Was ist CAASM?

Cyber Asset Attack Surface Management (CAASM) ist eine proaktive Methode zur Identifizierung, Verwaltung und Reduzierung Ihrer Cyber-Angriffsfläche. CAASM bietet Ihnen einen einheitlichen Überblick über all Ihre Assets, einschließlich On-Prem-, Cloud- und Drittumgebungen. 

CAASM unterstützt Sicherheitsteams dabei, Daten aus verschiedenen Quellen zu inventarisieren und zu korrelieren, um sich ein besseres Verständnis aller vernetzten Assets und der damit verbundenen Risiken zu verschaffen.

Im Zuge der Einführung neuer Technologien und der Ausweitung des digitalen Fußabdrucks wächst die Angriffsfläche Ihres Unternehmens exponentiell. Dadurch entstehen Sicherheitslücken und Schwachstellen, die Angreifer ausnutzen können. 

Herkömmliche Asset-Management-Tools bieten Ihnen keine konsolidierte Ansicht, die sich über verschiedene Umgebungen erstreckt. Wird die Sichtbarkeit von Assets mittels CAASM vereinheitlicht, können Sie Cyberrisiken effektiver priorisieren und proaktiv beheben.

Die zentrale Rolle der CAASM-Tools besteht darin, ein einheitliches Bestandsverzeichnis mitsamt allen bekannten Daten zu Assets, Risiken und Konfigurationen bereitzustellen. 

Einige CAASM-Tools können die Angriffsfläche mithilfe von aktivem oder passivem Monitoring unmittelbar scannen. Die meisten Tools lassen sich jedoch über APIs direkt in bestehende Tools integrieren, um Informationen zu Assets zu aggregieren. 

Zu den gängigen Datenquellen gehören u. a. IT-Asset-Management, Configuration Management Database (CMDB), Netzwerkerkennung, Schwachstellenanalyse, External Attack Surface Management (EASM), Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Cloud-Sicherheit, Security Information and Event Management (SIEM), Sicherheit operativer Technologien (OT), Identitäts- und Zugriffsverwaltung, Software Composition Analysis und DevOps. 

CAASM-Tools sammeln Asset-Informationen aus verschiedenen Quellen und speichern sie zu Analysezwecken in einem zentralen Data Lake. 

Anschließend werden Asset-Informationen aus verschiedenen Tools rationalisiert und normalisiert, um die Datenformatierung zu deduplizieren und zu standardisieren und eine einheitliche Ansicht der Assets zu erstellen. 

Auch redundante oder widersprüchliche Einträge, wie z. B. unterschiedliche Namen für dasselbe Gerät in verschiedenen Tools, werden optimiert.

Im Anschluss werden Asset-Informationen mit Kontextinformationen aus verschiedenen Tools angereichert, um noch detailliertere Erkenntnisse bereitzustellen, wie etwa alle bekannten Details zu den Risiken des jeweiligen Assets, darunter Schwachstellen, Fehlkonfigurationen und übermäßige Berechtigungen, Asset-Verantwortliche und -Nutzung, Compliance-Status und Asset-Beziehungen. Einige Beispiele für Asset-Beziehungen sind: Konnektivität zwischen Assets, virtuelle Ressourcen und Workloads, die mit einem Asset verknüpft sind, sowie Beziehungen zwischen Assets und Identitäten, wie etwa den Nutzern eines Assets. 

CAASM-Tools bewerten und normalisieren Risiken auf der gesamten Angriffsfläche, um eine entsprechende Priorisierung zu ermöglichen. 

Bei der Risikopriorisierung werden in der Regel mehrere wichtige Variablen berücksichtigt, darunter der Schweregrad eines Risikos basierend auf Prioritäten oder branchenübliches Scoring – etwa nach dem Common Vulnerability Scoring System (CVSS), das einen qualitativen Wert für den Schweregrad von Schwachstellen verwendet. 

Die Ausnutzbarkeit von Risiken beeinflusst die Schwachstellenpriorisierung. Hierbei werden Faktoren wie verfügbarer Exploit-Code für Schwachstellen und die Zugänglichkeit von Assets über das Internet berücksichtigt. 

Bei der Asset-Kritikalität stehen die Asset-Rollen, z. B. „Business“, oder die jeweiligen wesentlichen Auswirkungen im Vordergrund, wie z. B. das Potenzial, einen kritischen Business-Service, Prozess oder eine Funktion zu stören. 

Da die meisten Tools individuelles Risiko-Scoring bieten, stellen CAASM-Tools oft eigene oder standardbasierte Optionen bereit, um Risiken einheitlich zu bewerten und zu priorisieren.

