebenszyklus des Attack Surface Management (ASM)?

Inhaltsverzeichnis

Die Verwaltung von Angriffsflächen ist der systematische Prozess der Identifizierung, Bewertung und Sicherung der digitalen Ressourcen und Eintrittspunkte einer Organisation, die für Cyberangriffe anfällig sind. Im Gegensatz zu anderen Cybersecurity-Ansätzen berücksichtigt eine Lösung zur Verwaltung der Angriffsfläche Sicherheitsrisiken proaktiv und aus der Sicht des Angreifers.

Der Lebenszyklus des Angriffsflächen-Managements ermöglicht aggressivere Taktiken, die nach Schwachstellen auf der digitalen Angriffsfläche suchen, um die allgemeine Sicherheitslage zu verbessern. Dieser Lebenszyklus-Ansatz ist von entscheidender Bedeutung, denn er bietet einen dynamischen Rahmen, der Sicherheitsteams hilft, Cyberrisiken proaktiv zu erkennen und zu mindern.

 

Die 6 Stadien von Cyberangriffen

Bevor wir uns mit den Details des Lebenszyklus der Angriffsfläche befassen, sollten Sie verstehen, wie Bedrohungsakteure die Risikobasis einer Organisation bewerten und ausnutzen. Das Wissen über die sechs Phasen eines Cyberangriffs liefert den Kontext zu den vier Schritten des Lebenszyklus und wie sie einen Angreifer an verschiedenen Punkten vereiteln können.

  • Erkundung: Sie recherchieren, identifizieren und wählen Ziele aus (z.B. vor Ort befindliche digitale Assets, über das Internet zugängliche Assets, Daten in Cloud-Umgebungen oder eine andere externe Angriffsfläche mit öffentlich zugänglichen Zugangspunkten), mit denen sie ihre Ziele erreichen können.
  • Bewaffnung und Lieferung: Bestimmen Sie, welche Methoden zur Übermittlung bösartiger Nutzdaten (z.B. Ransomware) geeignet sind.
  • Exploitation - Bereitstellen eines Exploits gegen verwundbare Anwendungen oder Systeme, um erste Eintrittspunkte in die Organisation auszunutzen.
  • Installation - Installieren Sie Malware, um weitere Operationen durchzuführen, wie z. B. die Aufrechterhaltung des Zugriffs, die Persistenz und die Eskalation von Privilegien.
  • Befehl und Kontrolle - Einrichtung eines Befehlskanals zur Kommunikation und Weitergabe von Informationen zwischen den infizierten Geräten und ihrer Infrastruktur (z. B. zum Austausch von Überwachungsinformationen, zur Fernsteuerung von Systemen oder zur Durchführung von Datenverletzungen).
  • Handlungen zur Erreichung des Ziels - Sie handeln nach ihren Motivationen, um ihr Ziel zu erreichen.

 

4 Phasen des Lebenszyklus für die Verwaltung der Angriffsfläche

Der Lebenszyklus der Angriffsfläche umfasst vier Schritte oder Phasen, die Sicherheitsteams zum Schutz des digitalen Angriffsdienstes durchlaufen. Es handelt sich um einen kontinuierlichen Risikobewertungsprozess, der das Schwachstellenmanagement erleichtert und die Cybersicherheit des Unternehmens verbessert.

Der proaktive Ansatz des Angriffsflächen-Management-Lebenszyklus hilft bei der Identifizierung des gesamten Anlageninventars, insbesondere der risikobehafteten und unbekannten Anlagen, damit Sicherheitsteams Probleme beheben und die Sicherheitsbewertungen verbessern können.

Stufe 1: Entdeckung und Klassifizierung von Vermögenswerten

Lösungen für die Verwaltung von Angriffsflächen identifizieren und kartieren Systeme und Anwendungen mithilfe automatischer Tools und Techniken zur Erkennung von Ressourcen. Dazu gehören solche, die zu externen Cloud-Basen von Drittanbietern gehören, entfernte und lokale Endpunkte sowie die Geräte der Benutzer (d.h. Bring Your Device oder BYOD). Spezialisiertes externes Angriffsflächen-Management (EASM) wird manchmal verwendet, um digitale Assets Dritter in Multi-Cloud-Umgebungen zu entdecken.

