Thought Leadership
Hacker sehen als erstes die externe Angriffsfläche ihrer Opfer. Um eine IT effizient zu verteidigen, müssen Sicherheitsverantwortliche diese Perspektive übernehmen. Notwendig ist eine Sicherheitsplattform, welche die verantwortlichen Teams schnell zu den exponierten Lücken führt.
Zur externen Angriffsfläche gehören sämtliche IT-Elemente mit Konnektivität an das Internet samt Schwachstellen. Für die Analyse und das Schließen dieser Flanken gegenüber Cyberangriffen kommt es auch darauf an, unbekannte, vergessene, abgelaufene und damit nicht verwaltete oder fehlkonfigurierte Assets zu identifizieren.
Die externe Angriffsoberfläche verwalten
Wichtig für die gezielte Abwehr ist das proaktive Identifizieren exponierter Elemente der IT. Denn Hacker spüren diese bei einer öffentlich verfügbaren Domain mit CT Logs und Public DNS Records einfach auf. Dazu benutzen sie frei verfügbare Tools zur Internet-Aufklärung.
Wer externe Angriffsoberflächen schließen will, muss sich daher denselben Überblick, den die Hacker haben, verschaffen und kontinuierlich exponierte Schnittstellen, Dienste und Schwachstellen entdecken sowie analysieren. Alle exponierten IP-Adressen, auslaufende oder abgelaufene Zertifikate, verwundbare öffentliche Dienste oder offene Ports sind vollständig durch einen Scan zu verzeichnen.
Nur wer weiß, wie sich seine IT dem Hacker präsentiert, kann seine äußere Angriffsoberfläche schließen.
Grzegorz Nocon, Trusted Security Advisor, Bitdefender
Assets und Artefakte
Was der Hacker sieht, muss die Abwehr in einer zentralen Ansicht einfach verwalten können. Ein zentrales Dashboard zeigt das Gesamtbild. Ebenso finden Anwender auch Name Server, die für Zone-Transfers verwundbar sind – die eine potenzielle Schwachstelle darstellen.
Darüber hinaus kommt es auf die Übersicht über die zu einem Asset gehörigen Artefakte an, mit den jeweiligen spezifischen Komponenten und Indikatoren. Sie liefern wichtige Informationen über Probleme, Schwachstellen sowie Fehlkonfigurationen und damit die entscheidenden Details, um die Exposition eines Assets zu bewerten. Zu Artefakten gehören Zertifikate, IP Blöcke, DNS Records und Dienste.
Schotten dicht
Die Abwehr muss sich schnell im Dashboard an die einzelnen Schauplätze bewegen können. Eine Verwaltung externer Angriffsoberflächen kann kontinuierlich alle exponierten Assets scannen, katalogisieren und die verknüpften Schwachstellen verzeichnen.
Eine External Attack Surface Management (EASM)-Lösung, die einen Dienst mit einer bekannten CVE identifiziert, kann also alle Ressourcen ansteuern, welche der bedrohte Dienst benutzt. Derart beweglich können IT-Abwehrteams ihr Patching und ihre Anstrengungen, Schäden zu minimieren, priorisieren. Ebenso kann eine mit einem Asset verknüpfte IP-Adresse oder eine E-Mail- Adresse, die im Verlauf eines Ereignisses markiert wird, über das Ereignis direkt angesteuert werden. Derart zielgenau vorzugehen, verkürzt die Analyse und die Eingrenzung des Vorfalls und damit die Aufenthaltsdauer der Hacker im Netz. Das verringert einen potenziellen Schaden.
Sich mit den Augen der Anderen sehen
Nur wer weiß, wie sich seine IT dem Hacker präsentiert, kann seine äußere Angriffsoberfläche schließen. Ihr Management ergänzt das herkömmliche Risikomanagement für Endpunkte um einen enorm wichtigen Beitrag. Unnötige oder riskante Expositionen ans Internet müssen gesehen und gezielt geschlossen werden, um die Eintrittstore für Angreifer zu reduzieren.