Durch konstante Aktualisierungen erkennen CAASM-Tools neue Assets, Konfigurationsänderungen oder neu auftretende Schwachstellen, damit eine stets aktuelle Ansicht Ihrer Angriffsfläche vorliegt und riskante Änderungen bereits identifiziert werden, bevor sie zu Vorfällen führen. 

Sie können einfache oder komplexe Abfragen durchführen, um Muster zu erkennen oder regelmäßige Cyberhygiene-Aufgaben durchzuführen. Integrationen unterstützen optimierte Workflows, wie z. B. das Öffnen von Tickets zu Behebungszwecken, das Versenden von Berichten per E-Mail oder die Übermittlung von Warnmeldungen. 

CAASM-Tools dienen häufig mehreren Zielgruppen, angefangen bei IT- und Compliance-Teams bis hin zu Sicherheitsexperten und Führungskräften. 

Dashboards und Berichte liefern Erkenntnisse zur Asset-Inventarisierung, zu Risikotrends und Fortschritten im Zeitverlauf sowie zur Compliance-Lage und bieten Einblick in weitere Key Performance Indicators (KPIs). 

Einheitliche, siloübergreifende Asset-Erkenntnisse führen zu einer besseren Zusammenarbeit und Entscheidungsfindung sowie zu besseren Investitionen in Teams, die in der Regel getrennt voneinander arbeiten.

• Kontinuierliche Asset-Sichtbarkeit auf Ihrer gesamten Angriffsfläche, einschließlich Schatten-IT, nicht verwalteter Geräte und Assets von Dritten
• Aggregation und Normalisierung von Daten aus verschiedenen Sicherheits- und IT-Tools, um ein einheitliches Bestandsverzeichnis der Assets und der damit verbundenen Risiken zu erstellen
• Risikobewertungen zur Identifizierung der Schwachstellen, Fehlkonfigurationen und Exposure-Punkten jedes Assets, um den jeweiligen Risikograd zu ermitteln
• Funktionen zur Schwachstellenpriorisierung und Integrationen mit Remediation-Workflows
• Kontinuierliche Überwachung und Aktualisierung des Bestandsverzeichnisses Ihrer Angriffsfläche, um Änderungen dynamisch widerzuspiegeln und neue Risiken ans Licht zu bringen

• CAASM stellt sicher, dass umfassender Einblick in sämtliche Cyber-Assets besteht, einschließlich IT, OT, IoT, Cloud, Identitäten, Anwendungen, virtuelle Maschinen, Container und Kubernetes.
• CAASM verbessert die Risikobewertung, indem alle bekannten Risikoinformationen zu Assets proaktiv aggregiert werden und das Risiko-Scoring normalisiert wird – über unterschiedliche Quellen hinweg.
• CAASM fördert verbesserte Zusammenarbeit und Vertrauen – durch eine einheitliche Ansicht von Asset-Informationen für IT-, Compliance- und Sicherheitsteams. 
• CAASM optimiert Behebungsprozesse, indem Sicherheits- und IT-Workflows integriert und automatisiert werden, etwa das Öffnen von Tickets und die Bereitstellung von empfohlenen Behebungsmaßnahmen.
• CAASM reduziert Fehler und Verzögerungen, die bei manuellen und periodisch durchgeführten Prüfungen von Asset-Informationen entstehen, durch eine kontinuierliche Erfassung von Assets und Risiken.
• CAASM beschleunigt und standardisiert das Compliance-Reporting in sämtlichen Bereichen. Hierzu stehen sofort einsatzbereite Berichte zur Verfügung, die auf Vorschriften und Benchmarks abgestimmt sind. 
• CAASM liefert technischen und geschäftlichen Kontext, um Risiken, die gravierende Schäden in Ihrem Unternehmen verursachen könnten, besser zu priorisieren.

Gartner definiert Continuous Threat Exposure Management (CTEM) als „eine Reihe von Prozessen und Ressourcen, die es Unternehmen ermöglichen, den Zugriff, die Gefährdung und Ausnutzbarkeit der digitalen und physischen Assets eines Unternehmens kontinuierlich und konsistent zu bewerten“.

Der CTEM-Prozess beinhaltet fünf Stufen: Scoping, Erfassung, Priorisierung, Validierung und Mobilisierung. CAASM spielt in allen fünf Stufen des CTEM-Modells eine wichtige Rolle. 

Die Einbindung von CAASM in CTEM bietet Ihnen kontinuierliche Sichtbarkeit in Echtzeit und ein effizientes Risikomanagement, um Ihre Angriffsfläche proaktiv zu verwalten und Ihre gesamte Exposure zu reduzieren.

