Cyberbedrohungen
Strategien für das Management der Angriffsoberfläche
Sicherheitsteams müssen Strategien und Prozeduren für das Risikomanagement überarbeiten. Wir erklären die Verteidigung über die drei Phasen des Lebenszyklus von Risiken für die Angriffsfläche hinweg und zeigen die Bedeutung von XDR und Zero Trust auf.
Die digitale Transformation hat die Verlagerung in die Cloud beschleunigt, und Unternehmen können dadurch mehr und schneller Innovationen einführen und über traditionelle Büroumgebungen hinaus expandieren. Dies hat jedoch zu neuer Komplexität beim effizienten Angriffsflächen-Risikomanagement geführt. Wie lassen sich Cyberrisiken in den drei Phasen des Lebenszyklus von Risiken für die Angriffsfläche besser verstehen, kommunizieren und abmildern?
Angriffsflächenmanagement (Attack Surface Management, ASM) bezeichnet die kontinuierliche Erkennung, Bewertung und Eindämmung der Angriffsflächen im IT-Ökosystem eines Unternehmens. Diese Aufgabe unterscheidet sich von der Erkennung und Überwachung von Assets dadurch, dass ASM die Sicherheitslücken aus der Perspektive des Angreifers bewertet, einschließlich des Risikos für Menschen, Prozesse und Technologie.
Besseres Risikomanagement
50 % der Unternehmen verfolgen einen Cloud-nativen Ansatz, um sowohl Mitarbeiter als auch Kunden zu unterstützen, und die Zahl der vernetzten Geräte wird bis 2025 voraussichtlich auf 55,9 Milliarden steigen. Die Verlagerung in die Cloud und die drastische Zunahme der Vernetzung bieten böswilligen Akteuren neue Angriffsvektoren.
Daher ist es klar, dass Sicherheitsverantwortliche ihre Strategien und Prozeduren für das Risikomanagement überarbeiten müssen, nicht nur, um kostspielige Ransomware-Angriffe und Unterbrechungen der Arbeitsabläufe zu vermeiden, sondern auch, um die neuen Vorschriften für die dringend benötigte Cyberversicherung zu erfüllen.
Wie also können Sicherheitsverantwortliche die Angriffsfläche in ihrem Unternehmen im Griff behalten und den Kriminellen einen Schritt voraus sein? Indem sie eine einheitliche Cybersicherheitsplattform nutzen, die eine kontinuierliche Transparenz und Überwachung der Sicherheit während der Entdeckungs-, Bewertungs- und Eindämmungsphasen des Lebenszyklus von Angriffsrisiken ermöglicht.
Erkennen der digitalen Angriffsoberfläche
Zunächst benötigen die Teams vollständige Transparenz, um bekannte, unbekannte, interne und dem Internet zugewandte (externe) Ressourcen zu erkennen und kontinuierlich zu überwachen. Als Silos vorhandene Einzelprodukte für Endpunkte, Benutzer, Geräte, Cloud, Netzwerke usw. erschweren eine Bestandsaufnahme und auch manuelle Audits. Es gilt auch zu bedenken, dass neue Projekte mit Open-Source-Abhängigkeiten und Benutzer-/Gerätekonten sofort in Betrieb genommen werden, was bedeutet, dass Sicherheitsteams in der Lage sein müssen, ihr gesamtes Ökosystem zu überblicken, und zwar während es sich ändert und nicht erst danach.
Ziel ist es, Transparenz zu schaffen, um Fragen wie diese zu beantworten:
- Wie groß ist meine Angriffsfläche?
- Wie gut kann ich erkennen, welche Ressourcen in meiner Umgebung vorhanden sind?
- Wie viele, welche Typen und welche Attribute sind mit diesen Assets verbunden?
- Welches sind meine wertvollen Ressourcen?
- Wie verändert sich meine Angriffsfläche?
Eine Cybersicherheitsplattform mit umfassender Integration von Drittanbietern ermöglicht es, das gesamte Ökosystem von einem Dashboard aus zu überblicken, was wertvolle Zeit spart und eine bessere Einschätzung des Cyberrisikos ermöglicht.
Bewerten des Cyberrisikos
Als Nächstes müssen Teams alle Schwachstellen und Schwachpunkte bewerten und nach Prioritäten ordnen. Dies gilt nicht nur für Systeme, sondern auch für Benutzertypen. So sind beispielsweise Mitarbeiter der Führungsebene die häufigsten Ziele für BEC-Angriffe (Business Email Compromise). Außerdem ist eine Zunahme von Kampagnen zu beobachten, die auf Software-Supply-Chains und DevOps-Pipelines abzielen, was bedeutet, dass auch Prozesse auf Sicherheitslücken untersucht werden müssen.
Im Idealfall werden diese Risikoinformationen zum besseren Verständnis in einen Kontext gestellt, um die folgenden Fragen zu beantworten:
- Kann ich mein Risiko quantifizieren? Wie hoch ist mein Gesamtrisikowert?
