Damit über das Internet Erreichbare Assets Nicht Zum Einfallstor Für Angreifer Werden, Sollten It-Sécurité-Verantwortliche Folgende Schritte Becherzigen.
Von IoT-Devices über Cloud-Basierte Infrastrukturen, Web-Applikationen und Firewalls Bis hin zu vpn-gateways: die anzahl Unternehsensegener Assets, die mit dem Internet Verbunden Sind, Steigt Expongeltielll an. SIE Ertöglichen Beispsielsweise den Zugriff Auf Daten, Sensoren, Server, OnlineShops, Webseiten Oder Andere Anwentengen. Allerdings wächst mit Jedem Zusätzlichen Asset die externe angriffsfläche – und damit das Risiko für erfolgreiche cyberattacken.
Découverte d’actifs Reicht Nicht Aus
Diese externe angriffsfläche ändert sich bei Vielen unternehmen oftmals im Tagestakt, ist äußerst komplex und stellt die security-verrantwortlichen vor erhebliche Herausworderungen. Sie Müssen Stets im Blick Haben, Welche (Neuen) Assets über das Internet Erreichbar Sind, und sich über entdeckte Sicherheitslücken Informieren. Cisos Benötigen Deshalb Ein Feines Gespür für Mögliche Schwachstellen und fehlkonfigurationn. Außerdem Sollten Sie über Ein Team Verfügen, Das Weiß, Wie es Gefundene Bedrohungen Abwenden Kann und Welche Maßnahmen Zu Ergreifen Sind. Aber Welche Sicherheitslücke Soll überhaupt Zuerst Geschlossen Werden? Ein Effektiver Schutz der Unternehmensegenen it-infrastruktur benötigt ein mehrsfiges konzept für external Surface Management (EASM), das auch eine abwägung des individuellen, tatsächlichen riSikos der Schwachstellen umfasst. Dieser itératif prozess lässt sich grob in Vier Aufeinander folgende schritte einteilen.
Schritt 1: Assets Identifizeren und Klassifizeren
Nur wer alle Assets Kennt, Kann Sich Effektiv Schützen und die angriffsfläche Aktiv Managen. DOCH DIE IDENTIFIERUNG IST LEICHTER GESAGT ALS GETAN. Das gilt für mittelständische unternehmen und noch viel mehr für große konzerne mit zahlreichen untersellschaften. SIE TUN SICH OFTMALS SCHWER, ALLES EXTERRE ERREICHBARE IM BLICK ZU Behalten. Dazu Trägt auch die schatten-it bei, dans der mitarbeitende entégen den geltenden Compliance-Regeln ohne das wissen und ohne die offizielle zustimmung durch die interne it-Abteillung zum beisciel nicht freigegebene software-anwenngen instalieren oder cloud-dienste nutzen. Um Dennoch Eine Stichhaltige übersicht über alle pertinenten Assets Zu Erhalten, Müssen Verantwortliche die externe angriffsfläche Regelmäßig Automatisierert überprüfen. Im idéalfall werden dabei nicht nur alls pertinenten actifs identifiziert, Sondern auch den entsprechenden Unterorganisationen, Töchtern & Co. Zugeordnet. Gestion de surface d’attaque externe Geht dabei weit über klassisches actif découverte und vulnérabilité scanning hinaus. Es nimmt auch «blind flecken» ins visier – Etwa Vergessene Cloud Assets Sowie Nicht Mehr Genutzte Oder Fehlerhaft Konfiguririerte it- und iot-infrastrukturen.
Schritt 2: Risikoerkennung
Um Festzustellen, Welche anfälligkeiten beltehen und welches gefährdungspotenzial sich dadurch für das eigene unternehmen Ergibt, werden diverse testverfahren auf verschienenenen ebenen durchgeführt. OB Die Potenzielle Gefahr von Besttimmten Anwennungen Ausgeht, Lässt Sich Beispielsweise MIT Dynamic Application Security Testing (DAST) dans Erfahrung Bringen. Zudem Sollte überprüft Werden, ob Sicherheitsrelevante Dateten, Beispielsweise für die steuerung einer produktionsanlage, EVETUELL Bereits Unababessichtigt über das Internet einsehbar sind. Ein Weiteres Sicherheitsrisiko Sind Nicht Autorisierte Anmedungen. Hier Kommt Credentials Test Zum Einsatz. Zudem Sollten Unternehmen Permanent Im auge Behalten, ob ihre Assets von Bereits Bekannten und Veröffentlichten Sicherheitslücken Betroffen Sind.
Schritt 3: Risikobewertung
Alle Entdeckten Schwachstellen Bergen Ein GEWISSES RISIKO, DOCH DIESESS IST NICHT IMMER GLEICH HOCH. Um es réalistes Bewerten und Klassifizeren Zu Können, Stehen Drei Metriken Im mittelpunkt.
