External Attack Surface Management (EASM)

External Attack Surface Management (EASM) ist ein Prozess zur Identifizierung, Überwachung und Absicherung Ihrer extern zugänglichen digitalen Assets. Hierzu zählen:

• Öffentlich zugängliche IP-Adressen
• Domains
• Drittanbieter-Integrationen
• Cloud-Services 
• Webanwendungen

EASM-Tools decken Risiken wie z. B. Schwachstellen, Fehlkonfigurationen, Schatten-IT und Gefährdungen durch Dritte auf, um externe Cyberbedrohungen zu verringern.

Da Cyberkriminelle zunehmend ungeschützte Einstiegspunkte ausnutzen, hilft EASM Ihnen, Ihre Exposure aus der Angreiferperspektive zu erkennen, sodass Sie eine proaktive und umfassende Cyberabwehr-Strategie entwickeln können.

Mit der Ausweitung Ihrer externen Angriffsfläche steht Ihr Unternehmen vor ganz eigenen EASM-Herausforderungen:

• Durch den Umstieg auf die Cloud, Remote-Arbeit und SaaS-Lösungen von Drittanbietern steigt die Anzahl Ihrer extern zugänglichen Assets um ein Vielfaches.
• Mitarbeitende setzen unter Umständen nicht autorisierte Tools und Plattformen ein, die Kontrollmechanismen der IT-Abteilung umgehen. Dadurch entstehen nicht verwaltete Einstiegspunkte, die Angreifer ausnutzen könnten.
• Cyberangreifer können hochentwickelte Tools zur Auskundschaftung sowie Automatisierung, KI und maschinelles Lernen einsetzen, um Sicherheitslücken innerhalb Ihres digitalen Perimeters ausfindig zu machen und auszunutzen.
• Ihr Unternehmen sieht sich mit immer umfangreicheren Sicherheits- und Datenschutzvorschriften zur Verwaltung von externen Assets konfrontiert, wie etwa der Datenschutz-Grundverordnung (DSGVO), dem California Consumer Privacy Act (CCPA) und den Payment Card Industry Data Security Standards (PCI DSS).

External Attack Surface Management hilft Ihnen, diese Herausforderungen zu bewältigen. EASM ist ein wichtiger Bestandteil einer umfassenden Exposure Management-Strategie. Durch kontinuierliche Bewertung Ihrer externen Angriffsfläche werden alle Ihre extern zugänglichen Assets identifiziert, die sich in der Regel außerhalb des Blickfelds von Sicherheits- und IT-Teams befinden. Dadurch können Sie Sicherheitslücken aufspüren und schließen, bevor Angreifer sie ausnutzen.

Wird Ihre externe Angriffsfläche nicht effektiv verwaltet, erhöht sich das Risiko von Datenpannen, Betriebsstörungen und Reputationsschäden.

• EASM beginnt mit passiver Asset-Erfassung. Hierbei werden Daten aus öffentlich zugänglichen Aufzeichnungen, DNS-Einträgen, WHOIS-Datenbanken und Certificate Transparency-Protokollen gesammelt, um bekannte wie auch unbekannte Assets zu identifizieren, darunter auch in der Vergangenheit genutzte Domains und zuvor eingesetzte Infrastruktur.
• Im Anschluss führt die Plattform aktives Scanning und Fingerprinting durch. Dabei werden erfasste Assets durch eine Analyse der offenen Ports, ausgeführten Dienste, TLS-Konfigurationen und Webanwendungen validiert, um Asset-Besitzer und potenzielle Schwachstellen zu ermitteln.
• Durch Auflistung von Domains und Subdomains können Sie registrierte Domains, Subdomains und cloudbasierte Services ausfindig machen und parallel dazu DNS-Einträge auf Änderungen überwachen, um Risiken wie z. B. eine Übernahme von Subdomains zu vermeiden.
• EASM-Tools bilden darüber hinaus IP-Bereiche und Cloud-Ressourcen ab. EASM kann extern zugängliche Assets in AWS, Azure, Cloudflare und GCP ausfindig machen, um Fehlkonfigurationen wie gefährdete Storage-Buckets und unsachgemäß abgesicherte virtuelle Maschinen aufzudecken.

Sobald das System Assets erfasst, werden Sicherheitslücken durch kontinuierliche Überwachung und Risikobewertung in Echtzeit nachverfolgt und Probleme entsprechend gekennzeichnet. Hierzu zählen beispielsweise abgelaufene SSL-Zertifikate, offene Ports, öffentlich zugängliche Datenbanken und gefährdete Admin-Panels.

