Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Das Unbekannte sichtbar machen: EASM und wie es helfen kann

Absicherung von Webanwendungen mithilfe  External Attack Surface Management

External Attack Surface Management (EASM) ist nicht einfach und oftmals verwirrend, vor allem in einer Welt, in der Bestandskontrollen mangelhaft sind und die Angriffsoberfläche immer größer wird. In diesem Blog wird erläutert, was für ein erfolgreiches EASM-Programm erforderlich ist.

Fragen darüber, was External Attack Surface Management ist, gibt es zuhauf, nicht zuletzt, weil in diesem Marktsegment immer wieder neue Akronyme und Begriffe auftauchen: Attack Surface Management (ASM), Asset Discovery, External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM) und mehr. Doch Sie sollten sich nicht von all den Akronymen und Buzzwords verwirren lassen. Vielmehr ist es wichtig zu verstehen, dass Sie Assets nicht schützen können, wenn Sie nicht wissen, dass sie mit dem Internet verbunden sind. Und externe, öffentlich zugängliche Assets sind in der Regel besonders verwundbar, da sie für externe Angreifer am leichtesten zu erreichen sind.

Unter all den verschiedenen Begriffen ist EASM daher der sinnvollste, um diesen Bereich der Cybersicherheit zu beschreiben, denn er trifft den Kern der Sache: Für Unternehmen ist es von entscheidender Bedeutung, die mit dem Internet verbundenen Assets zu katalogisieren und zu verwalten, um einen wirklichen Überblick über ihren externen Fußabdruck zu erhalten. Dieses Maß an Transparenz zu erlangen, ist die erste Voraussetzung für jedes gute Sicherheitsprogramm, und deshalb ist es so wichtig, dass EASM richtig umgesetzt wird.

Lassen Sie sich nicht von veralteten Bestandskontrollen irreführen

Als Jeremiah Grossman und ich 2017-2018 begannen, uns mit EASM zu beschäftigen, fragten wir unsere potenziellen Kunden, was sie zur Nachverfolgung ihrer externen Assets verwenden. Die häufigste Antwort war „Excel“ oder andere manuelle Methoden für das Asset-Tracking. Uns wurde klar, dass unser größter Wettbewerber gar kein Wettbewerber war, sondern vielmehr Personen, die statische Listen erstellten, die dann von Hand aktualisiert wurden. Sobald sie eine Excel-Tabelle erstellt hatten, war diese bereits veraltet.

Wir stellten fest, dass selbst Unternehmen, die technologisch so ausgereift waren, dass sie ihr eigenes Asset-Management betreiben und mithilfe irgendeiner Art von Automatisierung auf dem neuesten Stand halten konnten, dennoch keine Aussicht auf ein aktualisiertes Bestandsverzeichnis hatten, wenn sie ein anderes Unternehmen übernahmen, das nicht über dieselbe technische Kompetenz verfügte.

Es bestand also eindeutig ein Bedarf für eine automatisierte Lösung, die die ständigen Veränderungen in externen Umgebungen kontinuierlich verfolgen konnte - nicht nur einmal pro Quartal oder immer dann, wenn das Team Zeit fand, seine Listen manuell zu aktualisieren.

Die manuelle Erfassung der Assets eines Unternehmens ist weder kosteneffizient noch sicher. Sie ist anfällig für menschliche Fehler und zudem äußerst zeitaufwendig. IT-Umgebungen sind lebendige, atmende Gebilde, die sich ständig und schnell verändern, sodass diese manuelle Liste zu dem Zeitpunkt, an dem sie fertiggestellt wurde, wahrscheinlich schon wieder veraltet ist. Um mit dem geschäftlichen Tempo mithalten zu können, müssen Asset-Inventare kontinuierlich in einem vergleichbaren Rhythmus aktualisiert werden und ein fester Bestandteil eines Exposure Management-Programms sein.

Stellen Sie die schwierigen, aber notwendigen Fragen

Hier ein paar harte Wahrheiten: Sie können Ihre Risiken nicht priorisieren und analysieren, wenn Sie nicht in der Lage sind, sämtliche Assets kontinuierlich zu erkennen und zu scannen – einschließlich Ihrer externen Assets. Alles andere bedeutet, sich auf Mutmaßungen und Glück zu verlassen. Sind Sie bereit, dies Ihrem Verwaltungsrat zu sagen?

Leider ist dies in den meisten Unternehmen die Realität. Laut einem Bericht von Trend Micro, der auf einer weltweiten Umfrage unter 6.300 IT- und Unternehmensentscheidern basiert, gaben 62 % der Befragten an, dass es in ihren Unternehmen blinde Flecken gibt, durch die Sicherheitsmaßnahmen behindert werden. Die von Sapio Research durchgeführte Studie ergab außerdem, dass den Befragten im Durchschnitt etwas mehr als 60 % ihrer Angriffsoberfläche bekannt ist.

Vielleicht reden Sie sich ein, dass bei Ihnen alles in Ordnung ist, weil Ihre Firma nur auf einigen wenigen IP-Blöcken hostet. Wenn dies der Fall ist, gehören Sie entweder zu der Minderheit der Unternehmen, die eine extrem gute IT-Hygiene betreiben, oder – was wahrscheinlicher ist – Sie erinnern sich einfach nicht an das DNS, das Sie bei GoDaddy oder Amazon Route 53 gehostet haben, oder an Ihre WordPress-Installationen oder Ihr Cloudflare Content Delivery Network (CDN) oder aber Ihre Microsoft 365- oder Salesforce-Instanzen.

Der springende Punkt ist, dass es in den meisten Unternehmen an Bestandskontrollen mangelt, ob wir es nun zugeben wollen oder nicht. Das liegt daran, dass die Assets von Unternehmen im gesamten Internet verstreut sind. Die Zeiten von IP-Blöcken und zusammenhängenden IP-Adressbereichen werden zunehmend durch extrem flexible Netzwerke ersetzt, die sich mit Dutzenden oder manchmal sogar Hunderten von Cloud-Anbietern verbinden können.

In einer unserer eigenen Studien stellten wir fest, dass die Assets von 22 der 50 größten britischen Unternehmen im Durchschnitt in 51 Ländern gehostet werden bzw. diese durchlaufen. Das ist eine verblüffende Zahl, wenn man bedenkt, wie viele Assets in diesen Ländern mit dem Internet verbunden sind. Eine weitere wichtige Erkenntnis war, dass die durchschnittliche Gesamtzahl der mit dem Internet verbundenen Assets bei diesen Unternehmen 76.600 betrug. Angesichts solcher Statistiken liegt es auf der Hand, dass manuell aktualisierte statische Listen einfach nicht mehr ausreichen. Es ist ja nicht so, als würden diese Zahlen zurückgehen. Trend Micro und Sapio Research stellten fest, dass 73 % der Unternehmen besorgt über ihre wachsende Angriffsoberfläche sind. Da immer mehr Unternehmen für ihre neuartigen Anwendungen auf Software-as-a-Service, Platform-as-a-Service und Infrastructure-as-a-Service umsteigen, werden wir eine zunehmende Auflösung des Perimeters erleben.

Wenn Sie also die Assets nicht auffinden können und sie nicht scannen, können Sie letztendlich nicht feststellen, welche Risiken vorhanden sind, geschweige denn diese Risiken priorisieren. Die Idee eines effektiven, proaktiven Sicherheitsprogramms wird dadurch zunichte gemacht.

Welchen Preis zahlen Sie, wenn Sie Ihre externe Angriffsoberfläche nicht kennen?

Dies ist kein theoretisches Problem. Eines der einschneidendsten Beispiele dafür war die Datenpanne bei Equifax, die Millionen von Dollar gekostet hat. Kein CISO oder Sicherheitsleiter möchte in der Situation sein, den Investoren, dem Verwaltungsrat und vor allem den Kunden kleinlaut erklären zu müssen, dass sein Unternehmen über externe Assets angegriffen wurde, von denen man nichts wusste und die daher weder überwacht noch geschützt werden konnten.

Da es heute ausreichend technische Hilfsmittel für EASM gibt, klingt diese Erklärung bei den Betroffenen dieser Übergriffe zunehmend hohl. Warum scannen Sie nicht alles? Wenn die Antwort auf diese Frage die Kosten sind, dann stellt sich die Frage, warum Sie die Infrastruktur überhaupt betreiben, wenn Sie es sich nicht leisten können, für ihre Sicherheit zu sorgen. Entweder Sie scannen alle Assets oder Sie müssen sie entfernen. Doch dazu müssen Sie erst einmal wissen, wo sich alles befindet.

Hier kommt EASM in Spiel

Es bedarf eines EASM-Systems, das die betreffenden Domains, die betreffenden IP-Adressen und offene Dienste ständig überwacht. Anschließend können Sie entscheiden, was zu tun ist. Vielleicht ist es nicht sinnvoll, Ihre Salesforce-Installation zu scannen, da Salesforce sich um dieses Risiko kümmert. Aber möglicherweise ist es durchaus angebracht, Ihre WordPress-Instanzen zu scannen, da Ihre Plugins eventuell veraltet sind. Nur wenn Sie wissen, worum es sich bei diesen Assets handelt, können Sie fundierte Entscheidungen darüber treffen, was gescannt werden soll, und auf dieser Grundlage Ihre Risiken richtig einschätzen.

Ohne das Grundlagenwissen darüber, wo Assets angesiedelt sind, ist es für Unternehmen unmöglich, einen wahrhaft risikobasierten Ansatz für die Sicherheit zu verfolgen.

Wie Tenable helfen kann

Der Vorstoß in den Bereich EASM seitens Tenable ist kein Zufall – er ist gewollt. Sichtbarkeit ist eine Grundvoraussetzung für Exposure Management, und wir bieten Ihnen mehrere Möglichkeiten, diese Sichtbarkeit zu erzielen. Doch vielleicht fragen Sie sich: „Was ist der erste Schritt?“ oder „Wie kann ich beginnen?“ Möglicherweise möchten Sie auch einfach nur weitere Informationen zu diesem Thema erhalten. Tenable kann Ihnen weiterhelfen.

Für Pentester und Consultants bietet Nessus Expert eine Funktion zur Erkennung von Domains, die unerlässlich ist, um Ihrem Kundenstamm mehr Analysemöglichkeiten zu bieten. So können Sie sich von anderen Anbietern abheben.

Wenn Sie derzeit die Enterprise-Produkte von Tenable nutzen, stehen Ihnen die in diesem Blog-Beitrag beschriebenen EASM-Funktionen zur Verfügung und können in Ihre aktuellen Workflows integriert werden.

Mehr erfahren

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen