Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Endlich die „unbekannten Unbekannten“ auf Ihrer gesamten Angriffsoberfläche finden

Endlich die „unbekannten Unbekannten“ auf Ihrer gesamten Angriffsoberfläche finden

CISOs graut es vor den „unbekannten Unbekannten“ – Assets, Schwachstellen, Fehlkonfigurationen und Systemschwächen, die das Sicherheitsteam nicht erkannt und daher nicht abgesichert hat. Diese blinden Flecken öffnen Angreifern Tür und Tor und stellen für Unternehmen ein beträchtliches Sicherheitsrisiko dar.

Unbekannte Unbekannte. Das ist die Antwort, die ich im Laufe meiner Karriere von CISOs und anderen Sicherheitsverantwortlichen auf die Frage „Was bereitet Ihnen schlaflose Nächte?“ am häufigsten erhalten habe. Die meisten Sicherheitsprogramme sind darauf ausgelegt, einen umfassenden Einblick in die Umgebung zu liefern und zu ermitteln, wo Unternehmen am stärksten gefährdet sind. Mithilfe dieser Erkenntnisse kann entschieden werden, wie und wo Risiken am besten einzudämmen sind, um potenzielle Schäden für das Unternehmen zu reduzieren. In vielerlei Hinsicht besteht die eigentliche Aufgabe sämtlicher Sicherheitsmaßnahmen darin, im Rahmen von Risikomanagementprogrammen als treibende Kraft zu fungieren. Es gibt zahlreiche Tools und Techniken, die zu Transparenz beitragen. Doch die unbekannten Unbekannten zu erfassen, zu verstehen und sich ihrer bewusst zu werden, stellt noch immer eine große Herausforderung dar. Sobald diese Risiken sichtbar sind und entsprechend berücksichtigt wurden, können Sicherheitsteams ihre Entscheidungsfindungs-Engine nutzen und sie auf dieselbe Weise eindämmen wie alle anderen bekannten Risiken.

In den letzten Jahren haben sich insbesondere zwei Techniken herauskristallisiert, die Sicherheitsteams dabei helfen, die Lücke im Hinblick auf unbekannte Unbekannte zu schließen: EASM (External Attack Surface Management) und APA (Attack Path Analysis). Im Folgenden gehen wir darauf ein, was diese Techniken sind, warum sie sich zu einem unverzichtbaren Bestandteil von ausgereiften Sicherheitsprogrammen entwickeln und wie sie Sicherheitsabteilungen dabei unterstützen, die Angriffsoberfläche ihrer Umgebung in den Griff zu bekommen.

Attack Surface Management

Ein Bereich, der häufig unbekannte Unbekannte verbirgt und sich besonders schwer nachvollziehen und verwalten lässt, ist der extern zugängliche Teil einer Unternehmensinfrastruktur. Öffentlich und kontinuierlich über das Internet zugängliche Assets fallen Angreifern sofort ins Auge und werden bei Kompromittierungsversuchen als Erstes angegriffen. Es ist davon auszugehen, dass Angreifer sich damit verbinden und sie sogar zur Sondierung einsetzen. Für Verteidiger erweist sich dies jedoch als Problem, wenn Assets im öffentlichen Raum vorhanden sind, von denen sie keine Kenntnis haben. Beispielsweise könnte ein in Vergessenheit geratener DNS-Eintrag von einem Angreifer zu Betrugszwecken missbraucht werden. Oder auch ein unzureichend abgesicherter Server oder eine Webanwendung, die ein wohlmeinender Entwickler zu Testzwecken in Betrieb genommen hat – mit den Domäneninformationen des Unternehmens. Unternehmen haben in der Regel Dutzende von Assets und Services, von denen Sicherheitsteams nichts wissen, Angreifer aber sehr wahrscheinlich schon.