Lösungen zur Verwaltung von Angriffsflächen sind in der Lage, die Herausforderungen bei der Aufdeckung von nicht autorisierten oder unbekannten Assets zu meistern. ASM nutzt oft viele der gleichen fortschrittlichen Aufklärungsmethoden wie ein potenzieller Angreifer. Diese Systeme können kontinuierlich nach digitalen Assets suchen und diese häufig in Echtzeit identifizieren.

Sobald die digitalen Assets identifiziert sind, werden sie in einem detaillierten Inventar katalogisiert, das Hardware, Software, Anwendungen, Datenspeichergeräte und alle über das Internet zugänglichen Assets umfasst. Das Inventar wird auf der Grundlage von Kritikalität, Sensibilität und potenzieller Risikoexposition klassifiziert. Eine kontinuierliche Überwachung und regelmäßige Aktualisierung des Inventars sind unerlässlich, um sicherzustellen, dass der Prozess zur Verwaltung der Angriffsfläche effektiv bleibt.

Stufe 2: Risikobewertung und Schwachstellenmanagement

Mit einem klaren Überblick über alle Assets können Organisationen eine umfassende Risikobewertung durchführen, um potenzielle Angriffsvektoren wie veraltete Software, Fehlkonfigurationen oder ungesicherte Endpunkte zu identifizieren.

Es gibt verschiedene Methoden, um identifizierte Vermögenswerte auf Schwachstellen zu analysieren und zu bewerten. Zu diesen Methoden gehören automatisierte Schwachstellen-Scans, Penetrationstests (Pen-Tests), Konfigurations-Audits, Software-Kompositionsanalysen und die Integration von Threat Intelligence. Dadurch erhalten Sicherheitsteams Einblick in Cyber-Risikofaktoren, wie Softwarefehler, Fehlkonfigurationen und bekannte Schwachstellen.

Lösungen zur Verwaltung von Angriffsflächen verwenden Bedrohungsmodelle zur Analyse von Angriffsvektoren, um die Wahrscheinlichkeit eines Angriffs und die potenziellen Auswirkungen zu bewerten. Die Modellierung von Bedrohungen hilft Sicherheitsteams, den Umfang der Bedrohungen für ein bestimmtes System einzugrenzen und Prioritäten zu setzen. Es verschafft ihnen Einblicke, die Zeit sparen und eine rasche Beseitigung von prioritären Bedrohungen ermöglichen.

Die von Lösungen für das Angriffsmanagement und die kontextbezogene Priorisierung bereitgestellten Informationen verbessern das Schwachstellenmanagement, indem sie Sicherheitsteams bei der Festlegung des besten Ansatzes für die Behebung von Schwachstellen helfen.

Sicherheitsteams können Risikobewertungen und kontextbezogene Daten nutzen, um die Beseitigung von Cyber-Risiken auf der Grundlage von Prioritätskriterien wie Ausnutzbarkeit, Auswirkung und früheren Angriffen zu planen. Dies ist wichtig, da oft mehr Schwachstellen identifiziert werden als Ressourcen zur Verfügung stehen, um sie schnell zu beheben.

Stufe 3: Implementierung von Sanierungsmaßnahmen

Das Mapping und die Kontextualisierung der Angriffsfläche werden genutzt, um die Abhilfemaßnahmen zu steuern. Auf der Grundlage von Prioritäten werden automatisierte und manuelle Taktiken zur Verwaltung der Angriffsfläche eingesetzt. Lösungen zur Verwaltung von Angriffsflächen helfen Sicherheitsteams bei der Festlegung eines Arbeitsablaufs zur Behebung von Risiken und stellen Tools zur Verfügung, die einige Aufgaben automatisieren, z. B:

  • Aktualisierungen der Konfiguration
  • Implementierung der Datenverschlüsselung
  • Installation von Patches und Updates
  • Laufende Identifizierung von Vermögenswerten und damit verbundene Risikobewertungen
  • Sanierungskontrollen
  • Verwaiste Domains zurückziehen
  • Scannen von Vermögenswerten Dritter auf Risiken und Schwachstellen
  • Fehlersuche im System

Bei der Behebung von Problemen, die automatisierte Tools übersehen können, werden verschiedene manuelle Taktiken eingesetzt. Diese Taktiken umfassen:

  • Fachkundige Analyse durch erfahrene Sicherheitsteams, um komplexen Bedrohungen auf den Grund zu gehen
  • Von Menschen geleitete forensische Analysen, um die Art und die Auswirkungen von Datenschutzverletzungen zu verstehen
  • Manuelle Audits und Überprüfungen von Systemen, Richtlinien und Verfahren
  • Regelmäßige manuelle Penetrationstests

Darüber hinaus kann die Sanierung auch umfassendere Maßnahmen beinhalten. Dazu gehören die Implementierung von Least-Privilege-Zugriff, Multifaktor-Authentifizierung (MFA)sowie Schulungs- und Sensibilisierungsprogramme, die die Bedeutung der Einhaltung von Sicherheitspraktiken stärken.

Die Beseitigung digitaler Angriffsflächen wird von verschiedenen Teams durchgeführt, darunter:

  • Sicherheitsteams - kümmern sich um das Risiko- und Schwachstellenmanagement.
  • IT-Betriebsteams: Nehmen Sie Aktualisierungen an den betroffenen Systemen vor.
  • Entwicklungsteams: Integrieren Sie Erkenntnisse über Angriffsvektoren in ihren Softwareentwicklungszyklus (SDLC), wenn sie digitale Ressourcen erstellen, aktualisieren und pflegen.

Stufe 4: Kontinuierliche Verbesserung und Anpassung

Die Verwaltung der Angriffsfläche ist ein fortlaufender Prozess. Die oben beschriebenen Schritte sollten kontinuierlich wiederholt werden, um sicherzustellen, dass Veränderungen in der Umgebung, die neue Angriffsvektoren und sich entwickelnde Angreifertaktiken einführen können, frühzeitig erkannt werden.

Zu den Tools zur Verwaltung der Angriffsfläche, die die laufende Überwachung auf neue Schwachstellen und Bedrohungen unterstützen, gehören:

  • Konfigurationsmanagement-Tools - erkennen und beheben Fehlkonfigurationen in Netzwerkgeräten und -systemen gemäß vordefinierter Sicherheitsrichtlinien.
  • Intrusion Detection und Intrusion Prevention-Systeme (IDPS)- überwachen kontinuierlich verdächtige Aktivitäten und können potenzielle Bedrohungen automatisch blockieren oder vor ihnen warnen.
  • Patch-Management-Systeme - erkennen automatisch veraltete Software und wenden die notwendigen Patches und Updates an, um Sicherheitslücken zu schließen.
  • Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM) - sammeln und analysieren Daten aus verschiedenen Quellen und automatisieren Alarmierungs- und Reaktionsprozesse auf der Grundlage identifizierter Bedrohungen.
  • Schwachstellen-Scanner - scannen Systeme und Anwendungen auf bekannte Schwachstellen und bieten regelmäßige Updates und Warnungen.

Die kontinuierliche Überwachung ermöglicht die Verwaltung der Angriffsfläche, um neue Schwachstellen und Angriffsvektoren in Echtzeit zu erkennen und zu bewerten. Diese Warnungen liefern Sicherheitsteams die Informationen, die sie benötigen, um sofortige und effektive Abhilfemaßnahmen einzuleiten. Darüber hinaus können Umgebungen angepasst werden, um sich besser auf die Abwehr von sich entwickelnden und Zero-Day-Bedrohungen vorzubereiten.

 

Strategien zur Vervollständigung des ASM-Lebenszyklus

Der Lebenszyklus der Angriffsflächenverwaltung (ASM) ist für eine starke Cybersicherheit entscheidend. Es ist jedoch wichtig zu erkennen, dass ASM allein nicht ausreicht, um Ihre Organisation vollständig zu schützen.

Im Folgenden finden Sie einige Strategien, mit denen Sie den ASM-Lebenszyklus ergänzen und Ihre Sicherheit weiter stärken können:

Reduzierung der Angriffsfläche (ASR)

Die Reduzierung der Angriffsfläche (ASR) ist ein entscheidender Teil des Prozesses zur Verwaltung der Angriffsfläche, der die Implementierung von Strategien zur Minimierung der Anzahl potenzieller Eintrittspunkte für einen Angreifer beinhaltet.

Zu den wichtigsten Maßnahmen gehören die Forderung nach einer mehrfachen Überprüfung, bevor der Zugriff gewährt wird (z.B. Multi-Faktor-Authentifizierung), die Aktualisierung von Software und Systemen mit den neuesten Patches (z.B. Patch-Management) und die Beschränkung der Zugriffsrechte von Benutzern auf das für ihre Rolle unbedingt erforderliche Maß (z.B. das Prinzip der geringsten Berechtigung, PoLP).

Verwaltung von Angriffsflächen im Internet (CASM)

Die Verwaltung von Angriffsflächen im Cyberspace lässt sich in bestehende Datenquellen integrieren, so dass Organisationen einen kontinuierlich aktualisierten, einheitlichen Überblick über ihre gesamte Angriffsfläche erhalten. Dadurch erhalten Sicherheitsteams Einblicke in ihren Anlagenbestand und können auf der Grundlage von Kontextdaten Prioritäten für die Behebung von Problemen setzen.

CASM behebt Systemfehler und Compliance-Probleme mit seiner umfassenden Transparenz und kontinuierlichen Überwachung und Verwaltung dieser Assets. Diese Funktionen gewährleisten die Compliance mit Sicherheitsrichtlinien und Compliance-Standards.

Verwaltung externer Angriffsflächen (EASM)

Externes Angriffsflächen-Management (EASM) identifiziert und sichert die über das Internet zugänglichen Assets einer Organisation und verhindert Cyber-Bedrohungen von außerhalb des internen Netzwerks. Der Prozess identifiziert alle öffentlich zugänglichen Systeme, Dienste und Endpunkte, einschließlich Websites, Webanwendungen, Server und Cloud-basierte Ressourcen.

EASM analysiert diese externen Ressourcen auch auf Schwachstellen, Fehlkonfigurationen oder veraltete Komponenten, die von Bedrohungsakteuren ausgenutzt werden könnten. Diese kontinuierliche Überwachung der Angriffsfläche im Internet ermöglicht es den Sicherheitsteams, neu auftretende Risiken zu erkennen.

Dienstleistungen zum Schutz vor digitalen Risiken (DRPS)

Bei den Services zum Schutz vor digitalen Risiken handelt es sich um spezialisierte Lösungen für die Cybersicherheit, die sich auf die Erkennung, Überwachung und Abschwächung digitaler Risiken außerhalb des traditionellen Sicherheitsbereichs konzentrieren. Es umfasst Threat Intelligence, Markenschutz, Erkennung von Datenlecks, Betrugs- und Phishing-Erkennung sowie Reputationsüberwachung. Mit DRPS können Sicherheitsteams ihr Schwachstellenmanagement für Cyberrisiken über das interne Netzwerk hinaus ausweiten.

 

Herausforderungen, denen der ASM-Lebenszyklus begegnet

Umgang mit Cloud-basierten Angriffsvektoren

Der Lebenszyklus der Angriffsflächenverwaltung ist mit vielen Herausforderungen verbunden, insbesondere mit der Verwaltung von Cloud-basierten Angriffsvektoren, die komplexe Multi-Cloud-Umgebungen umfassen. Es bietet Tools und Prozesse, mit denen Sicherheitsteams einen umfassenden Einblick in Cloud-Umgebungen erhalten.

Dies ermöglicht eine gründlichere Identifizierung und Verwaltung von Assets in Multi-Cloud- und Hybrid-Cloud-Service-Modellen, einschließlich SaaS, IaaS und PaaS.

Überlegungen zu IoT und mobilen Mitarbeitern

Lösungen für die Verwaltung von Angriffsflächen berücksichtigen IoT und mobile Mitarbeiter. Sowohl Remote-Mitarbeiter als auch IoT-Geräte haben zu einer Ausweitung der Perimeter und Angriffsflächen beigetragen.

