Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Endlich die „unbekannten Unbekannten“ auf Ihrer gesamten Angriffsoberfläche finden

Endlich die „unbekannten Unbekannten“ auf Ihrer gesamten Angriffsoberfläche finden

CISOs graut es vor den „unbekannten Unbekannten“ – Assets, Schwachstellen, Fehlkonfigurationen und Systemschwächen, die das Sicherheitsteam nicht erkannt und daher nicht abgesichert hat. Diese blinden Flecken öffnen Angreifern Tür und Tor und stellen für Unternehmen ein beträchtliches Sicherheitsrisiko dar.

Unbekannte Unbekannte. Das ist die Antwort, die ich im Laufe meiner Karriere von CISOs und anderen Sicherheitsverantwortlichen auf die Frage „Was bereitet Ihnen schlaflose Nächte?“ am häufigsten erhalten habe. Die meisten Sicherheitsprogramme sind darauf ausgelegt, einen umfassenden Einblick in die Umgebung zu liefern und zu ermitteln, wo Unternehmen am stärksten gefährdet sind. Mithilfe dieser Erkenntnisse kann entschieden werden, wie und wo Risiken am besten einzudämmen sind, um potenzielle Schäden für das Unternehmen zu reduzieren. In vielerlei Hinsicht besteht die eigentliche Aufgabe sämtlicher Sicherheitsmaßnahmen darin, im Rahmen von Risikomanagementprogrammen als treibende Kraft zu fungieren. Es gibt zahlreiche Tools und Techniken, die zu Transparenz beitragen. Doch die unbekannten Unbekannten zu erfassen, zu verstehen und sich ihrer bewusst zu werden, stellt noch immer eine große Herausforderung dar. Sobald diese Risiken sichtbar sind und entsprechend berücksichtigt wurden, können Sicherheitsteams ihre Entscheidungsfindungs-Engine nutzen und sie auf dieselbe Weise eindämmen wie alle anderen bekannten Risiken.

In den letzten Jahren haben sich insbesondere zwei Techniken herauskristallisiert, die Sicherheitsteams dabei helfen, die Lücke im Hinblick auf unbekannte Unbekannte zu schließen: EASM (External Attack Surface Management) und APA (Attack Path Analysis). Im Folgenden gehen wir darauf ein, was diese Techniken sind, warum sie sich zu einem unverzichtbaren Bestandteil von ausgereiften Sicherheitsprogrammen entwickeln und wie sie Sicherheitsabteilungen dabei unterstützen, die Angriffsoberfläche ihrer Umgebung in den Griff zu bekommen.

Attack Surface Management

Ein Bereich, der häufig unbekannte Unbekannte verbirgt und sich besonders schwer nachvollziehen und verwalten lässt, ist der extern zugängliche Teil einer Unternehmensinfrastruktur. Öffentlich und kontinuierlich über das Internet zugängliche Assets fallen Angreifern sofort ins Auge und werden bei Kompromittierungsversuchen als Erstes angegriffen. Es ist davon auszugehen, dass Angreifer sich damit verbinden und sie sogar zur Sondierung einsetzen. Für Verteidiger erweist sich dies jedoch als Problem, wenn Assets im öffentlichen Raum vorhanden sind, von denen sie keine Kenntnis haben. Beispielsweise könnte ein in Vergessenheit geratener DNS-Eintrag von einem Angreifer zu Betrugszwecken missbraucht werden. Oder auch ein unzureichend abgesicherter Server oder eine Webanwendung, die ein wohlmeinender Entwickler zu Testzwecken in Betrieb genommen hat – mit den Domäneninformationen des Unternehmens. Unternehmen haben in der Regel Dutzende von Assets und Services, von denen Sicherheitsteams nichts wissen, Angreifer aber sehr wahrscheinlich schon.