Fünf Schritte zur Implementierung von CAASM-Lösungen (Cyber Asset Attack Surface Management):

1. Ermitteln Sie, was Ihr Unternehmen erreichen möchte, z. B. eine Reduzierung von blinden Flecken oder eine Verbesserung der Risikopriorisierung.
2. Evaluieren Sie Cybersecurity-Tools für umfassende Asset-Sichtbarkeit, die sich nahtlos in Ihren vorhandenen IT- und Security-Stack einbinden lassen.
3. Fokussieren Sie erste Maßnahmen auf Assets und kritische Geschäftssysteme oder bisher übersehene Risiken.
4. Erstellen Sie Workflows zur Erfassung, Korrelation und Behebung, um Ihre vorhandenen Prozesse und Systeme mithilfe von CAASM aufzuwerten.
5. Verwenden Sie Kennzahlen wie etwa Risikoreduzierung, mittlere Zeit bis zur Behebung (MTTR) und Sichtbarkeitsverbesserungen, um Fortschritte zu messen.

Wird CAASM im Rahmen Ihres Sicherheitsprogramms implementiert und operationalisiert, können Sichtbarkeit und Risikomanagement deutlich verbessert werden. Da bei CAASM-Bereitstellungen jedoch eine Vielzahl verschiedener Teams, Tools und Workflows eingebunden werden muss, können Herausforderungen auftreten, die eine erfolgreiche Implementierung ausbremsen oder verhindern. Zum Beispiel:

• CAASM stützt sich auf Integrationen mit einer breiten Palette von Tools, um eine einheitliche Ansicht bereitzustellen. Doch unvollständige oder inkonsistente Daten können deren Effektivität einschränken.
• Sicherstellung von Kompatibilität, API-Konfiguration und Authentifizierungsmanagement über sämtliche Tools hinweg Tools können sich als zeitaufwendig und technisch anspruchsvoll erweisen.
• In großen Unternehmen mit Tausenden von Assets, die sich über mehrere Umgebungen erstrecken (On-Prem, Cloud, Hybrid), könnte es zu Skalierbarkeitsproblemen kommen.
• Ungenaues Asset-Tagging, veraltete Informationen oder unvollständige Inventare, die auf Schatten-IT zurückzuführen sind, können die Zuverlässigkeit von Erkenntnissen untergraben oder Sichtbarkeitslücken zur Folge haben.
• Zahlreiche Unternehmen verfügen nicht über genügend Sicherheitspersonal – oder es mangelt ihnen an den für die Konfiguration und Wartung von CAASM erforderlichen Kompetenzen. 
• Stakeholder, wie z. B. IT-Teams mit Asset-Management-Tools oder CMDBs, könnten sich der Einführung von CAASM, der Datenweitergabe oder Workflow-Änderungen widersetzen.

Eine effektive Implementierung und Operationalisierung von CAASM erfordert sorgfältige Planung und gezielte Umsetzung. Hier einige Best Practices als Hilfestellung:

1. Optimieren Sie die Implementierung durch eine frühzeitige Planung von Integrationen. Identifizieren Sie wichtige Tools und ermitteln Sie, ob deren APIs verfügbar und kompatibel sind, ordnen Sie Datenflüsse zwischen Tools zu und priorisieren Sie Integrationen, die Stakeholdern einen schnellen Nutzen einbringen.
2. Verbessern Sie die Datenqualität, indem Sie Daten regelmäßig auf Vollständigkeit und Genauigkeit prüfen, doppelte oder widersprüchliche Daten identifizieren und normalisieren, Daten in integrierten Systemen bereinigen und Prozesse und Verantwortliche zur Aufrechterhaltung kontinuierlicher Datenqualität festlegen.
3. Beginnen Sie mit einigen wenigen hochwirksamen Anwendungsfällen, die den Prioritäten Ihres Unternehmens unmittelbar Rechnung tragen, wie etwa Verbesserung der Compliance oder Reduzierung der Angriffsfläche. Definieren Sie Kennzahlen, z. B. die Menge an identifizierten und beseitigten Risiken, um Erfolge zu quantifizieren und entsprechend nachzuweisen.
4. Binden Sie Stakeholder ein, damit die Einführung erfolgreich verläuft. Beziehen Sie Teams frühzeitig mit ein. Informieren Sie sie über die Vorteile von CAASM und gehen Sie auf schnelle Erfolge ein, um Vertrauen und Zuversicht aufzubauen. 
5. Investieren Sie in Automatisierung, um Prozesse zu optimieren, ermöglichen Sie Datenaggregation, automatisieren Sie Workflows wie z. B. die Ticket-Erstellung in IT-Plattformen und richten Sie Warnmeldungen für kritische Risiken ein, damit Reaktionsmaßnahmen schneller und konsistenter erfolgen.
6. Nutzen Sie Reporting-Funktionen. Erstellen Sie benutzerdefinierte Dashboards, überwachen Sie Trends im Zeitverlauf und stimmen Sie Ihre Berichte auf Compliance-Anforderungen ab. Stellen Sie handlungsrelevante Erkenntnisse bereit und zeigen Sie der Unternehmensleitung und Stakeholdern den jeweiligen Nutzwert in messbarer Form auf.

CAASM konzentriert sich auf interne Assets und konsolidiert Daten aus Ihrer Umgebung. External Attack Surface Management (EASM) zielt hingegen auf Ihre nach außen gerichteten, für Angreifer sichtbaren Assets ab. 

EASM identifiziert Risiken wie anfällige Dienste, Fehlkonfigurationen und Schatten-IT aus externer Perspektive, wodurch der interne Überblick von CAASM ergänzt wird. Gemeinsam vermitteln Ihnen EASM und CAASM ein ganzheitliches Verständnis Ihrer gesamten Angriffsfläche und Risiken.

CAASM-Tools unterstützen wichtige Stakeholder mit handlungsrelevanten Erkenntnissen, die auf ihre jeweiligen Verantwortlichkeiten zugeschnitten sind. 

Chief Information Security Officer (CISO)
CAASM bietet CISOs eine einheitliche Asset-Inventarisierung, Risikopriorisierung und vollständigen Einblick in Cyber-Assets. Mithilfe dieser Daten können CISOs ihre strategischen Entscheidungsprozesse verbessern, indem sie Ressourcen auf die kritischsten Sicherheitsrisiken fokussieren.

SecOps-Teams (Sicherheitsbetrieb)
CAASM optimiert das Schwachstellenmanagement (Vulnerability Management, VM) und beschleunigt die Vorfallsreaktion mit Asset- und Risikokontext in Echtzeit. Mit einer CAASM-Lösung sind SecOps-Teams in der Lage, Schwachstellen schneller zu beheben – bei optimierter Bedrohungsreaktion. 

Compliance Officer
Durch Validierung und Überwachung von Compliance-Auflagen kann eine CAASM-Lösung Compliance-Prozesse vereinfachen und das Risiko entsprechender Strafen reduzieren. Dank automatisierter Reporting-Funktionen können Sie die Zuversicht bei Audits steigern und haben stets aktuelle Compliance-Erkenntnisse jederzeit zur Hand.

IT Operations Manager
CAASM unterstützt eine kontinuierliche Überwachung von Sicherheitskontrollen wie MFA und Verschlüsselung, um eine konsistente Implementierung auf sämtlichen Systemen zu gewährleisten. Darüber hinaus minimieren CAASM-Lösungen Betriebsrisiken, die durch Fehlkonfigurationen entstehen, und verbessern das gesamte IT-Sicherheitsmanagement.

Cloud Architect
CAASM identifiziert Schatten-IT und fehlerhaft konfigurierte Cloud-Assets und bietet dabei Einblick in nicht verwaltete Ressourcen innerhalb dynamischer Cloud-Umgebungen. Mithilfe dieser Informationen können Sie Ihre Angriffsfläche effektiver reduzieren und sicherstellen, dass Cloud-Bereitstellungen Unternehmensrichtlinien und sicherheitsrelevanten Best Practices entsprechen.

Risk Management Officer
CAASM kann Supply-Chain-Risiken bewerten, z. B. in Form von Anbieterbewertungen, um Schwachstellen-Exposure zu reduzieren und zu gewährleisten, dass die Sicherheits- und Compliance-Verfahren Ihrer Partner den Standards und sonstigen Anforderungen Ihres Unternehmens entsprechen.

Leitung Mergers and Acquisitions (M&A)
CAASM unterstützt die schnelle Identifizierung und Bewertung von Cyberrisiken bei neu erworbenen Unternehmen. Indem Sie anfällige oder nicht konforme Assets bereits vor der Integration beheben, können Sie Ihren gesamten M&A-Prozess absichern.

DevOps Engineer
Durch Integration in CI/CD-Pipelines überwacht CAASM Anwendungen auf Schwachstellen und Fehlkonfigurationen. Dies führt zu einer sicheren Anwendungsbereitstellung und wahrt parallel dazu die Agilität von DevOps-Workflows.

Wenn CAASM-Funktionen auf die spezifischen Anforderungen einzelner Rollen abgestimmt werden, können Sie die Zusammenarbeit fördern und sicherstellen, dass ein proaktiver Ansatz zur Verwaltung der Cyber-Angriffsfläche verfolgt wird.

Sehen Sie sich die zusätzlichen CAASM-Ressourcen und -Produkte von Tenable an, um ihr Verständnis von Cyber Asset Attack Surface Management zu vertiefen und zu erfahren, wie CAASM Sie bei der Identifizierung, Priorisierung und Behebung Ihrer Cyber Exposure unterstützt.