Die Angriffsfläche ist nicht mehr das, was sie einmal war, und ihr Schutz wird zu einem Albtraum. Eine sich ständig erweiternde und weiterentwickelnde Angriffsfläche bedeutet, dass das Risiko für das Unternehmen in die Höhe geschnellt ist und die derzeitigen Sicherheitsmaßnahmen kaum noch ausreichen, um es zu schützen. Wenn Sie auf diesen Artikel geklickt haben, sind Sie wahrscheinlich auf der Suche nach Lösungen zur Bewältigung dieses Risikos.
Im Jahr 2022 wurde von Gartner ein neues Framework entwickelt, um diese Herausforderungen zu bewältigen – Continuous Threat Exposure Management (CTEM). Seitdem hat die Umsetzung dieses Rahmenwerks in vielen Unternehmen Priorität, da es einen wesentlichen Beitrag zur Aufrechterhaltung eines hohen Niveaus an Sicherheitsbereitschaft und Widerstandsfähigkeit leisten soll.
„Bis 2026 werden Unternehmen, die ihre Sicherheitsinvestitionen auf der Grundlage eines Programms für das kontinuierliche Management von Sicherheitsrisiken priorisieren, dreimal seltener von einem Sicherheitsverstoß betroffen sein. Gartner, „How to Manage Cybersecurity Threats, Not Episodes“, 21. August 2023
CTEM ist ein Prozess, der einen kontinuierlichen und umfassenden Einblick in die Angriffsfläche und die dadurch entstehenden Risiken bietet, der prüft, ob die Sicherheitskontrollen eine Gefährdung wirksam verhindern, und der das Unternehmen mobilisiert, um die Cyber-Resilienz zu erhöhen.
Die Einführung von CTEM kann schnell überwältigend werden, da es die Orchestrierung vieler unterschiedlicher und beweglicher Teile erfordert. Es ist erforderlich, digitale Assets, Workloads, Netzwerke, Identitäten und Daten im gesamten Unternehmen zusammenzuführen. Um dies zu vereinfachen, haben wir das Framework auf seine Säulen heruntergebrochen und bieten überschaubare Schritte an, die Sie durch diesen Prozess des Exposure Managements führen – überschaubar.
Erweitern Sie Ihre Sichtbarkeit der Angriffsfläche
Die Bestandsverwaltung ist ein wichtiger Schritt, um die gesamte Umgebung zu erfassen und ein vollständiges Inventar der digitalen Bestände und ihrer relativen Empfindlichkeit zu erhalten, doch die Fähigkeit, das Gefährdungsprofil der einzelnen Bestände zu verstehen, bleibt eine Herausforderung.
Mir ist nicht klar, worauf sich dieser Teil bezieht. Was meinen Sie mit „Asset-Management“? Wenn Sie sich auf die Verwaltung von Angriffsflächen oder auf Tools beziehen, mit denen Unternehmen ihre digitalen IT-Ressourcen verwalten können, ist das meiner Meinung nach nicht die richtige Terminologie, und ich bin nicht mit solchen Einschränkungen vertraut, bei denen sich Tools nur auf Schwachstellen vor Ort konzentrieren.
Ja, ich beziehe mich auf das Management von Angriffsflächen. Wenn ich mir den Gartner-Bericht noch einmal ansehe, scheint die Kritik am bestehenden ASM darin zu bestehen, dass es das Risikoprofil der Anlagen nicht berücksichtigt. Ich schlage vor, dass wir das hier ändern.
Beim Asset Management geht es nur darum, ein vollständiges Inventar der Umgebung zu erhalten, aber bei der Analyse der Angriffsfläche geht es eher darum, Ihre Assets wie ein Angreifer zu betrachten und festzustellen, was die Verfügbarkeit oder Integrität des Assets beeinträchtigen kann, nicht nur seine Empfindlichkeit. Wie hoch ist die Gefährdung.
Unternehmen, die diese Methode anwenden, erhalten einen realistischeren Überblick über das Gefährdungsprofil der einzelnen digitalen Ressourcen. CTEM setzt die Denkweise eines Angreifers voraus, der nicht versucht, ein umfassendes Inventar zu erstellen, sondern die Angriffsfläche wie ein Angreifer zu analysieren, indem er jedes Asset im Hinblick auf seine Verfügbarkeit, Integrität und Vertraulichkeit bewertet.
Der Prozess beginnt damit, dass die Umgebung schrittweise nach digitalen Assets durchsucht wird. Wir empfehlen eine anfängliche Untersuchung, die Folgendes umfasst:
- Scoping des internen Netzwerks: Hier befinden sich die kritischsten Teile Ihres Netzwerks, die Angreifern Zugang zu Ihren „Kronjuwelen“ verschaffen, wenn sie angegriffen werden.
- In einer zweiten Phase sollten Sie den Umfang auf den Schutz vor digitalen Risiken ausweiten, um die Angriffsfläche und die SaaS-Tools transparenter zu machen.
In einem zweiten Schritt sollte der Umfang auf den Schutz vor digitalen Risiken ausgeweitet werden, um die Angriffsfläche und die SaaS-Tools besser sichtbar zu machen.
Sobald der Umfang festgelegt ist, sollten Unternehmen ihre Risikoprofile bestimmen, indem sie die Gefährdungen für Anlagen mit hoher Priorität aufdecken. Dabei sollten auch Fehlkonfigurationen von Anlagen, insbesondere in Bezug auf Sicherheitskontrollen, und andere Schwachstellen, wie nicht verwaltete Anlagen oder kompromittierte Anmeldeinformationen, berücksichtigt werden.