EASM-Technologie trägt speziell diesem Problem Rechnung, indem sie öffentlich zugängliche Assets kontinuierlich scannt und überwacht. Mit diesen Tools kann ganz einfach nach sämtlichen Informationen gesucht werden, die mit öffentlichen Assets eines Unternehmens verknüpft sind (z. B. nach Domänenname, IP-Adressbereich usw.). Bei richtiger Anwendung liefert EASM einen einheitlichen und konstanten Einblick in diese öffentlich zugänglichen Assets – unabhängig davon, wo sie sich befinden und um welche Assets es sich handelt. Übrigens, als ich noch als Consultant mit Unternehmen zusammengearbeitet habe, identifizierten EASM-Tools deutlich mehr öffentlich zugängliche Assets, als die meisten Sicherheitsteams für möglich halten würden. Und durch den Aufstieg von Cloud-Infrastrukturen und -Umgebungen ist es für Entwickler, IT-Mitarbeiter und selbst das Sicherheitsteam einfacher geworden, neue Assets hochzufahren, die möglicherweise nicht konsistent erfasst oder identifiziert werden. Mithilfe von EASM können potenzielle Angriffsvektoren jedoch aufgedeckt und entsprechende Schritte unternommen werden, um sie entweder in Maßnahmen zur Risikominderung einzubeziehen oder gänzlich zu entfernen, sodass sie nicht mehr für böswillige Absichten nutzbar sind. Dieses leistungsstarke Tool bringt Licht in Bereiche, in denen Assets mit Internetverbindung ohne automatisiertes Toolset nur schwer aufgespürt, identifiziert und geordnet werden können.

Analyse von Angriffspfaden

Wenn EASM dazu beiträgt, potenzielle Einstiegspunkte für Angreifer zu identifizieren, kann APA im Anschluss identifizieren, welche Schwachstellen, Fehlkonfigurationen und andere Systemschwächen wahrscheinlich für den Zugriff auf kritische Datenbestände und Assets genutzt werden. Auf elementarster Ebene stellt APA Beziehungen zwischen gänzlich verschiedenen Sicherheitsergebnissen her. Dadurch werden Stellen erkannt, die ohne Wissen des Sicherheitsteams kompromittiert werden könnten, oder Bereiche, in denen Sicherheitskontrollen umgangen werden können, um kritische Ziele zu erreichen. Einige SIEM-Tools (Security Information and Event Management) und BAS-Produkte (Breach Attack Simulation) versuchen, diese Beziehungen zwischen Schwachstellen zu identifizieren. Doch ihre Funktionen sind entweder sehr eingeschränkt oder sie replizieren bekannte Angriffe nur auf statische Art Weise gegen eine einzelne Schwachstelle. APA-Technologie hingegen rollt das Ganze von unten nach oben auf und setzt Schwachstellenbewertungen und Exposure-Management ein, was ein umfangreicheres Verständnis von Konfiguration, Schwachstellenstatus und Risikokontext jedes Assets vermittelt. Dadurch können APA-Tools die Sicherheitslage jedes Assets deutlich besser abbilden und bieten folglich einen umfassenderen Überblick über die Beziehungen zwischen sämtlichen Daten.

Stellen Sie es sich so vor: Wenn ein Nagel zu einem platten Reifen führen kann, dann wissen wir, dass es eine Bedrohung (Nägel) und eine Schwachstelle (Gummi hält Einstichen nicht stand) gibt. Wir könnten diese Informationen nutzen, um andere Reifen zu testen und zu bestätigen, dass auch bei ihnen das Risiko einer Reifenpanne durch Nägel besteht. Wenn wir dieselbe Bedrohung aber auf andere Fahrzeugteile übertragen, sieht das Ergebnis ganz anders aus. Sollte ein Nagel die Metallkarosserie des Fahrzeugs punktieren, hat dies nicht dieselben Auswirkungen, und der Motorblock wird unter Umständen sogar gar keinen Schaden nehmen. Wenn eine einzelne Bedrohung und ein einzelner Schwachstellentyp immer wieder zur Bewertung des Risikos für das gesamte Fahrzeug verwendet werden, ergeben sich keine wirklich aussagekräftigen Informationen zu der Frage, was gefährdet ist und welche Konsequenzen auftreten könnten. 

