Was ist External Attack Surface Management (EASM)?

External Attack Surface Management (EASM) ist der Prozess der Identifizierung von internen Geschäfts-Assets im öffentlichen Internet, ebenso wie das Monitoring von Schwachstellen, Fehlkonfigurationen der öffentlichen Cloud, offengelegten Zugangsdaten oder anderen externen Informationen und Prozessen, die von Angreifern ausgenutzt werden könnten. Diese Bemühungen stehen im Einklang mit dem Ziel, einen klaren Überblick über den Sicherheitsstatus der Cloud zu erhalten.

Wie bereits erwähnt, können Fehlkonfigurationen eine große Rolle in Bezug auf Ihre Schwachstellen spielen. Die ordnungsgemäße Konfiguration einer Cloud-Umgebung bedeutet, Schutzmaßnahmen gegen digitale Risiken zu implementieren, um sie vor einer breiten Palette an Bedrohungen zu schützen, sei es in Form von absichtlichen Angriffen oder unbeabsichtigten Fehlern – Fehlkonfigurationen, ungenügendes Sicherheitsbewusstsein usw. –, die Angriffen Tür und Tor öffnen.

Internes vs. externes Angriffsflächen-Management 

Das interne Angriffsflächen-Management behandelt die Sicherheit von Assets –einschließlich Menschen, die von Social Engineering wie Phishing betroffen sein könnten – die sich hinter den Firewalls und schützenden Sicherheitsmaßnahmen eines Unternehmens befinden. Diese Vermögenswerte sind theoretisch nicht dem öffentlichen Internet zugänglich und liegen hinter Abwehrmaßnahmen, die die internen Betriebsabläufe und Geschäftsgeheimnisse des Unternehmens schützen.

EASM – auch wenn es ein Teil von ASM ist – ist auf den Schutz der eher kommerziellen Geschäftstätigkeiten ausgerichtet, die über den Schutz seiner internen Sicherheitsmaßnahmen hinausgehen. Dazu gehören öffentlich zugängliche Websites, Anwendungen, E-Commerce-Abläufe und alle Backends, auf die ein Angreifer Zugriff hätte, wenn er diese digitalen Assets ausnutzte.

Was ist der Unterschied zwischen EASM und CAASM? 

Der Unterschied zwischen EASM und dem Cyber Asset Attack Surface Management (CAASM) besteht darin, dass sich EASM-Methoden in erster Linie darauf konzentrieren, öffentlich zugängliche Assets zu entdecken und zu schützen, auf die praktisch jeder im Internet Zugriff erhalten kann. CAASM-Methoden konzentrieren sich sowohl auf die interne als auch auf die externe Angriffsfläche, um einem Sicherheitsteam maximale Sichtbarkeit ihrer Angriffsfläche vor und hinter dem Perimeter zu bieten. Eine CAASM-Plattform kann dies über API-Integrationen erreichen, die Zugriff auf den Tech-Stack einer Organisation haben, um diese ganzheitliche Sicht zu ermöglichen.

Warum ist External Attack Surface Management (EASM) wichtig? 

Das Management externer Angriffsflächen EASM) ist wichtig, da bei öffentlichen, Internet-zugänglichen – oder externen – Assets das Potenzial für Angriffe und Ausnutzung besteht. Es ist wichtig, daran zu denken, dass diese externe Angriffsfläche Bedrohungsakteuren die Tür öffnen kann, um eine interne Angriffsfläche auszunutzen.

EASM-Lösungen werden immer besser darin, die nach außen gerichteten Assets zu identifizieren, die Teil der Angriffsfläche eines Unternehmens werden, da mit jedem öffentlichen Launch neue Angriffsvektoren entstehen. Eine EASM-Lösung sollte in der Lage sein, Threat Feeds für Threat Hunting zu nutzen. Dies ist entscheidend, um zu verstehen, was Bedrohungsakteure auf freier Wildbahn ausnutzen und ob es sich lohnt, das Team zusammenzurufen und ein potenzielles Problem proaktiv anzugehen. Schlüsselaspekte einer proaktiven Bedrohungssuche können sein:

  • Datenerfassung und -verarbeitung 
  • Dokumentation und Reporting 
  • Zusammenarbeit und Kommunikation zwischen Teams
  • Zusammenarbeit zwischen Menschen und Technologie

EASM sollte externe Bedrohungsinformationen von der Angriffsoberfläche außerhalb des Netzwerks nutzen können, um Risiken und Bedrohungen richtig zu erkennen und zu priorisieren – von den unmittelbarsten Netzwerkendpunkten bis hin zum Deep- und Dark-Web. Die unzähligen Assets, die Unternehmen jeden Tag ins öffentliche Internet stellen, sind wirklich erstaunlich und bei jedem dieser Assets – wenn es online geht – müssen Überlegungen angestellt werden, um eine potenzielle Ausnutzung zu verhindern.

Externe, proaktive Threat Intelligence ist ein Muss für jedes Cybersecurity-Team, das beabsichtigt, die Angriffsfläche ihres Unternehmens bestmöglich zu schützen. Es ist wichtig, präventive Maßnahmen zu ergreifen, die über ein Netzwerkperimeter hinausgehen, um auf Incidents entlang jeder dynamischen Angriffsfläche reagieren zu können.

Wie funktioniert EASM? 

EASM funktioniert durch kontinuierliches Monitoring und Entdecken öffentlich zugänglicher Assets im Internet auf potenzielle Schwachstellen, die als Angriffsvektoren ausgenutzt werden können. Sollte dies geschehen, könnten Bedrohungsakteure potenziell auch in die interne Angriffsfläche einer Organisation eindringen.

Tatsächlich sagt Forrester, dass EASM funktioniert, wenn „Tools oder Funktionalitäten, die kontinuierlich nach Internet-Assets suchen, diese entdecken und aufzählen, die eindeutigen Fingerabdrücke der entdeckten Assets feststellen und Gefährdungen sowohl von bekannten als auch von unbekannten Assets identifizieren“. Werfen wir einen Blick auf einige von Forrester ermittelte Anwendungsfälle, die Besonderheiten der EASM-Funktionalitäten veranschaulichen können:

  • Asset-Erkennung: Dynamisches Auffinden unbekannter, mit dem Internet verbundener Assets; Ergänzung von Tools und Prozessen zur Asset-Erkennung On-Premise
  • IT Asset-Management: Automatisierte Erfassung und Aktualisierung von Daten, die den Bestand an IT-Assets repräsentieren. Identifizierung der Asset-Eigentümer 
  • Vulnerability Risk Mmanagement (VRM): Aufzählung von Internet-Assets. Informationen für VRM-Teams und -Tools über Asset-Sicherheitslücken für Gegenmaßnahmen
  • Cloud Security Posture Management(CSPM): Das Aufdecken von falschen oder schwachen Konfigurationen von Cloud-Assets. Identifizierung von Verstößen gegen Cloud-Richtlinien und potenzielle Compliance-Risiken
  • Unterstützung der Due-Diligence bei Fusionen und Übernahmen: Aufdeckung und Inventarisierung unbekannter Internet-Assets des Übernahmeziels. Risikoanalyse, um die nächsten Schritte der Due-Diligence zu bestimmen

Anhand dieser Anwendungsfälle können wir allmählich verstehen, wie viele Assets jeden Tag mit dem ausdrücklichen Ziel erstellt werden, sich mit dem öffentlichen Internet zu verbinden und die Angriffsfläche einer Organisation von intern nach extern – und damit global – zu erweitern. Externe Threat Intelligence-Feeds sind von entscheidender Bedeutung, um Bedrohungen auf einer externen Angriffsfläche einzudämmen und zu stoppen.

Was sind die Fähigkeiten von EASM? 

Die Fähigkeiten von EASM haben wir bereits in verschiedenen Abschnitten weiter oben behandelt, wir fassen sie hier jedoch mit einigen Ergänzungen zusammen.

