Beim Thema Cybersicherheit werden die beiden Begriffe „Angriffsvektoren“ und „Angriffsflächen“ manchmal synonym verwendet. Die zugrunde liegenden Konzepte sind jedoch unterschiedlich, und das Verständnis dieser Unterschiede kann zu einem besseren Verständnis der Sicherheitsnuancen führen, die zu einer besseren Sicherheit eines Unternehmens führen können.
Ein Angriffsvektor bezeichnet jedes Mittel, mit dem ein Angreifer in die Unternehmensumgebung eindringen kann, während sich die Angriffsfläche auf die allgemeine Verwundbarkeit bezieht, die diese Vektoren schaffen. Jeder Punkt, über den Daten in eine Anwendung oder das Netzwerk gelangen können, stellt einen potenziellen Angriffsvektor dar. Identitäten, Netzwerke, E-Mails, Supply Chains und externe Datenquellen wie Wechselmedien und Cloud-Systeme sind allesamt von einem böswilliger Akteur ausnutzbare Kanäle, um sensible Daten zu gefährden. Das bedeutet auch, dass jede Systemaktualisierung oder -freigabe neue Angriffsvektoren schaffen kann.
Häufige Angriffsvektoren
Infolge des technologischen Wandels können einige der Angriffsvektoren bei Hackern in Ungnade fallen und immer seltener genutzt werden. Dennoch gibt es einige Möglichkeiten, die immer wieder und wahrscheinlich auch weiterhin genutzt werden.
- Social Engineering per E-Mail: Mail-Anhänge sind nach wie vor einer der häufigsten Vektoren der letzten 30 Jahre. Dies sind Social Engineering-Angriffe, bei denen ein vorhersehbares oder kontrollierbares menschliches Verhalten ausgenutzt wird, um an persönliche Informationen, Anmeldedaten usw. zu gelangen. Die Fokussierung auf wichtige Themen wie persönliche Finanzen oder kritische Geschäftsprozesse ist eine effiziente Methode, um einen Benutzer zum Öffnen der Mail und ihres Anhangs zu verleiten. Angreifer nutzen eine gefälschte Absenderadresse, um legitim und vertrauenswürdig zu erscheinen. Was etwa wie eine PDF-Datei aussieht, kann in Wirklichkeit eine ausführbare Datei sein, die einen Trojaner enthält. Sobald die Datei mit einem unsicheren PDF-Reader geöffnet wird, kann der Schädling ausgeführt und das System infiziert werden.
- Drahtlose Angriffe: Dabei handelt es sich um einen neueren Angriffsvektor. Endbenutzer, die mit Laptops oder mobilen Geräten arbeiten, erhalten üblicherweise einen drahtlosen Zugang. Leider verwenden die Administratoren, die den Zugang konfigurieren, allzu oft eine unzureichende Verschlüsselung (z. B. WEP) oder wählen aus Bequemlichkeit für die Mitarbeiter einfache Passwörter. Im letzteren Fall kann ein Angreifer das Kennwort erraten oder einen Entkopplungsangriff durchführen, um die WLAN-Verbindung des Benutzers zu unterbrechen und dann die erneute Verbindung - und damit das verschlüsselte Kennwort - abzufangen. Wenn das Passwort schwach oder banal ist, kann ein Angreifer es in relativ kurzer Zeit knacken. Sobald das Netzwerk infiltriert ist, stehen weitere Angriffsvektoren zur Verfügung und die Angriffsfläche vergrößert sich beträchtlich.
Häufige Angriffsflächen
Die Angriffsfläche ist die Gesamtheit der Angriffsvektoren auf ein System. Je größer das zu schützende System ist, desto größer ist die Angriffsfläche. Praktisch ist es unmöglich, die genauen Ausmaße der Angriffsfläche zu bestimmen, da es dazu die Kenntnis der verfügbaren Angriffsvektoren in Echtzeit bedarf, von denen jedoch viele verborgen bleiben, bis sie aktiv werden. Dieses unentdeckbare Segment stellt die Kategorie der „Zero Day“-Exploits dar, d. h. Angriffsvektoren, die unbekannt bleiben und daher nicht gepatcht werden.
- Anforderungen an Passwörter: Während ein einzelnes Passwort einen Angriffsvektor darstellt, bilden die Passwortanforderungen einer Anwendung oder Website eine Angriffsfläche. Diese ist weniger weit verbreitet, da Unternehmen mittlerweile zu anderen Authentifizierungsmethoden als Kennwörtern greifen. Da sich viele Benutzer auf schwache oder leicht zu erratende Kennwörter verlassen, steht einem böswilligen Akteur eine enorme Angriffsfläche zur Verfügung.
- Ständig aktive Software: Eine weitere Angriffsfläche ist Software, insbesondere die in Servern permanent aktiv verwendete. Server müssen rund um die Uhr einsatzbereit sein, um weltweit verteilte Belegschaften zu unterstützen. Daher hat Benutzerproduktivität Vorrang vor der Implementierung von Patches zur Behebung von Sicherheitsproblemen, und viele Patches werden leider nie implementiert. Je mehr ständig aktive Komponenten also vorhanden sind, desto größer ist die Angriffsfläche.
- Verteilte Infrastruktur: In hybriden Architekturen umfasst die Angriffsfläche jeden physischen Rechner und jede Cloud-Ressource. Die Zugriffsverwaltung kann zwar den Zugriff auf diese Ressourcen kontrollieren, aber die Summe der einzelnen Einstiegspunkte vergrößert die Angriffsfläche enorm. Oftmals stellen Unternehmen einen Server oder eine Software in der Cloud bereit und gehen davon aus, dass diese weiterhin sicher sind, weil es keine merkliche Fehlfunktion gab. Ein gewiefter Angreifer kann jedoch bereits eine oder mehrere Ressourcen kompromittiert haben, ohne die Systemfunktionalität zu beeinträchtigen. Infolgedessen bildet die Ansammlung von weniger auffälligen Vektoren einen besonders anfälligen Teil der Angriffsfläche.
Schutz vor Angriffen
Früher kombinierten Unternehmen eine Vielzahl von Technologien, um eine möglichst breite Abdeckung der Angriffsflächen zu gewährleisten. Mittlerweile gibt es branchenspezifische Tools wie Trend Micro Cloud Sentry, um Cloud-Sicherheitsrisiken schnell zu erkennen und zu entschärfen.
Viele Branchen haben die Vorteile der Verlagerung von Ressourcen in die Cloud erkannt. Allerdings bedenken Unternehmen nicht immer die größere Angriffsfläche, die durch die Cloud-Migration entsteht. Für die Sicherheit in der Cloud gibt es mehrschichtige Ansätze wie etwa Trend Micro Cloud One™. Die Lösung lässt sich in solche Umgebungen integrieren und bietet Tools, die Sicherheitsteams für den Schutz von standortfernen Ressourcen benötigen.
Für die am wenigsten sichtbaren Teile der Angriffsfläche liefert Vision One™ eine leistungsstarke Lösung, die die am häufigsten übersehenen Bedrohungen einer Angriffsfläche erkennen kann. Viele Erkennungs- und Reaktionslösungen untersuchen nur Endpunkte, die traditionelle Ziele für Angreifer sind. Die Trend Micro-Lösung verfügt über umfassende erweiterte Erkennungs- und Reaktionsfunktionen (XDR), die Daten über viele verschiedene Sicherheitsebenen hinweg sammeln und automatisch korrelieren, darunter E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. So können sich Verteidiger ein klares Bild von ihrer gesamten Infrastruktur machen und sie entsprechend schützen.