Im Zeitalter der Digitalisierung und der sich ständig ändernden Geschäftsanforderungen ist die Produktionsumgebung zu einem lebenden Organismus geworden. Mehrere Funktionen und Teams innerhalb eines Unternehmens können sich letztlich auf die Art und Weise auswirken, wie ein Angreifer die Vermögenswerte des Unternehmens sieht, oder anders gesagt, auf die externe Angriffsfläche. Dies erhöht die Notwendigkeit, eine Strategie für das Expositionsmanagement zu definieren.
Um mit den geschäftlichen Anforderungen Schritt zu halten und gleichzeitig das Cybersecurity-Risiko effektiv zu bewerten und zu verwalten, sollten Unternehmen vor allem zwei Elemente in Bezug auf ihre externe Angriffsfläche berücksichtigen: ihre Größe und ihre Attraktivität für Angreifer. Während sich Unternehmen in der Regel auf die Größe ihrer Angriffsfläche konzentrieren, wird deren Attraktivität in der Regel nicht berücksichtigt, obwohl sie einen erheblichen Einfluss auf das Risiko haben kann.
Größe der Angriffsfläche
Wie viele Anlagen sind von außen zugänglich?
Es besteht ein empfindliches Gleichgewicht zwischen Geschäftsanforderungen und Sicherheit. Es gibt zwar gute Gründe, mehr Anlagen dem Internet auszusetzen (z. B. für die Benutzerfreundlichkeit, die Integration von Drittanbietern und die Anforderungen an die Softwarearchitektur), doch der Preis dafür ist eine größere Angriffsfläche. Mehr Konnektivität bedeutet letztlich mehr potenzielle Angriffspunkte für einen Angreifer.
Je größer die Angriffsfläche ist und je mehr Ressourcen für die „Spielwiese“ des Angreifers zur Verfügung stehen, desto mehr muss ein Unternehmen das Risiko einer Gefährdung mindern. Dies erfordert sorgfältig ausgearbeitete Richtlinien und Verfahren, um die Angriffsfläche zu überwachen und die gefährdeten Ressourcen kontinuierlich zu schützen. Natürlich gibt es grundlegende Maßnahmen, wie z. B. das routinemäßige Scannen nach Software-Schwachstellen und das Aufspielen von Patches. Aber auch Konfigurationsprobleme, Schatten-IT, durchgesickerte Anmeldedaten und Aspekte der Zugriffsverwaltung müssen berücksichtigt werden.
Ein wichtiger Hinweis: Die Häufigkeit des Testens und der Validierung sollte mindestens mit dem Tempo der Veränderungen der Angriffsfläche des Unternehmens übereinstimmen. Je mehr eine Organisation Änderungen an ihrer Umgebung vornimmt, desto häufiger muss sie die Angriffsfläche bewerten. Routinetests sind jedoch auch in Zeiten minimaler Veränderungen notwendig.
Attraktivität der Angriffsfläche
Während die Größe der externen Angriffsfläche ein wohlbekannter Indikator für das Cybersecurity-Risiko ist, gibt es einen anderen Aspekt, der ebenso wichtig ist – auch wenn er für Unternehmen heute schwerer zu erfassen ist – nämlich die Attraktivität einer Angriffsfläche für potenzielle Angreifer.
Wenn Angreifer nach potenziellen Opfern Ausschau halten, suchen sie nach den am niedrigsten hängenden Früchten. Unabhängig davon, ob es sich um den einfachsten Weg handelt, ein bestimmtes Unternehmen zu kompromittieren, oder um die einfachsten Ziele, die sie angreifen können, um ihre Ziele zu erreichen, werden sie von Indikatoren für potenzielle Sicherheitsschwachstellen in nach außen gerichteten Anlagen angezogen und werden ihre Aktivitäten entsprechend priorisieren.
Wenn wir von „attraktiven“ Vermögenswerten sprechen, meinen wir nicht unbedingt attraktive Ziele, wie etwa persönliche Daten, die auf dem Schwarzmarkt verkauft werden können. Attraktiv sind die Attribute eines Vermögenswertes, die das Potenzial haben, von Gegnern missbraucht zu werden. Diese werden dann als potenzieller Ausgangspunkt für die Ausbreitung eines Angriffs markiert.
Die Anlagen einer Organisation können alle auf die neueste und beste Software gepatcht sein. Diese Anlagen können jedoch immer noch attraktive Eigenschaften haben. Beispielsweise erhöht eine große Anzahl offener Ports die Anzahl der Protokolle, die zur Ausbreitung eines Angriffs genutzt werden können. Es ist wichtig zu betonen, dass Angriffe nicht notwendigerweise an eine Schwachstelle gebunden sind, sondern ein Missbrauch eines bekannten Dienstes sein können. Ein gutes Beispiel dafür findet sich in diesem Blogbeitrag von Pentera Labs, in dem beschrieben wird, wie das Dienstprogramm PsExec missbraucht werden kann. Außerdem können bestimmte Ports attraktiver sein, z. B. Port 22, der den SSH-Zugang von außen ermöglicht.
Ein weiteres Beispiel ist eine Website, die das Hochladen von Dateien ermöglicht. Für einige Unternehmen ist dies ein wichtiger Dienst, der das Geschäft ermöglicht, aber für Angreifer ist dies ein bequemer Weg, um einen Fuß in die Tür zu bekommen. Unternehmen sind sich des Risikos durchaus bewusst und können es auf unterschiedliche Weise angehen, aber das ändert nichts an der Attraktivität dieses Assets und dem entsprechenden Risikopotenzial.
Die größte Herausforderung im Umgang mit Attraktionen besteht darin, dass es sich um bewegliche Ziele handelt. Die Attraktionen ändern sich sowohl in ihrer Anzahl als auch in ihrem Schweregrad pro Konfigurationsänderung.
Um den Schweregrad einer Attraktion effektiv beurteilen zu können, muss man wissen, wie leicht ein Angreifer sie in der Enumeration-Phase erkennen kann und, was noch wichtiger ist, wie leicht sie ausgenutzt werden kann. So ist beispielsweise eine VPN-Verbindung leicht zu erkennen, aber schwer auszunutzen und kann daher im Risikomanagementplan eines Unternehmens eine niedrigere Priorität haben. Ein Online-Kontaktformular hingegen ist leicht zu erkennen und birgt ein hohes Risiko für SQL-Injections und Sicherheitslücken wie Log4Shell.
Die Verringerung der Anzahl von Attraktionen reduziert das Risiko einer Organisation, aber das ist nicht immer möglich. Daher sollte das Verständnis des zugrundeliegenden Risikos und die Festlegung eines Plans zu dessen Bewältigung die oberste Priorität des Unternehmens sein, um die Anfälligkeit der externen Angriffsfläche zu kontrollieren und gleichzeitig die Geschäftsanforderungen zu erfüllen.
Hinweis: Dieser Artikel wurde von einem Product Marketing Manager bei Pentera, dem Unternehmen für automatisierte Sicherheitsvalidierung, verfasst und beigetragen. Weitere Informationen finden Sie unter pentera.io.
Haben Sie diesen Artikel interessant gefunden? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
SiriusXM-Sicherheitslücke ermöglicht Hackern das Entriegeln und Starten angeschlossener Autos aus der Ferne