EASM-Technologie trägt speziell diesem Problem Rechnung, indem sie öffentlich zugängliche Assets kontinuierlich scannt und überwacht. Mit diesen Tools kann ganz einfach nach sämtlichen Informationen gesucht werden, die mit öffentlichen Assets eines Unternehmens verknüpft sind (z. B. nach Domänenname, IP-Adressbereich usw.). Bei richtiger Anwendung liefert EASM einen einheitlichen und konstanten Einblick in diese öffentlich zugänglichen Assets – unabhängig davon, wo sie sich befinden und um welche Assets es sich handelt. Übrigens, als ich noch als Consultant mit Unternehmen zusammengearbeitet habe, identifizierten EASM-Tools deutlich mehr öffentlich zugängliche Assets, als die meisten Sicherheitsteams für möglich halten würden. Und durch den Aufstieg von Cloud-Infrastrukturen und -Umgebungen ist es für Entwickler, IT-Mitarbeiter und selbst das Sicherheitsteam einfacher geworden, neue Assets hochzufahren, die möglicherweise nicht konsistent erfasst oder identifiziert werden. Mithilfe von EASM können potenzielle Angriffsvektoren jedoch aufgedeckt und entsprechende Schritte unternommen werden, um sie entweder in Maßnahmen zur Risikominderung einzubeziehen oder gänzlich zu entfernen, sodass sie nicht mehr für böswillige Absichten nutzbar sind. Dieses leistungsstarke Tool bringt Licht in Bereiche, in denen Assets mit Internetverbindung ohne automatisiertes Toolset nur schwer aufgespürt, identifiziert und geordnet werden können.

Analyse von Angriffspfaden

Wenn EASM dazu beiträgt, potenzielle Einstiegspunkte für Angreifer zu identifizieren, kann APA im Anschluss identifizieren, welche Schwachstellen, Fehlkonfigurationen und andere Systemschwächen wahrscheinlich für den Zugriff auf kritische Datenbestände und Assets genutzt werden. Auf elementarster Ebene stellt APA Beziehungen zwischen gänzlich verschiedenen Sicherheitsergebnissen her. Dadurch werden Stellen erkannt, die ohne Wissen des Sicherheitsteams kompromittiert werden könnten, oder Bereiche, in denen Sicherheitskontrollen umgangen werden können, um kritische Ziele zu erreichen. Einige SIEM-Tools (Security Information and Event Management) und BAS-Produkte (Breach Attack Simulation) versuchen, diese Beziehungen zwischen Schwachstellen zu identifizieren. Doch ihre Funktionen sind entweder sehr eingeschränkt oder sie replizieren bekannte Angriffe nur auf statische Art Weise gegen eine einzelne Schwachstelle. APA-Technologie hingegen rollt das Ganze von unten nach oben auf und setzt Schwachstellenbewertungen und Exposure-Management ein, was ein umfangreicheres Verständnis von Konfiguration, Schwachstellenstatus und Risikokontext jedes Assets vermittelt. Dadurch können APA-Tools die Sicherheitslage jedes Assets deutlich besser abbilden und bieten folglich einen umfassenderen Überblick über die Beziehungen zwischen sämtlichen Daten.

Stellen Sie es sich so vor: Wenn ein Nagel zu einem platten Reifen führen kann, dann wissen wir, dass es eine Bedrohung (Nägel) und eine Schwachstelle (Gummi hält Einstichen nicht stand) gibt. Wir könnten diese Informationen nutzen, um andere Reifen zu testen und zu bestätigen, dass auch bei ihnen das Risiko einer Reifenpanne durch Nägel besteht. Wenn wir dieselbe Bedrohung aber auf andere Fahrzeugteile übertragen, sieht das Ergebnis ganz anders aus. Sollte ein Nagel die Metallkarosserie des Fahrzeugs punktieren, hat dies nicht dieselben Auswirkungen, und der Motorblock wird unter Umständen sogar gar keinen Schaden nehmen. Wenn eine einzelne Bedrohung und ein einzelner Schwachstellentyp immer wieder zur Bewertung des Risikos für das gesamte Fahrzeug verwendet werden, ergeben sich keine wirklich aussagekräftigen Informationen zu der Frage, was gefährdet ist und welche Konsequenzen auftreten könnten. 