Der Lebenszyklus der Angriffsverwaltung hilft Sicherheitsteams bei der Überwachung dieser verteilten Benutzer und Geräte. Es erleichtert auch die Verwaltung von Sicherheitsmaßnahmen, um deren Risiken zu minimieren. Dazu gehören die Verwaltung der Endpunktsicherheit und die kontinuierliche Überwachung und Aktualisierung von Sicherheitsmaßnahmen in der sich ausbreitenden IoT- und Remote Worker-Landschaft.

Sich entwickelnde Bedrohungslandschaft

Die Einhaltung der Phasen des Lebenszyklus der Angriffsfläche beschleunigt die Erkennung von und die Reaktion auf sich entwickelnde und neue Bedrohungen. Die kontinuierliche Überwachung liefert Erkenntnisse, die aktuelle Schwachstellen identifizieren und zukünftige Bedrohungen vorhersehen lassen. Dies ermöglicht einen proaktiven Cybersecurity-Ansatz, mit dem Sicherheitsteams den Bedrohungen immer einen Schritt voraus sind.

Diese Fähigkeiten werden durch Threat Intelligence über neue Bedrohungen, Angriffsmuster und Bedrohungsakteure unterstützt. Es nutzt auch ethische Hacker, die einen anderen Blickwinkel als automatisierte Systeme haben. Ihre Simulationen von Cyberangriffen finden Angriffsvektoren, bevor die Bedrohungsakteure sie ausnutzen können.

 

FAQs zum Lebenszyklus der Angriffsflächenverwaltung

Die Verwaltung von Angriffsflächen ist der kontinuierliche Prozess der Identifizierung, Katalogisierung, Überwachung und Sicherung der digitalen Ressourcen einer Organisation (z. B. Netzwerkinfrastruktur, Anwendungen, Endpunkte und Cloud-Dienste). ASM ist wichtig, weil es Sicherheitsteams hilft, Eintrittspunkte aktiv zu verwalten, an denen ein Angreifer potenziell Zugang zu Systemen oder Daten erhalten könnte.
Die herkömmliche Cybersicherheit verteidigt häufig bekannte Anlagen und Schwachstellen im Netzwerk der Organisation. ASM verfolgt einen umfassenderen Ansatz und deckt interne und öffentlich zugängliche externe digitale Assets ab (z. B. Cloud-Dienste und andere Systeme und Anwendungen von Drittanbietern). Darüber hinaus ist ASM proaktiv und verfolgt einen kontinuierlichen Ansatz bei der Erkennung und Bewertung von Vermögenswerten, um mit den sich entwickelnden Umgebungen und Bedrohungen Schritt zu halten.
Der ASM-Lebenszyklus umfasst mehrere entscheidende Komponenten, darunter die Erkennung von Vermögenswerten, die Verwaltung von Schwachstellen, die Integration von Threat Intelligence, die Überwachung der Compliance, die Risikobewertung und -minderung, die Reaktion auf Vorfälle und die Anpassung der Strategie auf der Grundlage sich entwickelnder Bedrohungen und kritischer Geschäftsanforderungen.
Verwandter Inhalt
Was ist Attack Surface Management?
Attack Surface Management (ASM) ist der Prozess der kontinuierlichen Identifizierung, Überwachung und Verwaltung aller internen und externen, mit dem Internet verbundenen Ressource...
Unit 42® Dienstleistungen zur Bewertung der Angriffsfläche
Eine Angriffsflächen-Bewertung kombiniert die Einsicht in Ihre über das Internet zugänglichen Assets mit umsetzbaren Empfehlungen, die Ihnen helfen, Bedrohungen abzuschwächen und G...
Der Zustand der globalen Angriffsfläche
Sehen Sie sich unsere Infografik an, um die 5 wichtigsten Ergebnisse unserer globalen Analyse der Angriffsfläche zu verstehen, die auf beobachteten Scandaten und nicht auf selbstbe...
KuppingerCole 2023 Leadership Compass Report für Angriffsflächen-Management.
Ein umfassender Leitfaden für den ASM-Markt

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen