Attack Surface Management - die 5 größten Challenges

Im Rahmen einer aktuellen Studie von ESG Research gibt mehr als die Hälfte der befragten Unternehmen (52 Prozent) an, Security Operations heute als komplexer zu empfinden als noch vor zwei Jahren. Zu den Gründen befragt:

• verwiesen 41 Prozent auf eine sich zuspitzende Bedrohungslandschaft,

• 38 Prozent auf wachsende und sich verändernde Angriffsflächen, während

• 37 Prozent hierfür übermäßig viele und komplexe Security-Alerts verantwortlich machen und

• 34 Prozent der zunehmenden Popularität von Public-Cloud-Services die Schuld in die Schuhe schieben.

Diese Liste von Challenges zu lesen, dürfte sich für viele Security-Profis wie ein Deja-Vu anfühlen - Jahr für Jahr das gleiche Bild. Dabei gibt es jedoch eine entscheidende Ausnahme: Die wachsenden Angriffsflächen. Die sind natürlich gewachsen, seitdem wir alle mit Mosaic-Browsern gearbeitet haben, allerdings nahm die Attack-Surface-Evolution erst in den vergangenen Jahren so richtig an Fahrt auf.

Schuld daran sind unter anderem Amazon, COVID und ganz allgemein die digitale Transformation: Unternehmen verbinden IT-Systeme mit Drittanbietern, unterstützen Remote-Mitarbeiter, entwickeln Cloud-Native-Anwendungen und sorgen für immer neue Rekordzahlen, wenn es darum geht SaaS-Dienste zu nutzen.

Attack Surface managen: Die 5 größten Herausforderungen

Die wachsende Angriffsfläche ist also im Begriff, den alten Security-Operations-Karren aus der Bahn zu werfen? ESG hat 376 Security-Experten dazu befragt, welche Auswirkungen das Attack-Surface-Wachstum wirklich hat. Im Ergebnis stehen fünf Kern-Herausforderungen, die die wachsende Angriffsfläche mit sich bringt:

• Sie erfordert eine engere Beziehung zu den Entwicklern. Diese Antwort spiegelt eine Kluft zwischen Softwareentwicklung und Security wider, in einer Zeit, in der Unternehmen immer mehr Cloud-Native-Anwendungen entwickeln und kontinuierlich neue Funktionen in die Apps einbringen. Nutzen sie dabei Serverless-Funktionen? Stellen sie Verbindungen zu unsicheren APIs her? Werden sensible Daten in offenen S3-Buckets abgelegt? In vielen Fällen kennen die Sicherheitsteams die Antworten auf diese Fragen nicht. Cloud Security Posture Management (CSPM) kann an dieser Stelle unterstützen, allerdings sind die entsprechenden Tools nicht besonders weit verbreitet und werden möglicherweise von Cloud-Entwicklungsgruppen gehortet. CISOs sollten insbesondere priorisieren, die Kluft zwischen Security und Development zu überbrücken.

• Sie führt zu einer Neubewertung der aktuellen Tools und Prozesse. Um die Angriffsfläche aufzudecken und zu managen, neigen Unternehmen dazu, mit vorhandenen Tools zu beginnen - etwa Asset-Management-Systemen, Schwachstellen-Scanner, Log-Management-Systeme oder CSPM. Dabei stellen sie in der Regel schnell fest, dass es Ewigkeiten dauern kann, Daten aus unterschiedlichen Systemen zu sammeln. Im Rahmen der ESG-Studie geben 43 Prozent der Unternehmen an, mehr als 80 Stunden für eine vollständige Bestandsaufnahme ihrer Attack Surface zu benötigen. Da die Daten aus mehreren Systemen zusammenlaufen, muss jemand die Ergebnisse auf ihre Richtigkeit überprüfen. Das führt zu Mehraufwand und menschlichen Fehlern. Wohin das führt? 69 Prozent der befragten Unternehmen haben einen Cybervorfall erlitten, der auf eine unbekannte, nicht oder schlecht gemanagte Angriffsfläche zurückzuführen war.

• Sie erhöht die Anzahl von Schwachstellen und die damit verbundenen Patching-Zyklen. Es ist eine einfache Rechnung: Mehr Anlagen = mehr Schwachstellen = mehr Patching-Zyklen. Einige Unternehmen haben die Prozesse und Ressourcen, um damit Schritt zu halten, viele jedoch nicht.

• Sie hemmt Reaktionsmaßnahmen auf Sicherheitsvorfälle. Die Security-Analysten der Unternehmen, die nicht Schritt halten können, haben möglicherweise keinen Zugang zu allen benötigten Daten - oder müssen diese in verschiedenen Quellen zusammensuchen, was Zeit kostet und so zur Häufung von Sicherheitsvorfällen beiträgt. Zudem ist es wahrscheinlich, dass auch die Reaktionsmaßnahmen auf Cybervorfälle unvollständig sind, weil der volle Umfang eines Angriffs unter Umständen nicht erkannt wird.

• Sie führt zu Lücken in der Sichtbarkeit. Die wachsende Attack Surface führt zu blinden Flecken - für Sicherheitsanalysten ein Albtraum. Das passende, wenn auch etwas abgedroschene Zitat dazu: "Was man nicht messen kann, kann man nicht managen."

Diese (und weitere) Probleme haben die Aufmerksamkeit rund um das Thema Attack Surface Management erhöht - die CISOs haben erkennt, dass hier dringender Handlungsbedarf besteht. Die Security-Branche selbst hat auf den Trend, Angriffsflächen zu managen, mit einer schwindelerregenden Anzahl von Fusionen und Übernahmen reagiert:

• DarkTrace übernahm Cybersprint,

• IBM schnappte sich Randori,

• Mandiant erwarb Intrigue,

• Microsoft kaufte RiskIQ,

• Palo Alto Networks akquirierte Expanse Networks und

• Tenable erwarb BitDiscovery.

Zudem sind im Bereich Attack Surface Management neben Drittanbietern von Risikomanagement-Lösungen wie BitSight und Security Scorecard auch Startups tätig wie:

• CyCognito,

• Cyberpion und

• Upguard.

Vor fünf Jahren war nur in wenigen Unternehmen die Rede davon, Angriffsflächen zu managen. Die Zeiten haben sich geändert: Wenn Sie Attack Surface Management ignorieren, handeln Sie auf eigene Gefahr. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.