Was aber passiert, wenn zwischen verschiedenen zusammenhängenden Bedrohungsarten ein Bezug hergestellt wird? Ein Nagel kann zu einem platten Reifen führen, und wenn der Reifen platzt, fährt das Fahrzeug vielleicht so lange auf der Felge, dass strukturelle Schäden an der Radaufhängung oder am Bremssystem entstehen. Wenn das Fahrzeug alt ist oder nicht ordnungsgemäß instand gehalten wurde, könnte sich der Dominoeffekt fortsetzen und zu einer Beschädigung des Motors oder der Kühlsysteme führen. In diesem Fall geht es um unterschiedliche Arten von Bedrohungen und Schwachstellen. Doch wir können sie in Bezug setzen und dadurch herausfinden, welche breiter gefassten systemischen Ausfälle sich durch die ursprüngliche Einzelbedrohung ergeben könnten.

Genau dasselbe gilt für die moderne Angriffsoberfläche in Unternehmen. Ein öffentlich zugängliches Asset könnte wegen eines fehlerhaft konfigurierten Ports kompromittiert sein, wodurch ein Angreifer dann in der Lage ist, von diesem Host aus einen SQL-Injection-Angriff auf eine Webanwendung eines Unternehmens zu starten. Die kompromittierte Anwendung legt wiederum Daten offen, durch die der Angreifer an Benutzernamen und Passwörter gelangen kann, die ihm Zugriff auf einen anderen Host gewähren. Von dort aus kann er einen größeren Angriff auf eine bekannte ausnutzbare Windows-Schwachstelle starten, die ihm ausgeweiteten administrativen Zugriff gewährt. Mit diesem kann der Angreifer das interne Netzwerk durchqueren und beliebige kritische Assets erreichen, auf die er es abgesehen hat. Nach diesem Muster laufen Angriffe in etwa ab. Um sich erfolgreich dagegen zu verteidigen, müssen wir den gesamten Angriffspfad verstehen und nachvollziehen können, an welcher Stelle ein Schwachstellentyp zur Ausnutzung eines weiteren führen kann. Oftmals handelt es sich dabei um völlig verschiedene Schwachstellentypen. Für die Entscheidung, wo schnell bereitzustellende und kostengünstige Sicherheitskontrollen implementiert werden müssen, ist dies ausschlaggebend. Dadurch sind wir in der Lage, Lücken in unseren Schutzmaßnahmen zu schließen, die uns bisher unbekannt waren. 

Mit Defense-in-Depth-Strategien wurde schon immer das Ziel verfolgt, Sicherheitskontrollen auf mehreren Ebenen einzurichten, damit bekannte Assets und Einfallstore abgesichert sind. APA bringt die unbekannten Unbekannten zum Vorschein, die Hacker wahrscheinlich angreifen und zur Durchquerung der Umgebung nutzen werden. Diese besonderen Angriffsvektoren werden somit zu „bekannten Bekannten“ und Teams können ihre Kontrollen ausweiten, um vorhandene Lücken zu schließen. 

Keine unbekannten Unbekannten mehr

Umgebungen werden immer komplexer. Dadurch nimmt auch das Potenzial für Angriffsvektoren, die als unbekannte Unbekannte einzustufen sind, exponentiell zu. Wenn Sicherheitsteams unsere bestehenden Best Practices für Schwachstellenbewertung, Konfigurationsbewertung und Risikomanagement als Grundlage nutzen, um die Beziehungen zwischen sämtlichen Ergebnissen zu analysieren, erhalten sie ein Tool von unschätzbarem Wert, mit dessen Hilfe sie ihre Infrastruktur schützen, die Anzahl der unbekannten Unbekannten reduzieren und nachts hoffentlich ruhiger schlafen können.

Möchten Sie weitere Anleitungen für Ihre Sicherheitsstrategie? Lesen Sie den Rückblick auf die Bedrohungslandschaft 2021 von Tenable, der eine umfassende Analyse der Bedrohungslandschaft des letzten Jahres bietet, die Sicherheitsexperten nutzen können, um ihre Sicherheit jetzt zu verbessern. Sehen Sie sich außerdem dieses Webinar an: „Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First.“

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen