Angriffsfläche

Identifizieren Sie Ihre Angriffsfläche und erfahren Sie, wie Sie sie vor Bedrohungen schützen können.

Entdecken Sie Surface Command

Was ist eine Angriffsfläche? 

Eine Angriffsfläche ist im Wesentlichen eine allgemeine Schwachstelle, die durch das digitale Netzwerk eines Unternehmens entsteht, über das es bestimmte Operationen durchführt. Das Netzwerk ist in diesem Fall die "Oberfläche". Bedrohungsakteure versuchen, jederzeit in diese Oberfläche einzudringen, wenn sie glauben, dass sie Zugang erhalten können.

Laut der National Initiative of Cybersecurity Careers and Studies der US-Regierung stellt die Angriffsfläche einer Anwendung die Anzahl der Einstiegspunkte dar, die einem potenziellen Angreifer der Software ausgesetzt sind. Je größer die Angriffsfläche, desto größer ist die Anzahl der Methoden, die ein Angreifer verwenden kann. Je kleiner die Angriffsfläche, desto geringer ist die Wahrscheinlichkeit, dass ein Angreifer eine Schwachstelle findet, und desto geringer ist das Risiko eines Exploits mit großen Auswirkungen auf das System.

Arten von Angriffsflächen

Wenn man anfängt, darüber nachzudenken, wie eine Angriffsfläche tatsächlich aussieht, hilft es, sie in Bezug auf einzelne Organisationen zu kontextualisieren. Jedes Unternehmen hat unterschiedliche Ziele, daher sehen die Methoden des Angriffsflächenmanagements unterschiedlich aus.

Digitale Angriffsfläche

Eine digitale Angriffsfläche umfasst alle Webanwendungen, die auf einem beliebigen Gerät bereitgestellt werden, APIs, Cybersicherheitsprogramme und alles andere, was in einem Netzwerk als "digital" – oder nicht-physisch – eingestuft werden kann. Wenn ein Unternehmen Verträge mit Partnern in der Lieferkette abschließt, erstreckt sich seine Angriffsfläche natürlich über den Perimeter seiner spezifischen Organisation hinaus.

Physische Angriffsfläche

Eine physische Angriffsfläche umfasst jede nicht-digitale Hardware, die für die Aufrechterhaltung eines Netzwerks von entscheidender Bedeutung ist. Dabei kann es sich um eine vollständige Liste handeln, die Server, Ports, Verkabelung oder Netzwerkkabel, physische Endpunkte wie Telefone/Laptops/Smartwatches/Smartwatches und Rechenzentren umfasst.

Angriffe auf diese Art von Oberfläche erfordern ein anderes Verhalten seitens potenzieller Angreifer, da sie diese materiellen Assets physisch erwerben oder darauf zugreifen müssten, um sie zu manipulieren.

Social-Engineering-Angriffsfläche

Wie oben erwähnt, bilden Menschen in erster Linie die Angriffsfläche, die mit Social Engineering verbunden ist. Dazu gehören Phishing-Angriffe, Honeypots, Link-Spoofing und Piggybacking. Diese Art von Angriff zielt darauf ab, einen menschlichen Benutzer in einem Netzwerk davon zu überzeugen, dass das, was er sieht, völlig korrekt ist.

Es könnte sich um eine gefälschte E-Mail handeln, die einen Benutzer dazu bringen soll, auf einen Link zu klicken, der Malware auf diesem Endpunkt installiert. Es könnte sich um jemanden handeln, der sich huckepack in ein Büro einschleicht und versucht, einen tatsächlichen Mitarbeiter davon zu überzeugen, dass er seinen Ausweis vergessen hat. Alternativ könnte Social Engineering in Form einer Textnachricht erfolgen, die an einen Benutzer gesendet wird und scheinbar von seinem Vorgesetzten oder einer anderen Person im Unternehmen stammt.

Angriffsfläche vs. Angriffsvektor

Ein Angriffsvektor bezieht sich einfach auf einen einzelnen Weg, über den ein Bedrohungsakteur versucht, auf ein Netzwerk zuzugreifen. Eine Angriffsfläche besteht aus allen Vektoren entlang eines gesamten Netzwerks, die Bedrohungsakteure potenziell ausnutzen können.

Ein Angriffsvektor ist im Wesentlichen der Prunkt, an dem der Angreifer in ein System eindringt. Von dort aus würde der Angreifer den Angriffspfad zu den gewünschten Informationen oder Ressourcen nehmen. Malware beispielsweise hat drei Hauptvektortypen – Trojaner, Viren und Würmer – die typische Kommunikationen wie E-Mails ausnutzen.

Einzelne Angriffsvektoren sorgen für kleinere Sicherheitslücken. Doch durch die Kombination all dieser Einstiegspunkte entsteht eine größere Schwachstelle, die gewöhnliche Netzwerke in dynamische Angriffsflächen verwandeln kann. Wenn Ihr Netzwerk zu einer dynamischen Angriffsfläche geworden ist, ist es wahrscheinlich eine gute Idee, über das Sicherheitsprogramm als Ganzes nachzudenken, einschließlich Extended Detection and Response (XDR), Cloud-Sicherheit und Schwachstellenrisikomanagement (VRM).

Die Menschen, die Computer, Systeme, Sicherheitssysteme und Netzwerke bedienen, können auch als Angriffsvektoren betrachtet werden, wenn Social-Engineering-Angriffe wie Phishing-Betrug ins Spiel kommen.

So identifizieren Sie Ihre Angriffsfläche

Das Identifizieren der Pfade entlang Ihrer Angriffsfläche, auf denen ein Bedrohungsakteur zuschlagen könnte, ist eine Übung zur Erstellung des kritischsten Teils eines Cybersecurity-Programms – eines Programms, das dynamisch, vielschichtig und kontinuierlich ist.

Laut dem Open Worldwide Application Security Project (OWASP) kann die Analyse der Angriffsfläche dabei helfen, Folgendes zu identifizieren: 

  1. Welche Funktionen und Teile des Systems Sie auf Sicherheitslücken überprüfen/testen müssen
  2. Hochrisikobereiche des Codes, die einen Defense-in-Depth-Schutz erfordern, sowie die Teile des Systems, die Sie schützen müssen
  3. Wenn Sie die Angriffsfläche verändert haben und eine Bedrohungsanalyse durchführen müssen

Dieser letzte Punkt steht im Einklang mit der Notwendigkeit, die Angriffsfläche kontinuierlich zu analysieren und zu identifizieren. Außerdem müssen Cybersecurity-Mitarbeiter wissen, wann sich die Unternehmens- und Sicherheitsziele geändert haben, damit sie die Risikoprofile anpassen können. Was gestern noch als Priorität für die Behebung angesehen wurde, um die Abwehr entlang des Angriffspfads zu stärken, könnte heute auf der Liste weiter unten stehen. 

Wenn eine Angriffsfläche die Punkte in einem Netzwerk umfasst, die ein Angreifer ausnutzen könnte, denken Sie daran, wie oft sich diese je nach angepassten Risikoprofilen ändern kann.

Best Practices zur Reduzierung der Angriffsfläche

Lassen Sie uns in einige Best Practices eintauchen, die Cybersecurity-Teams dabei helfen können, die vielen Schwachstellen/Vektoren/Bruchstellen zu minimieren, die Bedrohungsakteure ausnutzen wollen. 

  • Automatisierung nutzen: Sicherheitsorganisationen können die Automatisierung nutzen, um veraltete Daten (alte Passwörter, ehemalige Mitarbeiterdaten, alte Backups usw.) oder Richtlinien für das Identitäts- und Zugriffsmanagement (IAM) zu entfernen, die ziemlich einfach einen erheblichen Prozentsatz potenzieller Bedrohungsakteure fernhalten können, die versuchen, sich Zugang zu verschaffen. Auch ein automatisiertes Vulnerability Scanning kann dabei helfen, Schwachstellen und damit die Angriffsfläche zu reduzieren.
  • Mitarbeiter schulen: Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Es gibt keinen Ersatz dafür, ein Team darin zu schulen, wie Angreifer digitale Fußabdrücke verwenden, um Anmeldeinformationen zu stehlen, um in eine Angriffsfläche einzudringen. Zum Beispiel ist es wichtig, keine personenbezogenen Daten (PII) oder öffentlich zugängliche Informationen zu verwenden. Es hilft auch, wichtige Mitarbeiter zu identifizieren, die Zugriff auf die sensibelsten Systeme haben, und die Zeit zu investieren, um sie für den weiteren Schutz dieser kritischen Systeme zu schulen.
  • Verstehen Sie die digitale Angriffsfläche: Um zu wissen, wo Schwachstellen liegen, sollten Cybersecurity-Teams ihren vollständigen digitalen Fußabdruck kennen und ihn wie ein Angreifer betrachten. Es ist natürlich wichtig, intern einen umfassenden Blick auf digitale Assets zu werfen und zu sehen, wie sie miteinander verbunden sind und sich im Backend gegenseitig beeinflussen. Mit grundlegenden Internet-Suchtechniken können Unternehmen jedoch auch damit beginnen, ihre Internetpräsenz zu kartieren und schnell zu verstehen, wie es ein Nicht-Mitarbeiter oder Angreifer tun würde.
  • Insititute Continuous Threat Exposure Management (CTEM): CTEM ist ein Framework, das sich in erster Linie darauf konzentriert, Sicherheitsteams bei der Behebung der laufenden und/oder unmittelbaren Bedrohungen zu unterstützen, die für ihr spezifisches Unternehmen am wichtigsten sind. Dieses Framework kann die Simulation von Angriffen umfassen, so dass das Sicherheitsteam Bedrohungen nach ihrem Schweregrad priorisieren kann.

Die Nutzung von Tools wie Cloud Risk Management (CRM), Extended Detection and Response (XDR) und jetzt auch KI-gesteuerter Cloud-Anomalieerkennung kann die Mission eines Sicherheitsteams zur Reduzierung der Angriffsfläche beschleunigen und ihm helfen, Bedrohungen schnell und präzise zu beseitigen.

Erfahren Sie mehr über Attack Surface Security 

Blog: Cyber Asset Attack Surface Management 101

Attack Surface Management: Aktuelles aus dem Rapid7-Blog