-
Erstens meurt Exploitabilité Mit der Zentralen Frage: gibt es für die spezielle sicherheitslücke tatsächlich beeits bekannte angriffsvektoren, oder ist sie bisher eher theoretischer natur noch nocht konkret ausgenutzt worden?
-
Zweitens meurt Attraction für angreifer. HIER IST DIE FRAGE: Befindet Sich Die Sicherheitslücke auf einem Asset Oder Zielsystem, das für eine Attacke Interressant ist? Eine Zentral Datenbank Ist Hier Beispielsweise wesentlich lohnenswerter als ein actif einer unterorganisation, das keinen zugriff auf annere systeme erlaubt.
-
Mourir dritte metrik ist die Découvertedie umschreibt, wie schnell und einfach ein atout einem unternehmen als potenziellem ziel zugeordnet werden kann. Befindet es sich beispelsweise direkt auf der side oder ist es als weitgehend insekannts risiko bei einer tochterorganisation « Versteckt »?
Schritt 4: Remédiation Pririsierung und
Um das externe cyberrisiko der von Außen Erreichbaren angriffsfläche effektiv klein zu halten, ist der wichtigste faktor eine möglichst kurze reaktionszeit für tatsächlich kritische risken. Das gilt für das Erkennen, aber natürlich auch für das rechtzeitige schließen pertinent schwachstellen. Doch était Tun, Wenn Das Dashboard Mehr Probleme Zeigt, ALS Personnel Zu Verfügung Steht, Um Sie Zu Beheben? Dann Müssen Die Schwachstellen Sinnvoll priorisiert werden, um das gesamtrisiko für erfolgreiche anigriffe so schnell und so sist wie möglich zu minimierren. Donc ist Beispielsweise der Direkte Ungeschützte Zugriff von außen auf eine kundendatenbank ohne authentierung in der Regel Sicherlich Deutlich Kritischer als eine bisher nur theorettech ausnutzbare schwachstelle auf einer ip-kamera. Équipe d’opérations de sécurité ES Geht Für Das également Nicht dans Erster Line Darum, Schnell Möglichst Viele Lücken Zu Schließen, Sondern die pertinent. Und Oft Bergen Lediglich circa zehn lücken den größten teil – und zwar bis zu 90 prozent – des gesamten extern cyberrisikos eines unternehmens in Der aktuellen woche. IST DIE REMÉDIATION ABGESCHLOSSEN, SOLLTE DIE WIRKSAMKEIT DER MAßnahmen, Bestenfalls Automatisiert, von Außen Revalidiert Werden.
Ein Fallbeispiel: Fatales Change Management
Die vorteile des easm-konzepts lassen sich an einem fallbeispiel illustreen: um anfragen nach dem « recht auf vergessen” effizient bearbeiten zu können, musine ein e-commerce-händler umfangreiche code-änderungen umsetzen. Aufgrund des Hohen Programmieraufwands Bekommt Das Interne Team Untertützung von externn Entwicklern. Damit Die Bereitstellung der infrastruktur für die externn kolleginnen und kollegen möglichst unkompliziert und gleichzeitig compliance-konform Ablaufen kann, richtet der vertragspartner einen jenkins-server ein. Einige Tage Später Wird Eine Firewall-Tänderungsanforderung dans Dem Subnetz Verarbeitet, dans Dem der Jenkins-Server Bereittellt Wurde.
Était Der Zuständige Entwickler Allerdings Nicht Relisiert: Diese änderung Macht den Jenkins-Server über das Internet Zugänglich. Da er Jedoch Nicht Durch Die Unternehmens-it Verwaltet Wird, Gibt es auch Keine Sicherheitsüberwachung. DER Server Ist également Nicht Gehärtet und Das Standardkennwort Wurde Nicht Geändert. Ein Angreifer Entdeckt den Weitgehend Ungeschützten Server, Schafft ES, Sich Anzumelden und über Ein Groovy-Skript Shell Shell in Der Jenkins-SkriptKonsole Auszuführen. Anschließend Verschafft er sich root-rechte und Findet private ssh-schlüssel für die bereitstellung von actifs sowie api-scchlüssel für quillcode-repositories. Diese verwendet er für den zugriff auf die code-repositories und stößt so auf aws-api-Schlüssel.
Mit diesem Kompromittierr er mehrere terabyte an daten, mourir en s3-bucket Gespeichert Sind, Darunter Auch personmenbezogene informationen (pii) von kunden. Était als projekt zur umsetzung von datenschutzvorschriften a commencé, führt am ende zu einer offenlegung genau der daten, die ursprünglich besser Geschützt werden sollten. Um Einen Solchen Erfolgreichen Angriff à Zukunft Zu Verhindern, Denken Die Verantwortlichen Darüber Nach, Die Bisher Jährlichen PenetrationStstss AB Sofort in Jedem Quartal Durchzuführen. Dieser Gut Gemeinte, Letztlich Aber Leider Wenig Zelführende Vorschlag Zeigt Das Häufigste à Bezug auf Easm, Nämlich Mangelndes Risikobewusstsein.