- Steigt oder sinkt mein Risikowert im Laufe der Zeit?
- Wie sieht er im Vergleich zu anderen Unternehmen der Branche aus?
- Wo sehe ich die größten Sicherheitsrisiken?
- Welche Risikofaktoren erfordern sofortige Aufmerksamkeit?
Mindern des Risikos
Die Erkennung und Bewertung von Risiken entlang der digitalen Angriffsfläche ist zwar wichtig, doch es ist auch von entscheidender Bedeutung, umsetzbare und nach Prioritäten geordnete Empfehlungen zur Risikominderung zu definieren. Virtuelles Patching, Änderung der Konfigurationsoptionen einer Präventionskontrolle und Kontrolle der Benutzerzugriffsparameter sind nur einige Beispiele.
Darüber hinaus sollte es möglich sein, Abhilfemaßnahmen zu automatisieren, wo immer dies möglich ist, um die Effizienz zu steigern und die Wahrscheinlichkeit eines erfolgreichen Angriffs oder Einbruchs zu verringern.
Angesichts des Fachkräftemangels, der die Verwaltung der Angriffsfläche zu einer echten Herausforderung macht, ist die Schaffung eines gemeinsamen Rahmens und einer einheitlichen Sichtweise für ein effektives Cyber-Risikomanagement von größter Bedeutung.
Die Lösung: erweiterte Detection and Response (XDR) und Zero-Trust-Strategien.
Die Bedeutung von XDR
Investitionen in XDR bedeuten, dass Daten, Analysen und Integration vorhanden sind und eine Technologie zur Verfügung steht, die als Grundlage für andere Anwendungsfälle dienen kann und Einblicke und betrieblichen Nutzen über den Bereich der Erkennung und Reaktion hinaus bietet.
Eine proaktivere Risikopriorisierung und -minderung kommt dem SOC zugute, da die Gesamtbelastung und der Umfang eines Sicherheitsvorfalls reduziert werden. Umgekehrt bieten die von XDR gesammelten Erkennungsdaten einen wertvollen Einblick in die Aktivitäten von Bedrohungen an der Angriffsoberfläche und wie aktuelle Verteidigungsmaßnahmen darauf wirken. Daraus können wiederum Risikobewertungen und Reaktionsempfehlungen abgeleitet werden.
Weitere Informationen dazu bietet der „Guide to Better Threat Detection and Response XDR“.
Zero Trust-Strategien
Proaktives Cyber-Risikomanagement hängt von der Umsetzung von Elementen einer Zero-Trust-Strategie ab. Zero Trust ist eine Erweiterung des Prinzips der geringsten Privilegien, bei dem jede Verbindung - ob sie nun aus dem Netzwerk kommt oder nicht - als nicht vertrauenswürdig angesehen wird. Dies ist in der heutigen hypervernetzten, dezentralen Arbeitsumgebung von entscheidender Bedeutung, da es immer mehr verschiedene Zugangspunkte oder Verbindungen zum Unternehmen gibt.
Wie immer muss es sich dabei um einen fortlaufenden Prozess handeln, bei dem Identität, Benutzer- und Geräteaktivitäten, Anwendungen, Schwachstellen und Gerätekonfigurationen ständig bewertet werden. Die Forderung nach einer kontinuierlichen Bewertung hat dazu geführt, dass sich viele SOCs auf die Secure Access Service Edge (SASE)-Architektur verlegen, die diskrete Funktionen wie Cloud Application Security Broker (CASB), Secure Web Gateway (SWG) und Zero Trust Network Access (ZTNA) für eine detailliertere Kontrolle über das Netzwerk kombiniert.
Gemeinsam mit einer auf Zero Trust ausgerichteten Risikoerkennung und -minderung kann XDR die Sicherheit weiter erhöhen. XDR schafft eine solide Grundlage für die Verifizierung und den Aufbau von Vertrauen. Und da es kontinuierlich Daten sammelt und korreliert, erfüllt es die Anforderungen einer kontinuierlichen Bewertung ind der Zero-Trust-Strategie.
Fazit
Ein besseres Management der digitalen Angriffsfläche beginnt mit den richtigen Werkzeugen: einer einheitlichen Cybersicherheitsplattform mit umfassender Integration von Drittanbietern, die sich nahtlos in ein bestehendes Sicherheitssystem einfügt.
Beziehen Sie eine Plattform wie Trend Vision One in Ihre Überlegungen mit ein, die mit innovativen Sicherheitsfunktionen wie XDR, kontinuierlicher Bedrohungsüberwachung, Risikobewertungen und Automatisierung ausgestattet ist, um Sicherheitsteams zu entlasten, Erkennung und Reaktion zu beschleunigen und Compliance- und Cyberversicherungsanforderungen zu erfüllen.