Verbessern Sie Ihr Schwachstellenmanagement
Das Schwachstellenmanagement (VM) war lange Zeit der Eckpfeiler der Cybersicherheitsstrategien vieler Unternehmen und konzentrierte sich auf die Identifizierung und das Patchen gegen bekannte CVEs. Angesichts der zunehmenden Komplexität der IT-Umgebung und der verbesserten Fähigkeiten von Bedrohungsakteuren reicht VM allein jedoch nicht mehr aus, um die Cybersicherheit des Unternehmens aufrechtzuerhalten.
Dies wird besonders deutlich, wenn man die jedes Jahr steigende Zahl der veröffentlichten CVEs berücksichtigt. Allein im letzten Jahr wurden 29.085 neue CVEs veröffentlicht, und nur 2-7 % davon wurden jemals in freier Wildbahn ausgenutzt. Dies macht das Erreichen der Patch-Perfektion zu einem unrealistischen Ziel, zumal nicht patchbare Schwachstellen wie Fehlkonfigurationen, Active Directory-Probleme, nicht unterstützte Software von Drittanbietern, gestohlene und durchgesickerte Anmeldeinformationen usw. nicht berücksichtigt werden, die bis 2026 für über 50 % der Sicherheitsrisiken in Unternehmen verantwortlich sein werden.
CTEM verlagert den Schwerpunkt auf die Priorisierung von Schwachstellen auf der Grundlage ihrer Ausnutzbarkeit und ihrer Risikoauswirkungen auf kritische Ressourcen, im Gegensatz zu CVSS-Scores, Chronologie oder Herstellerbewertungen. Dadurch wird sichergestellt, dass die für die Kontinuität und die Ziele des Unternehmens sensibelsten digitalen Ressourcen zuerst behandelt werden.
Validierung macht CTEM von der Theorie zur bewährten Strategie
Die letzte Säule der CTEM-Strategie, die Validierung, ist der Mechanismus, der die Ausnutzung von Sicherheitslücken verhindert. Um die fortwährende Wirksamkeit von Sicherheitskontrollen zu gewährleisten, muss die Validierung offensiv erfolgen, indem Methoden von Angreifern nachgeahmt werden.
Es gibt vier Strategien, um Ihre Umgebung wie ein Angreifer zu testen, die jeweils die von Angreifern eingesetzten Techniken widerspiegeln:
- In Diagrammen denken – Während Verteidiger oft in Listen denken, sei es von Anlagen oder Schwachstellen, denken Angreifer in Diagrammen, indem sie die Beziehungen und Pfade zwischen verschiedenen Komponenten des Netzwerks aufzeichnen.
- Automatisieren Sie Tests – Manuelle Penetrationstests sind ein kostspieliger Prozess, bei dem ein externer Pentester Ihre Sicherheitskontrollen einem Stresstest unterzieht. Der Umfang, den Unternehmen testen können, ist begrenzt. Im Gegensatz dazu nutzen Angreifer die Automatisierung, um Angriffe schnell, effizient und in großem Umfang durchzuführen.
- Validieren Sie echte Angriffspfade – Angreifer konzentrieren sich nicht auf isolierte Schwachstellen, sondern betrachten den gesamten Angriffspfad. Eine wirksame Validierung bedeutet, dass der gesamte Pfad getestet wird, vom ersten Zugriff bis zu den Auswirkungen des Angriffs.
- Kontinuierliches Testen – Manuelles Pentesting wird in der Regel in regelmäßigen Abständen durchgeführt, entweder ein- oder zweimal pro Jahr. Das Testen in „Sprints“ oder kurzen, iterativen Zyklen ermöglicht es den Verteidigern jedoch, sich an die Geschwindigkeit des IT-Wandels anzupassen und die gesamte Angriffsfläche zu schützen, indem Schwachstellen behoben werden, sobald sie auftauchen.
Jetzt investieren – kontinuierlich die Ergebnisse ernten
Bei all den verschiedenen Elementen von Menschen, Prozessen und Werkzeugen in einer CTEM-Strategie kann man leicht überfordert werden. Behalten Sie jedoch ein paar Dinge im Hinterkopf:
1) Sie fangen nicht bei Null an. Wenn Sie bereits über ein System zur Verwaltung von Vermögenswerten und Schwachstellen verfügen, geht es hier lediglich darum, den Anwendungsbereich zu erweitern. Vergewissern Sie sich, dass Ihre Tools die gesamte Angriffsfläche Ihrer IT-Umgebung umfassend abdecken und kontinuierlich mit dem Tempo der Veränderungen aktualisiert werden.
2) Betrachten Sie dies als einen Prozess der ständigen Verfeinerung. Die Implementierung des CTEM-Frameworks wird zu einem agilen Zyklus aus Entdeckung, Eindämmung und Validierung. Die Arbeit ist nie wirklich abgeschlossen. Mit dem Wachstum und der Reifung Ihres Unternehmens wächst auch Ihre IT-Infrastruktur.
3) Stellen Sie die Validierung in den Mittelpunkt Ihrer CTEM-Strategie. Dies gibt Ihnen die Gewissheit, dass Ihre Sicherheitsmaßnahmen auch auf dem Prüfstand stehen. Zu jedem Zeitpunkt sollten Sie wissen, wo Sie stehen. Vielleicht ist alles in Ordnung, und das ist gut so. Oder es wurde eine Lücke festgestellt, die Sie nun mit einem präskriptiven Ansatz schließen können, wobei Sie sich der nachgelagerten Auswirkungen voll bewusst sind.
Erfahren Sie, wie Sie mit Pentera eine validierungsorientierte CTEM-Strategie umsetzen können
Ihr Kontakt zu uns:
Matan Katz, Regional Development
Hier direkt einen Termin buchen:
https://pentera.oramalthea.com/c/MatanKatz
Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera
Hanspeter Karl, Area Vice President DACH, Pentera