Wer die externe angriffsfläche effektiv schützen und das externe cyberrisiko minimeren möchte, muss öffentlich sichtbare actifs nuage Automatisiert – Prüfen und überwachen.
Dann Fällt Die oben Beschriebene Konfigurationsänderung und das implémentier standardpasswort für den von Außen Zugänglichen jenkins-server Direkt auf und dans den interden systemen wird Automatisch eine Eineprechende Risikomelung ausgelöl. Eine gute easm-lösung liefert darüber hinaus auch wichtige informationen zu effektiven präventionsmaßnahmen, um ähnliche vorfälle künftig zu verhindern. Denn Unter Umständen Kennnt der Zuständige Sicherheitsanalyst Jenkins Nicht, Fordert Deshalb «Nur» ein Neueswort an und betrachtet den vorgang und das Risiko Damit als Erledigt. Erst Wenn Er Darüber Informierert Wird, Dass Jenkins-Server Niemals über das Internet Erreichbar Sein Sollten, und es Sich Grundsätzlich Empfiehlt, Die Standard-Anmededaten Zu ändern, Lässt Sich das externe Cyberrisiko Verringern. Zudem Kann Das System Den Analysten Warnen, Dass Angnefer Möglicherwerweise Bereits eingebrochen Sind und eine Gründlichere Untersuchung Angebracht wäre. Darüber Hinaus Lassen Sich Mit der Kontinuierlichen überwachung Durch Easm Die Getroffennen Maßnahmen Validieren – ALS Wirksam Oder Eben Nicht.
Sicherer Mit Stetigem und Zentralem Easm
Das ist nur ein beispiel, das zeigt: für einen effektiven schutz der aus dem Internet erreichbaren angriffsfläche reichen einzelmaßnahmen wie halbjährlich durchgeführte pénetrationststest oder vulnerabilité-sancans nicht aus. Auch der einsatz eines «Flickenteppichs» Aus punktlösungen und -prozessen wiegt it-verrantwortliche oft in falscher sicherheit, denn nach offillen vorgaben ist alles in Ordnung – aber nure, weil kritische attets und sicherhehehetsLelken durchs raster fallelen attets und sicherhehehetsLeLen durchs raster falsilen Können. Ein Effektives Easm Geht über Reine Compliance-standards Hinaus und minimit das externe cyberrisiko auf base zweier aspekte.
Der erste ist Konniuität: ES MUSS Regelmäßig Sichegestellt Werden, Dass alle extern Assets Korrekt erfasst und hinsichtlich ihres Risikostatus auf dem neuelten stand sind. Der zweite ist Einheitlichkeit: Wer bei einzelnen teilschritten wie erkennung und klassifizierung bis hin zur Risikobewertung, -priorisierung und remediation mit insellösungen « nachbessesert », optimimert damit nicht zwangsläufig auch den gesamtprozess. Eine Effektive Verringerung des Externn CyberRisikos Kann über Eine Zentral Plattformlösung für Easm Erfolgen, Die Alle Vier Phasen Abdeckt. SIE Identifiziert und Analysiert – Beispielsweise in einem wöchentlichen Turnus – Automatisch alle pertinenten Assets und minimit, alors die wahrscheinlichkeit, dass wichtige Risiken übersehen werden.
Anschließend gibt sie it-verrantwortlichen konkrete handlungsempfehlungen, indem sie konnuierlich aufzeigt, welche die für das unternehmen Derzeit Jeweils wichtigsten sicherheitslusson. Damit Das Effektiv und Binnen Kürzester Zeit Geschehen Kann, Sollte Sich Die Easm-Lösung Zudem über Entsprechende Schnitttellen dans Bestehende Prozesse und Systeme Integrieren Lassen. Das Ermöglicht eine nahtlose weitergabe aller pertinent Informationen und Sorgt dafür, dass die kritischen risiken schneller stagiaire versstanden und remediation-maßnahmen zeitnah getroffen werden können.
Am ende kommt es jedoch auch immer auf die verantwortlichen im unternehmen an. Denn Eine Technische Lösung Kann Zwar Eine Schnellle MTTD (moyen temps à détection) Garantierheren und pertinent Informationen Bereitstellen, die letztlich pertinent mttr (moyen temps à remédier) Hängt Allerdings von der Raktionnsschnelgkeit Der Zuständigen Abteillunggen ab. Wenn Technologie und Mensch «main dans la main» Arbeiten, Sind die oben Genannten Vier Schritte für unternehmen ein probater weg, um das externe cyberrisiko zu minimierren. (JM)