Der Hauptunterschied zwischen External Attack Surface Management (EASM) und Internal Attack Surface Management (IASM) besteht darin, dass IASM innerhalb Ihres Netzwerks erfolgt und dabei Zugriff auf Scan-Systeme erfordert. EASM identifiziert Risiken von außerhalb Ihres Netzwerks aus anhand öffentlicher Datenquellen.

• Internal Attack Surface Management (IASM) konzentriert sich auf die Absicherung Ihrer internen IT-Umgebung, darunter On-Prem-Server, Geräte von Mitarbeitenden und interne Apps. Hierbei werden Schwachstellen, Fehlkonfigurationen und Insider-Bedrohungen identifiziert.
• External Attack Surface Management (EASM) erfasst und schützt öffentlich zugängliche Assets wie Web-Apps, Cloud-Services und DNS-Einträge. Hierbei wird kontinuierlich auf gefährdete Systeme, Fehlkonfigurationen, Schatten-IT sowie Risiken durch Dritte gescannt, sodass Angreifer nicht in der Lage sind, unbekannte oder nicht überwachte Assets auszunutzen.

Mithilfe von EASM-Tools Sie zu Folgendem in der Lage:

• Machen Sie sämtliche Assets mit Internetanbindung automatisch ausfindig, darunter auch nicht verwaltete oder „aufgegebene“ Ressourcen wie Schatten-IT und Legacy-Anwendungen.
• Verknüpfen Sie Daten zur externen Angriffsfläche nahtlos miteinander, wie beispielsweise Daten aus Configuration Management Databases (CMDBs), Vulnerability Management-Plattformen und sogenannten Exposure Assessment Platforms (EAPs).
• Weisen Sie Schwachstellen entsprechende Risikostufen nach der jeweiligen Kritikalität zu, um sich auf Ihre dringlichsten externen Bedrohungen zu fokussieren.
• Erkennen Sie potenzielle Einstiegspunkte, die das Cyberrisiko erhöhen, wie etwa offene Ports, Fehlkonfigurationen und veraltete Software, die Angreifer ausnutzen könnten.
• Behalten Sie Änderungen auf der Angriffsfläche stets in Echtzeit im Blick, einschließlich neu aufgedeckter Schwachstellen oder Gefährdungen.
• Erstellen Sie leicht verständliche Berichte mit maßgeschneiderten Empfehlungen zur Risikominderung.

• EASM identifiziert alle öffentlich zugänglichen Assets, wie etwa in Vergessenheit geratene Domains, Cloud-Instanzen und Drittanbieterdienste, um Risiken durch Schatten-IT zu reduzieren.
• EASM scannt kontinuierlich auf Fehlkonfigurationen, offene Ports, gefährdete Datenbanken und schwache Sicherheitseinstellungen, bevor Angreifer sie ausnutzen.
• EASM verschafft Ihnen eine Echtzeit-Ansicht Ihrer externen Angriffsfläche, damit Sie neuartige Bedrohungen wie Phishing-Domains, Identitätsmissbrauch und geleakte Zugangsdaten aufspüren können.
• EASM macht überflüssige oder nicht mehr genutzte Assets ausfindig und beseitigt sie, um Ihren externen Fußabdruck zu verringern und es Angreifern so zu erschweren, Einstiegspunkte auszumachen.
• EASM sichert Cloud-Workloads, Umgebungen, APIs und Speicher-Buckets ab.
• EASM unterstützt die Einhaltung von Frameworks wie NIST, ISO 27001 und PCI DSS. 
• EASM vermittelt Ihnen Erkenntnisse, die Sie bei der Priorisierung von Behebungsmaßnahmen unterstützen. Dies geschieht durch Simulation der Art und Weise, wie Angreifer Ihre Assets erfassen und ins Visier nehmen.

Zur Reduzierung Ihrer externen Angriffsfläche gibt es einige Strategien, mit denen Sie Ihren digitalen Fußabdruck insgesamt verringern können.

• Inventarisieren Sie Ihre digitalen Assets und bilden Sie sie ab, um das volle Ausmaß Ihrer externen Angriffsfläche nachzuvollziehen. Hierzu zählt auch die Identifizierung sämtlicher Systeme, Anwendungen und Services mit Internetanbindung. Eine Hardware- und Software-Inventarisierung gehört zu den Grundprinzipien von Frameworks wie dem NIST Cybersecurity Framework oder den CIS Controls.
• Reduzieren Sie Komplexität in Ihrer IT-Umgebung, indem Sie unnötige Anwendungen, Geräte und Funktionen entfernen.
• Scannen Sie regelmäßig auf Schwachstellen und beheben Sie Fehlkonfigurationen umgehend. Hierzu gehören auch Bewertungen der Sicherheitskonfiguration sowie quantitative Risikobewertungen.

Bei EASM und Cyber Asset Attack Surface Management (CAASM) stehen Sichtbarkeit und Risikoreduzierung im Vordergrund, doch ihre Anwendungsbereiche unterscheiden sich.

EASM-Anwendungsbereich

• Bei EASM richtet sich der Fokus auf Assets, die für externe Angreifer sichtbar sind.
• EASM erkennt Risiken wie Schatten-IT, anfällige Web-Apps und Drittanbieter-Integrationen.
• EASM wird durch Threat Intelligence unterstützt und hilft dabei, externe Bedrohungen und Schwachstellen für die Behebung zu priorisieren.

CAASM-Anwendungsbereich

• CAASM bietet interne Sichtbarkeit – über IT-, IoT-, OT- und Cloud-Umgebungen hinweg.
• CAASM bildet Beziehungen zwischen Assets, Konfigurationen und Identitäten ab, um umfassende Risikobewertungen zu ermöglichen.
• CAASM hilft bei der Verwaltung von Schwachstellen und Sicherheitskontrollen innerhalb Ihrer internen Infrastruktur.

In Kombination vermitteln Ihnen EASM und CAASM ein vollständiges Bild der externen und internen Cyberrisiken.

Innerhalb des CTEM-Frameworks (Continuous Threat Exposure Management) ist EASM für die Phasen Scoping und Erfassung von zentraler Bedeutung.

In der Scoping-Phase werden die Grenzen Ihrer externen Angriffsfläche definiert – durch Identifizierung sämtlicher Assets, die Angreifer ins Visier nehmen. EASM unterstützt dies, indem bekannte und unbekannte Assets mit Internetanbindung kontinuierlich abgebildet werden, sodass Sie Ihren Anwendungsbereich basierend auf neuartigen Risiken definieren und präzisieren können.

In der Erfassungsphase (Discovery) werden externe Assets identifiziert und katalogisiert, darunter auch Schatten-IT sowie Gefährdungen durch Dritte. EASM verbessert die Erfassung durch automatisierte Auskundschaftung, Datenkorrelation und Threat Intelligence, um verborgene, in Vergessenheit geratene oder falsch konfigurierte Assets aufzudecken, die Bedrohungsakteure ausnutzen könnten.

Hier einige Tipps, mit deren Hilfe Sie EASM-Strategien im Rahmen Ihres umfassenden Risikomanagementprogramms implementieren können:

1. Identifizieren Sie Ihre geschäftskritischsten extern zugänglichen Assets, die es zu schützen gilt.
2. Evaluieren Sie EASM-Tools anhand von Erfassungsgenauigkeit, Monitoring-Funktionen sowie der Frage, wie einfach sie sich in Ihre bestehenden Systeme einbinden lassen.
3. Stellen Sie sicher, dass sich die EASM-Plattform nahtlos in Ihre Lösungen für Schwachstellenbewertung (Vulnerability Assessment, VA) und Schwachstellenmanagement (Vulnerability Management, VM), in Tools zur Asset-Inventarisierung und in breiter gefasste Sicherheits-Frameworks integrieren lässt.
4. Seien Sie Bedrohungen stets einen Schritt voraus, indem Sie Ihre externe Angriffsfläche und die sich wandelnde Bedrohungslandschaft regelmäßig neu bewerten und sich entsprechend an Änderungen anpassen.
5. Legen Sie Workflows zwischen IT-, Sicherheits- und Compliance-Teams fest, um die Risikominderung zu optimieren.

Wenn EASM im Rahmen einer umfassenden Exposure Management-Strategie implementiert wird, kann dies Risiken auf Ihrer Angriffsfläche minimieren und die geschäftliche Resilienz unterstützen.

Möchten Sie mehr darüber erfahren, wie EASM sich in Ihr Cybersecurity-Framework einfügt? Ziehen Sie eine Zusammenarbeit mit einem führenden Anbieter von External Attack Surface Management (EASM) wie Tenable in Betracht. Die ASM-Tools von Tenable lassen sich nahtlos in umfassendere ASM-Praktiken und CTEM-Programme einbinden.