Was aber passiert, wenn zwischen verschiedenen zusammenhängenden Bedrohungsarten ein Bezug hergestellt wird? Ein Nagel kann zu einem platten Reifen führen, und wenn der Reifen platzt, fährt das Fahrzeug vielleicht so lange auf der Felge, dass strukturelle Schäden an der Radaufhängung oder am Bremssystem entstehen. Wenn das Fahrzeug alt ist oder nicht ordnungsgemäß instand gehalten wurde, könnte sich der Dominoeffekt fortsetzen und zu einer Beschädigung des Motors oder der Kühlsysteme führen. In diesem Fall geht es um unterschiedliche Arten von Bedrohungen und Schwachstellen. Doch wir können sie in Bezug setzen und dadurch herausfinden, welche breiter gefassten systemischen Ausfälle sich durch die ursprüngliche Einzelbedrohung ergeben könnten.

Genau dasselbe gilt für die moderne Angriffsoberfläche in Unternehmen. Ein öffentlich zugängliches Asset könnte wegen eines fehlerhaft konfigurierten Ports kompromittiert sein, wodurch ein Angreifer dann in der Lage ist, von diesem Host aus einen SQL-Injection-Angriff auf eine Webanwendung eines Unternehmens zu starten. Die kompromittierte Anwendung legt wiederum Daten offen, durch die der Angreifer an Benutzernamen und Passwörter gelangen kann, die ihm Zugriff auf einen anderen Host gewähren. Von dort aus kann er einen größeren Angriff auf eine bekannte ausnutzbare Windows-Schwachstelle starten, die ihm ausgeweiteten administrativen Zugriff gewährt. Mit diesem kann der Angreifer das interne Netzwerk durchqueren und beliebige kritische Assets erreichen, auf die er es abgesehen hat. Nach diesem Muster laufen Angriffe in etwa ab. Um sich erfolgreich dagegen zu verteidigen, müssen wir den gesamten Angriffspfad verstehen und nachvollziehen können, an welcher Stelle ein Schwachstellentyp zur Ausnutzung eines weiteren führen kann. Oftmals handelt es sich dabei um völlig verschiedene Schwachstellentypen. Für die Entscheidung, wo schnell bereitzustellende und kostengünstige Sicherheitskontrollen implementiert werden müssen, ist dies ausschlaggebend. Dadurch sind wir in der Lage, Lücken in unseren Schutzmaßnahmen zu schließen, die uns bisher unbekannt waren. 

Mit Defense-in-Depth-Strategien wurde schon immer das Ziel verfolgt, Sicherheitskontrollen auf mehreren Ebenen einzurichten, damit bekannte Assets und Einfallstore abgesichert sind. APA bringt die unbekannten Unbekannten zum Vorschein, die Hacker wahrscheinlich angreifen und zur Durchquerung der Umgebung nutzen werden. Diese besonderen Angriffsvektoren werden somit zu „bekannten Bekannten“ und Teams können ihre Kontrollen ausweiten, um vorhandene Lücken zu schließen. 

Keine unbekannten Unbekannten mehr

Umgebungen werden immer komplexer. Dadurch nimmt auch das Potenzial für Angriffsvektoren, die als unbekannte Unbekannte einzustufen sind, exponentiell zu. Wenn Sicherheitsteams unsere bestehenden Best Practices für Schwachstellenbewertung, Konfigurationsbewertung und Risikomanagement als Grundlage nutzen, um die Beziehungen zwischen sämtlichen Ergebnissen zu analysieren, erhalten sie ein Tool von unschätzbarem Wert, mit dessen Hilfe sie ihre Infrastruktur schützen, die Anzahl der unbekannten Unbekannten reduzieren und nachts hoffentlich ruhiger schlafen können.

Möchten Sie weitere Anleitungen für Ihre Sicherheitsstrategie? Lesen Sie den Rückblick auf die Bedrohungslandschaft 2021 von Tenable, der eine umfassende Analyse der Bedrohungslandschaft des letzten Jahres bietet, die Sicherheitsexperten nutzen können, um ihre Sicherheit jetzt zu verbessern. Sehen Sie sich außerdem dieses Webinar an: „Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First.“

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Testversion von Tenable.cs Cloud Security umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen