Source: www.csoonline.com – Author:
Analyse
28 November 20249 Minuten
Risikomanagement
Damit über das Internet erreichbare Assets nicht zum Einfallstor für Angreifer werden, sollten IT-Security-Verantwortliche folgende Schritte beherzigen.
Foto: NicoElNino – shutterstock.com
Von IoT-Devices über Cloud-basierte Infrastrukturen, Web-Applikationen und Firewalls bis hin zu VPN-Gateways: Die Anzahl unternehmenseigener Assets, die mit dem Internet verbunden sind, steigt exponentiell an. Sie ermöglichen beispielsweise den Zugriff auf Daten, Sensoren, Server, Onlineshops, Webseiten oder andere Anwendungen. Allerdings wächst mit jedem zusätzlichen Asset die externe Angriffsfläche – und damit das Risiko für erfolgreiche Cyberattacken.
Asset Discovery reicht nicht aus
Diese externe Angriffsfläche ändert sich bei vielen Unternehmen oftmals im Tagestakt, ist äußerst komplex und stellt die Security-Verantwortlichen vor erhebliche Herausforderungen. Sie müssen stets im Blick haben, welche (neuen) Assets über das Internet erreichbar sind, und sich über entdeckte Sicherheitslücken informieren. CISOs benötigen deshalb ein feines Gespür für mögliche Schwachstellen und Fehlkonfigurationen. Außerdem sollten sie über ein Team verfügen, das weiß, wie es gefundene Bedrohungen abwenden kann und welche Maßnahmen zu ergreifen sind. Aber welche Sicherheitslücke soll überhaupt zuerst geschlossen werden? Ein effektiver Schutz der unternehmenseigenen IT-Infrastruktur benötigt ein mehrstufiges Konzept für External Attack Surface Management (EASM), das auch eine Abwägung des individuellen, tatsächlichen Risikos der Schwachstellen umfasst. Dieser iterative Prozess lässt sich grob in vier aufeinander folgende Schritte einteilen.
Schritt 1: Assets identifizieren und klassifizieren
Nur wer alle Assets kennt, kann sich effektiv schützen und die Angriffsfläche aktiv managen. Doch die Identifizierung ist leichter gesagt als getan. Das gilt für mittelständische Unternehmen und noch viel mehr für große Konzerne mit zahlreichen Untergesellschaften. Sie tun sich oftmals schwer, alles extern Erreichbare im Blick zu behalten. Dazu trägt auch die Schatten-IT bei, in der Mitarbeitende entgegen den geltenden Compliance-Regeln ohne das Wissen und ohne die offizielle Zustimmung durch die interne IT-Abteilung zum Beispiel nicht freigegebene Software-Anwendungen installieren oder Cloud-Dienste nutzen. Um dennoch eine stichhaltige Übersicht über alle relevanten Assets zu erhalten, müssen Verantwortliche die externe Angriffsfläche regelmäßig automatisiert überprüfen. Im Idealfall werden dabei nicht nur alle relevanten Assets identifiziert, sondern auch den entsprechenden Unterorganisationen, Töchtern & Co. zugeordnet. External Attack Surface Management geht dabei weit über klassisches Asset Discovery und Vulnerability Scanning hinaus. Es nimmt auch “blinde Flecken” ins Visier – etwa vergessene Cloud Assets sowie nicht mehr genutzte oder fehlerhaft konfigurierte IT- und IoT-Infrastrukturen.
Schritt 2: Risikoerkennung
Um festzustellen, welche Anfälligkeiten bestehen und welches Gefährdungspotenzial sich dadurch für das eigene Unternehmen ergibt, werden diverse Testverfahren auf verschiedenen Ebenen durchgeführt. Ob die potenzielle Gefahr von bestimmten Anwendungen ausgeht, lässt sich beispielsweise mit Dynamic Application Security Testing (DAST) in Erfahrung bringen. Zudem sollte überprüft werden, ob sicherheitsrelevante Daten, beispielsweise für die Steuerung einer Produktionsanlage, eventuell bereits unbeabsichtigt über das Internet einsehbar sind. Ein weiteres Sicherheitsrisiko sind nicht autorisierte Anmeldungen. Hier kommt Credentials Testing zum Einsatz. Zudem sollten Unternehmen permanent im Auge behalten, ob ihre Assets von bereits bekannten und veröffentlichten Sicherheitslücken betroffen sind.
Schritt 3: Risikobewertung
Alle entdeckten Schwachstellen bergen ein gewisses Risiko, doch dieses ist nicht immer gleich hoch. Um es realistisch bewerten und klassifizieren zu können, stehen drei Metriken im Mittelpunkt.
-
Erstens die Exploitability mit der zentralen Frage: Gibt es für die spezielle Sicherheitslücke tatsächlich bereits bekannte Angriffsvektoren, oder ist sie bisher eher theoretischer Natur und noch nicht konkret ausgenutzt worden?
-
Zweitens die Attractiveness für Angreifer. Hier ist die Frage: Befindet sich die Sicherheitslücke auf einem Asset oder Zielsystem, das für eine Attacke interessant ist? Eine zentrale Datenbank ist hier beispielsweise wesentlich lohnenswerter als ein Asset einer Unterorganisation, das keinen Zugriff auf andere Systeme erlaubt.
-
Die dritte Metrik ist die Discoverability, die umschreibt, wie schnell und einfach ein Asset einem Unternehmen als potenziellem Ziel zugeordnet werden kann. Befindet es sich beispielsweise direkt auf der Website oder ist es als weitgehend unbekanntes Risiko bei einer Tochterorganisation “versteckt”?
Schritt 4: Priorisierung und Remediation
Um das externe Cyberrisiko der von außen erreichbaren Angriffsfläche effektiv klein zu halten, ist der wichtigste Faktor eine möglichst kurze Reaktionszeit für tatsächlich kritische Risiken. Das gilt für das Erkennen, aber natürlich auch für das rechtzeitige Schließen relevanter Schwachstellen. Doch was tun, wenn das Dashboard mehr Probleme zeigt, als Personal zu Verfügung steht, um sie zu beheben? Dann müssen die Schwachstellen sinnvoll priorisiert werden, um das Gesamtrisiko für erfolgreiche Angriffe so schnell und so stark wie möglich zu minimieren. So ist beispielsweise der direkte ungeschützte Zugriff von außen auf eine Kundendatenbank ohne Authentisierung in der Regel sicherlich deutlich kritischer als eine bisher nur theoretisch ausnutzbare Schwachstelle auf einer IP-Kamera. Es geht für das Security Operations Team also nicht in erster Linie darum, schnell möglichst viele Lücken zu schließen, sondern die relevantesten. Und oft bergen lediglich circa zehn Lücken den größten Teil – und zwar bis zu 90 Prozent – des gesamten externen Cyberrisikos eines Unternehmens in der aktuellen Woche. Ist die Remediation abgeschlossen, sollte die Wirksamkeit der Maßnahmen, bestenfalls automatisiert, von außen revalidiert werden.
Ein Fallbeispiel: Fatales Change Management
Die Vorteile des EASM-Konzepts lassen sich an einem Fallbeispiel illustrieren: Um Anfragen nach dem “Recht auf Vergessen” effizient bearbeiten zu können, muss ein E-Commerce-Händler umfangreiche Code-Änderungen umsetzen. Aufgrund des hohen Programmieraufwands bekommt das interne Team Unterstützung von externen Entwicklern. Damit die Bereitstellung der Infrastruktur für die externen Kolleginnen und Kollegen möglichst unkompliziert und gleichzeitig Compliance-konform ablaufen kann, richtet der Vertragspartner einen Jenkins-Server ein. Einige Tage später wird eine Firewall-Änderungsanforderung in dem Subnetz verarbeitet, in dem der Jenkins-Server bereitgestellt wurde.
Was der zuständige Entwickler allerdings nicht realisiert: Diese Änderung macht den Jenkins-Server über das Internet zugänglich. Da er jedoch nicht durch die Unternehmens-IT verwaltet wird, gibt es auch keine Sicherheitsüberwachung. Der Server ist also nicht gehärtet und das Standardkennwort wurde nicht geändert. Ein Angreifer entdeckt den weitgehend ungeschützten Server, schafft es, sich anzumelden und über ein Groovy-Skript die Shell in der Jenkins-Skriptkonsole auszuführen. Anschließend verschafft er sich Root-Rechte und findet private SSH-Schlüssel für die Bereitstellung von Assets sowie API-Schlüssel für Quellcode-Repositories. Diese verwendet er für den Zugriff auf die Code-Repositories und stößt so auf AWS-API-Schlüssel.
Mit diesem kompromittiert er mehrere Terabyte an Daten, die in S3-Buckets gespeichert sind, darunter auch personenbezogene Informationen (PII) von Kunden. Was als Projekt zur Umsetzung von Datenschutzvorschriften begann, führt am Ende zu einer Offenlegung genau der Daten, die ursprünglich besser geschützt werden sollten. Um einen solchen erfolgreichen Angriff in Zukunft zu verhindern, denken die Verantwortlichen darüber nach, die bisher jährlichen Penetrationstests ab sofort in jedem Quartal durchzuführen. Dieser gut gemeinte, letztlich aber leider wenig zielführende Vorschlag zeigt das häufigste Problem in Bezug auf EASM, nämlich mangelndes Risikobewusstsein.
Wer die externe Angriffsfläche effektiv schützen und das externe Cyberrisiko minimieren möchte, muss öffentlich sichtbare Cloud Assets und Anwendungen eines Unternehmens inklusive aller Unterorganisationen kontinuierlich – und aus Effizienz- und Kostengründen möglichst automatisiert – prüfen und überwachen.
Dann fällt die oben beschriebene Konfigurationsänderung und das implementierte Standardpasswort für den von außen zugänglichen Jenkins-Server direkt auf und in den internen Systemen wird automatisch eine entsprechende Risikomeldung ausgelöst. Eine gute EASM-Lösung liefert darüber hinaus auch wichtige Informationen zu effektiven Präventionsmaßnahmen, um ähnliche Vorfälle künftig zu verhindern. Denn unter Umständen kennt der zuständige Sicherheitsanalyst Jenkins nicht, fordert deshalb “nur” ein neues Passwort an und betrachtet den Vorgang und das Risiko damit als erledigt. Erst wenn er darüber informiert wird, dass Jenkins-Server niemals über das Internet erreichbar sein sollten, und es sich grundsätzlich empfiehlt, die Standard-Anmeldedaten zu ändern, lässt sich das externe Cyberrisiko verringern. Zudem kann das System den Analysten warnen, dass Angreifer möglicherweise bereits eingebrochen sind und eine gründlichere Untersuchung angebracht wäre. Darüber hinaus lassen sich mit der kontinuierlichen Überwachung durch EASM die getroffenen Maßnahmen validieren – als wirksam oder eben nicht.
Sicherer mit stetigem und zentralem EASM
Das ist nur ein Beispiel, das zeigt: Für einen effektiven Schutz der aus dem Internet erreichbaren Angriffsfläche reichen Einzelmaßnahmen wie halbjährlich durchgeführte Penetrationstest oder Vulnerability-Scans nicht aus. Auch der Einsatz eines “Flickenteppichs” aus Punktlösungen und -prozessen wiegt IT-Verantwortliche oft in falscher Sicherheit, denn nach offiziellen Vorgaben ist alles in Ordnung – aber nur, weil kritische Assets und Sicherheitslücken durchs Raster fallen können. Ein effektives EASM geht über reine Compliance-Standards hinaus und minimiert das externe Cyberrisiko auf Basis zweier Aspekte.
Der erste ist Kontinuität: Es muss regelmäßig sichergestellt werden, dass alle externen Assets korrekt erfasst und hinsichtlich ihres Risikostatus auf dem neuesten Stand sind. Der zweite ist Einheitlichkeit: Wer bei einzelnen Teilschritten wie Erkennung und Klassifizierung bis hin zur Risikobewertung, -priorisierung und Remediation mit Insellösungen “nachbessert”, optimiert damit nicht zwangsläufig auch den Gesamtprozess. Eine effektive Verringerung des externen Cyberrisikos kann über eine zentrale Plattformlösung für EASM erfolgen, die alle vier Phasen abdeckt. Sie identifiziert und analysiert – beispielsweise in einem wöchentlichen Turnus – automatisch alle relevanten Assets und minimiert so die Wahrscheinlichkeit, dass wichtige Risiken übersehen werden.
Anschließend gibt sie IT-Verantwortlichen konkrete Handlungsempfehlungen, indem sie kontinuierlich aufzeigt, welche die für das Unternehmen derzeit jeweils wichtigsten Sicherheitslücken sind, die umgehend geschlossen werden müssen. Damit das effektiv und binnen kürzester Zeit geschehen kann, sollte sich die EASM-Lösung zudem über entsprechende Schnittstellen in bestehende Prozesse und Systeme integrieren lassen. Das ermöglicht eine nahtlose Weitergabe aller relevanten Informationen und sorgt dafür, dass die kritischen Risiken schneller intern verstanden und Remediation-Maßnahmen zeitnah getroffen werden können.
Am Ende kommt es jedoch auch immer auf die Verantwortlichen im Unternehmen an. Denn eine technische Lösung kann zwar eine schnelle MTTD (Medium Time To Detection) garantieren und relevante Informationen bereitstellen, die letztlich relevante MTTR (Medium Time To Remediation) hängt allerdings von der Reaktionsschnelligkeit der zuständigen Abteilungen ab. Wenn Technologie und Mensch “Hand in Hand” arbeiten, sind die oben genannten vier Schritte für Unternehmen ein probater Weg, um das externe Cyberrisiko zu minimieren. (jm)
SUBSCRIBE TO OUR NEWSLETTER
From our editors straight to your inbox
Get started by entering your email address below.
Original Post url: https://www.csoonline.com/article/3481789/external-attack-surface-management-easm-mit-diesen-vier-schritten-minimieren-sie-das-cyberrisiko.html
Category & Tags: Risk Management – Risk Management
Views: 0