Deutschland
 

Security-Trend

Attack Surface Management wird sich durchsetzen

Vielen Unternehmen fällt es schwer, ihre via Internet adressierbaren Ressourcen zu erkennen, zu klassifizieren und zu managen. In diesem Jahr dürften manche von ihnen damit beginnen, diese Schwachstelle zu schließen.
Von 
CSO | 17. Februar 2022 05:36 Uhr
Attack Surface Management spielt eine entscheidende Rolle für die IT-Sicherheit im Unternehmen.
Attack Surface Management spielt eine entscheidende Rolle für die IT-Sicherheit im Unternehmen.
Foto: vs148 - shutterstock.com

Attack Surface Management (ASM) konzentriert sich auf alle Systeme im Unternehmen, die über das Internet ansprechbar sind - was die Aufgabe durchaus anspruchsvoll macht. Große Unternehmen verfügen oft über Zehntausende oder mehr Internet-Ressourcen, darunter Websites, Zugangsdaten von Mitarbeitern, Cloud-Workloads, S3-Buckets, Quellcode-Fragmente oder SSL-Zertifikate.

Viele Unternehmen haben einen "blinden Fleck"

Alle diese Assets zu erkennen, zu klassifizieren und zu verwalten ist alles andere als einfach, wie eine ESG-Studie zeigt: Nur neun Prozent der Unternehmen glauben demnach, dass sie ihre potenzielle Angriffsfläche vollständig im Blick haben. Die größte Gruppe der Befragten (29 Prozent) geht davon aus, zwischen 75 Prozent und 89 Prozent der Angriffsfläche zu kontrollieren. Sehr viele erreichen noch nicht einmal diese Werte.

Die meisten Unternehmen haben also einen mehr oder weniger großen "blinden Fleck". Und ihnen ist überwiegend klar, dass es auch bei ihnen zahlreiche Internet-Aktivitäten gibt, von denen sie nichts wissen. Nach Angaben von spezialisierten Sicherheitsanbietern in diesem Bereich entdecken die Firmen im Schnitt etwa 40 Prozent mehr Internet-fähige Assets als gedacht, wenn sie einen automatischen Scan vornehmen. Also dürften auch diejenigen, die alles im Griff zu haben glauben, die vorhandenen Angriffsflächen nur teilweise kontrollieren.

Erschreckend ist auch der hohe Aufwand, der das Identifizieren von Angriffsflächen mit sich bringt. In der Umfrage sagen 43 Prozent der Unternehmen, sie würden auf einen Durchlauf mehr als 80 Stunden verwenden. Die meisten führen die ASM-Erkennung in regelmäßigen Abständen durch - einmal pro Woche, zweimal pro Monat oder monatlich. Bedenkt man, wie viele ständige Veränderungen zur Unterstützung von Cloud-native-Anwendungen, entfernten Mitarbeitern, Third-Party-Verbindungen etc. nötig sind, dann ist das völlig unzureichend. Doch der Aufwand ist hoch, geht es doch nicht nur darum Daten zu sammeln und zu analysieren. Ebenso müssen Schwachstellen priorisiert und gemeinsam mit der IT-Abteilung eine Strategie für die Risikominderung erarbeitet werden. Das ist die "eigentliche" Arbeit bei ASM.

Wenn Organisationen ihre IT-Landschaft scannen, werden sie immer wieder eine Vielzahl an gefährdeten Assets entdecken. So fanden beispielsweise

  • 31 Prozent sensible Daten an einem zuvor unbekannten Ort,

  • 30 Prozent entdeckten Websites mit einem direkten oder indirekten Pfad zu ihren Netzwerken,

  • 29 Prozent identifizierten falsch konfigurierte Anmeldedaten von Mitarbeitern,

  • 28 Prozent beobachteten unbekannte SaaS-Anwendungen,

  • 27 Prozent entdeckten Anwendungen/Systeme mit 0 Benutzern und weitere

  • 27 Prozent spürten falsch konfigurierte SSL-Zertifikate auf.

Wie in anderen Bereichen der Cybersicherheit auch, gibt es kaum übergreifende ASM-Lösungen. Die Unternehmen sammeln Informationen aus einer Vielzahl unterschiedlicher Tools. Die Studie zeigt, dass 41 Prozent der Organisationen Threat-Intelligence-Quellen nutzen. 40 Prozent stützen sich auf IT-Asset-Management-Systeme, 33 Prozent auf Monitoring-Tools für Cloud-Sicherheit und 29 Prozent verlassen sich auf ihr Schwachstellenmanagement. All diese Daten müssen gesammelt und interpretiert werden, um sie sinnvoll zu nutzen. Häufig geschieht das (noch) im Spreadsheet.

Die Unternehmen haben an dieser Stelle also jede Menge Nachholbedarf, und gegenüber den Angreifern sind sie derzeit klar im Nachteil. Diese nutzen nämlich längst automatisierte Tools, um adressierbare Assets aufzuspüren, Schwachstellen zu identifizieren und Angriffe zu starten. Viele dieser Angriffsversuche sind erfolgreich. Aus der Studie eht hervor, dass 69 Prozent der Unternehmen Cyberattacken erlebt haben, die auf die Ausnutzung einer gar nicht oder nur schlecht gemanagten Internet-fähigen Ressource zurückgehen. Diese Cyberangriffe können große Ausmaße annehmen - man denke etwa an den Equifax-Breach 2017 oder das Log4j-Fiasko im vergangenen Jahr.

Momentan schützen wir unsere IT-Ressourcen zu schlecht, wir agieren wie Amateurschachspieler, die sich einem Großmeister stellen müssen. Das ist einer der Gründe, warum ich glaube, dass 2022 Technologien für eine bessere Verwaltung von Angriffsflächen Konjunktur haben werden. Sie werden mit dem Internet verbundene Assets entdecken, klassifizieren, mit einer Risikobewertung versehen und vielleicht sogar helfen, Fehlerquellen zu beseitigen.

Erste Signale aus dem Markt gibt es dafür schon. Um seine Sicherheitsangebote in dieser Richtung zu stärken, hat beispielsweise Mandiant im vergangenen Jahr den ASM-Spezialisten Intrigue übernommen. Microsoft hat sich RiskIQ geschnappt und Palo Alto Networks hat Expanse Networks gekauft. Diese Übernahmen haben bei den Wettbewerbern für Aufmerksamkeit gesorgt. In der Zwischenzeit gewinnen eine Reihe innovativer ASM-Startups an Dynamik, darunter Coalfire, CyCognito und BAS-Anbieter (BAS = Breach and Attack Simulation) wie AttackIQ, Cymulate, Randori und SafeBreach.

Heute ist ASM noch viel zu zerfasert und schwerfällig. Doch das wird sich ändern. Noch in diesem Jahr werden Unternehmen Budgets dafür bereitstellen, erste Vorhaben ausschreiben, sich die Produkte anschauen und schließlich ASM aktiv einsetzen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jon Oltsik ist Senior Principal Analyst bei ESG und Gründer des Cybersicherheitsdienstes.
Folgen: