English
Français
Español
Italiano
Português
日本語
한국어
Русский
Markt für automatische Seifenspender für den Haushalt mit enormem Wachstum bis 2029
May 25, 2023Durch Wasser beschädigte Säcke mit Salz, Zucker und Mehl: Restaurantinspektionen in Chester County, 27. August
May 26, 2023Pollo Tropical, Burger King und Kinokonzession wurden geschlossen
May 27, 2023Markt für automatische Seifenspender für den Haushalt mit enormem Wachstum bis 2029
May 28, 202360 coole Dinge für Ihr Zuhause, die teuer erscheinen, aber tatsächlich günstig sind AF auf Amazon
May 29, 2023Was eine gute ASM-Lösung auszeichnet
Jun 13, 2023In diesem Help Net Security-Interview erklärt Patrice Auffret, CTO bei Onyphe, wie die traditionelle perimeterbasierte Sicherheitsansicht obsolet wird. Er schlägt vor, dass Unternehmen ihr Angriffsflächenkonzept neu definieren sollten, und erörtert proaktive Maßnahmen, die sie ergreifen können, um ihre Angriffsflächenmanagement-Lösung (ASM) zu stärken.
Definieren wir zunächst ASM. Der Begriff wurde irgendwann im Jahr 2020 von Gartner geprägt. Es handelt sich um ein neues Werkzeug im defensiven Arsenal der Cybersicherheit für Unternehmen. ASM soll Organisationen helfen, einen besseren Überblick über ihre im Internet gefährdeten Assets zu erhalten und ihnen dabei helfen, unbekannte Assets zu identifizieren. Seitdem sind viele Lösungen in der Kategorie ASM erschienen, aber nicht alle sind gleich. Eine gute ASM-Lösung muss Attack Surface Discovery (ASD) beinhalten, also die Fähigkeit, unbekannte Assets zu finden. Wir sind bereits seit 6 Jahren in den Kategorien ASD und ASM aktiv, bevor diese Begriffe überhaupt existierten.
Im Jahr 2023 können Unternehmen nicht immer und schnell alles patchen. ASM sollte es IT-Teams ermöglichen, sich auf die wichtigsten Bedrohungen zu konzentrieren: diejenigen, die von Cyberkriminellen ausgenutzt werden, um in Netzwerke einzudringen und Ransomware einzusetzen. Dank Threat-Intelligence-Berichten wissen wir, dass die überwiegende Mehrheit der Einbrüche aufgrund von im Internet exponierten Remote Desktop Protocol (RDP)-Diensten, VPN-Appliances und kritischen Schwachstellen (CVEs) erfolgt. Ein Palo Alto Unit 42-Bericht aus dem Jahr 2022 hebt hervor, dass diese drei Erstzugriffsvektoren 46 % der internetbasierten Netzwerkeinbrüche ausmachen.
Aus Sicht des externen Angriffsflächenmanagements sollten sich Unternehmen zumindest auf diese drei Vektoren konzentrieren.
Die Angriffsfläche eines Unternehmens kann die gesamte Technologie umfassen, die seinen Geschäftsprozessen und Daten zugrunde liegt, einschließlich ausgelagerter Infrastruktur und Anwendungen. Deshalb ist ASD so wichtig und eine Voraussetzung für effektives ASM. Darüber hinaus argumentieren wir, dass ASM für viele Unternehmen der einfache Teil ist und die Herausforderung darin besteht, eine vollständige Bestandsaufnahme ihrer exponierten Vermögenswerte zu haben. Hier kommt eine ASD-Lösung ins Spiel.
Ein weiterer wichtiger Vorteil von ASD besteht darin, dass es als Ergänzung zu ASM-Lösungen einen herkömmlichen Schwachstellenscanner mit einer Liste von IP-Adressen oder vollqualifizierten Domänennamen (FQDNs) versorgen kann.
Darüber hinaus sollte der veraltete IP-basierte Ansatz zur Vermögensinventur verboten werden. Heutzutage müssen Sie einen domänenbasierten Ansatz für die Bestandsaufnahme Ihrer Vermögenswerte verfolgen. Warum so? Ganz einfach, weil sich IP-Adressen bei kurzlebigen, cloudbasierten Infrastrukturen ändern können, wohingegen Domänennamen im Laufe der Zeit konsistent bleiben sollten und ständig neue Domänen hinzugefügt werden. Wie können wir Veränderungen und neue Domains verfolgen? Eine gute ASD-Lösung muss Daten aus mehreren Quellen sammeln, wie DNS, Certificate Transparency Logs (CTL), internetweitem IP-basiertem Scannen und, was noch wichtiger ist, URL-basiertem Scannen. Letzteres ist von entscheidender Bedeutung, da immer mehr Unternehmen ihre Websites mit CDN-Lösungen wie Cloudflare schützen. Wenn Sie nur die IP-Adressen von Clouflare scannen, erhalten Sie keinen Einblick in Ihre tatsächlichen Webhosts, was möglicherweise versteckte Sicherheitsprobleme aufweist.
Durch die Nutzung all dieser Informationsquellen kann ein Unternehmen mit einem einzigen Domänennamen beginnen, sich auf Schlüsselwörter und bekannte Dienstanbieter konzentrieren und dann iterativ eine Bestandsaufnahme aller offengelegten Vermögenswerte erstellen. Dann müssen Sie die richtigen Tools verwenden, um IP-Adressen zu finden, die an alle Ihre Domains und andere Pivots gebunden sind, wie das Organisationsfeld in TLS-Zertifikaten oder HTTP-Tracker wie Google Analytics und Meta Pixels, die auf Websites zu finden sind. Diese Musterliste wird zu Ihrem Asset-Inventar und Sie müssen es regelmäßig aktualisieren, um neue verfügbare Assets zu finden.
Eine gute ASM-Lösung sollte IP-unabhängig sein und gleichzeitig in der Lage sein, anhand von Netzwerkblöcken nach Organisationen mit ihren IP-Bereichen oder Rechenzentren zu suchen.
Internes ASM ist einfacher: Sie sollten bereits über die Liste Ihrer IP-Adressen oder Netzwerkblöcke verfügen. Das Scannen Ihrer Bereiche sollte regelmäßig durchgeführt werden, was bereits seit Jahrzehnten praktiziert wird.
Externes ASM ist schwieriger, da Sie, wie bereits beschrieben, Ihre Assets identifizieren und dann die Liste der zunehmenden Pivots aktualisieren müssen. Darüber hinaus möchten wir für externe ASM angeben, dass es sich bei der gefundenen IP-Adresse um eine VPN-Appliance, eine Kamera oder ein Ticketing-System handelt. Es ist wichtig zu wissen, welche Art von Vermögenswerten exponiert ist. Kennen Sie alle Ihre exponierten VPN-Server? Haben Sie eine Lösung, mit der Sie diese Liste problemlos erhalten können? Das ist eines der Ziele von ASM.
Die Tatsache, dass ein Asset in der Cloud oder anderswo gehostet wird, spielt letztendlich keine Rolle. Kriminelle sind bei der Suche nach Zielen unabhängig vom Hosting-Anbieter. Gleichzeitig sollte eine ASM-Lösung in der Lage sein, anzugeben, an welche Art von Hosting-Einrichtung eine IP-Adresse gebunden ist, da dies beispielsweise zur Durchsetzung einer internen Sicherheitsrichtlinie beitragen kann.
Sie verlieren an Effektivität, da sich IP-Adressen, wie bereits erwähnt, ändern können und Sie diese Aktualisierungen fast täglich verfolgen müssen. Herkömmliche Penetrationstests sind in der Regel streng an einen vom Endkunden bereitgestellten vorgegebenen Umfang (in den häufigsten Fällen IP-Adressen und Domänennamen) gebunden. Die Person, die diese Liste bereitstellt, kennt möglicherweise nicht alle relevanten Vermögenswerte. Ein realistischerer Penetrationstest wäre ein „No-Scope“-Test, da Cyberkriminelle auf diese Weise vorgehen. Der „No-Scope“-basierte Pentest sollte vor Beginn eine ASD-Lösung verwenden. Warum sollten legitime Pentests von Anfang an durch einen engen Umfang eingeschränkt werden, illegale „Pentests“ durch Kriminelle hingegen nicht?
Auch bei traditionellen Schwachstellenscannern, die Unternehmen seit Jahrzehnten verwenden, besteht ihr Ziel darin, einen Bericht mit allen Schwachstellen, ob kritisch oder nicht, auszugeben, was eine enorme Belastung für die Behebungsteams darstellen kann. Darüber hinaus müssen Schwachstellenscanner etwas finden, auch wenn es aus Sicht eines Angreifers nicht ausnutzbar oder nutzlos ist. Wir halten diesen Ansatz des „Alles finden“ einfach deshalb für überholt, weil Teams die dadurch verursachte Arbeitsbelastung nicht angemessen priorisieren können, was zu einer Ermüdung bei der Behebung führt. Schließlich sollte man nicht darauf warten, dass ein Schwachstellenscanner ein Problem findet, um mit der Behebung zu beginnen; vielleicht ist es schon zu spät.
Herkömmliche Schwachstellenscanner eignen sich perfekt für die Erstellung von KPIs für das Management, während ASD/ASM-Lösungen für operative Sicherheitsteams nützlich sind, die täglich unter Beschuss stehen. Sie benötigen effiziente Lösungen, um sich auf die kritischen Bedrohungen von heute zu konzentrieren, und keine langwierigen Berichte und farbenfrohen Dashboards.
Die erste proaktive Maßnahme besteht darin, ein aktuelles Asset-Inventar zu führen, das auf der Korrelation zwischen mehreren Informationsquellen basiert, wie wir beschrieben haben: DNS, CTL, IP-Scanning und URL-Scanning. Mit diesem Ansatz können Unternehmen erkennen, was grundlegende ASM-Lösungen nicht können.
Zweitens muss ASM Cyber Threat Intelligence (CTI) nutzen, um sich stark auf das zu konzentrieren, was Cyberkriminelle suchen. Wir führen interne Bedrohungsanalysen durch, damit wir uns darauf konzentrieren können, das Wesentliche zu erkennen. Daher muss ASM in der Lage sein, Systeme und Dienste zu identifizieren, die derzeit von Kriminellen angegriffen werden.
Drittens müssen Unternehmen im Hinblick auf kritische Schwachstellen (CVEs) verstehen, dass die Verwendung des aktuellen CVSS-Bewertungssystems zur Priorisierung von Patches fehlerhaft ist. Wir argumentieren, dass Sicherheitsteams ein binäres Bewertungssystem definieren sollten: Ein CVE wird ausgenutzt, um in Netzwerke einzudringen, oder nicht. Das ist der Ansatz des CISA-Katalogs „Known Exploited Vulnerability“ (KEV), und wir stimmen voll und ganz dieser hervorragenden Initiative zu. Nach jahrzehntelangen Versuchen sind selbst große Unternehmen nicht in der Lage, ihre gesamte Software und Hardware zu patchen. Die Konzentration auf kritische Schwachstellen und RDP/VPN-Server würde die Sicherheitslage der meisten IT-Landschaften definitiv verbessern. Gleichzeitig helfen Sie den operativen Sicherheitsteams, sich auf das Wesentliche zu konzentrieren.
Eine letzte und entscheidende Überlegung bei der Durchführung von ASD und ASM ist schließlich die Identifizierung Ihrer Lieferanten und Tochtergesellschaften. Werden Ihre Daten verarbeitet? Wenn ja, sollten sie Teil des Asset-Inventars sein und in Ihr ASM-Programm integriert werden. Wir haben oft Berichte darüber gesehen, dass Unternehmen aufgrund eines Lieferanten oder einer Tochtergesellschaft kompromittiert wurden. Sie sollten als Teil Ihrer Organisation betrachtet werden.