Kuratierte und präzise Erkennungen

Je nach Anbieter sollten die Engineering-Teams für Threat Intelligence und Erkennungen in der Lage sein, Erkennungen über SaaS bereitzustellen. Das bedeutet, Zugriff auf die neuesten Alerts, Updates und Thrat Intelligence zu haben. EASM-Nutzer sollten die Tools für Bedrohungsmanagement kontinuierlich mit aktuellen Informationen anreichern können.

SOC-Erweiterung

Ein Security Operations Center (SOC) kann eine EASM-Plattform nutzen, um raschen Zugriff auf Fehlkonfigurationsdaten für alle Assets zu erhalten, die sich hinter dem Perimeter befinden. Von dort aus könnte ein Priorisierungsprozess durchgeführt werden, um festzustellen, welche Assets sofortige Aufmerksamkeit benötigen. An der proaktiven Front kann EASM genutzt werden, um Bedrohungsinformationen für Red, Blue und Purple Teams zu sammeln, die Übungen durchführen.

Eine EASM-Plattform sollte in erster Linie in der Lage sein, Experten dabei zu helfen, Sichtbarkeit in ihre wichtigsten nach außen gerichteten Assets zu erhalten, damit sie priorisieren und Gegenmaßnahmen ergreifen können, bevor Angreifer die Schwachstellen aufspüren.

Welche Vorteile bietet EASM? 

Die Vorteile von EASM sind tiefgreifend und können einen unglaublich positiven Einfluss auf die Effektivität von proaktiven Sicherheitsmaßnahmen und die gesamte Reputation des Unternehmens haben. 

  • Reduzierung des Risikos: Die Verringerung der Angriffsfläche bedeutet eine Verringerung des Gesamtrisikos. Da sich Angriffsflächen zwangsläufig ändern, ist es wichtig, die Vorteile einer Lösung zu nutzen, die dynamische Scans in Bezug auf externe Risiken und Telemetriedaten durchführen kann, die auf eine potenzielle Bedrohung oder klaffende Schwachstelle hinweisen.
  • Einhaltung der Compliance: Wenn eine EASM-Plattform in der Lage ist, Lücken in der Compliance eines Netzwerks zu identifizieren – insbesondere wenn dieses in einer externen Umgebung rund um den Globus betrieben wird –, ist eine Sicherheitsorganisation in der Lage, diese Lücken zu schließen und die Compliance mit den Vorschriften interner und externer Regulierungsbehörden einzuhalten.
  • Schwachstellen verwalten: Mit der Ausweitung des modernen Perimeters werden neue – sowie alte – Schwachstellen zu offenen Türen für Bedrohungsakteure. Nicht alle Schwachstellen werden ausgenutzt, aber ein Cybersecurity-Team möchte sicher nicht warten, um es herauszufinden. Das proaktive Management von Schwachstellen entlang einer externen Angriffsfläche ist von entscheidender Bedeutung.
  • Verfeinerung von Threat Intelligence: Durch den Einsatz einer EASM-Plattform hinter dem Perimeter wird es möglich, Bedrohungen einzudämmen, bevor sie die Chance haben, eine Wirkung zu erzielen. Durch das Hinzufügen eines größeren Kontexts zu Alerts und Telemetriedaten sind eine schnellere Reaktion und Priorisierung möglich.
  • Sicherer Betrieb in der Cloud: Wenn EASM-Praktiken richtig in eine Sicherheitsorganisation integriert sind, sollten sie eine gründliche Bestandsaufnahme der Assets eines Unternehmens ermöglichen, die dem öffentlichen Internet exponiert sind und außerdem– wie bereits erwähnt – Zugriff auf Fehlkonfigurationsdaten bieten, die einem Team helfen würden, darauf zu reagieren.

Erfahren Sie mehr über Attack Surface Security 

Attack Surface Management: Aktuelles aus dem Rapid7 Blog

Rapid7 Blog: Das 1x1 des Cyber Asset Attack Surface Management