Wenn Sie dieses Jahr auf der Black Hat waren oder Ihre Hausaufgaben im Internet gemacht haben, sind Ihnen wahrscheinlich Begriffe wie EASM, ASM, Exposure Management, Attack Surface und die vielen anderen Variationen, die immer wieder auftauchen, ein Begriff. Sind das Werkzeuge? Fähigkeiten? Oder nur die neuesten Marketing-Schlagworte, die niemand so recht versteht? Die Antwort lautet: Ja. Die Anbieter von Sicherheitsprodukten haben ganze Arbeit geleistet, um diese neue Kategorie so klar wie Schlamm zu machen, was es für Sie, den SOC-Manager, den Cloud Security Engineer, den IT-Administrator, den Incident Responder usw. sehr viel schwieriger machen kann, zu verstehen, worauf Sie sich einlassen.
Aber keine Angst! Eine der einfachsten Möglichkeiten, Verwirrung zu stiften, ist die Verwendung konkreter Begriffe und Definitionen, damit alle dieselbe Sprache sprechen. In unserem Glossar erfahren Sie, wie wir innerhalb von Censys, einem der Pioniere dieser Branche, über Cybersicherheit und Angriffsflächenmanagement sprechen.
Das Censys Angriffsflächenmanagement-Glossar
Entdeckung von Vermögenswerten
Der Prozess der Identifizierung von Internet-Ressourcen, die Teil einer Angriffsfläche sind. Die Verbindungen zwischen den Anlagen und der Angriffsfläche sollten auf automatisierte Weise ermittelt werden, wobei nur die mit hoher Sicherheit festgestellten Verbindungen berücksichtigt werden, um Fehlalarme zu vermeiden. Die Asset-Ermittlung ist eine grundlegende Fähigkeit des Angriffsflächenmanagements und sollte so häufig wie möglich durchgeführt werden. Wird auch als Asset-Attribution bezeichnet.
Angriffsfläche
Die Menge an Internet-Ressourcen, die für die Cybersicherheitslage eines Unternehmens relevant sind und auf die ein Angreifer zugreifen oder sie kompromittieren kann. Die Angriffsfläche umfasst sowohl interne als auch externe Ressourcen, die sich vor Ort, in der Cloud, bei gemeinsam genutzten Hosting-Anbietern oder in anderen Abhängigkeiten von Dritten befinden. Eine Angriffsfläche umfasst alle Ressourcen, unabhängig davon, ob sie bekannt und von einem IT- und Sicherheitsteam geschützt sind oder nicht.
Angriffsflächen-Management
Die kontinuierliche Erkennung, Bestandsaufnahme und Überwachung der bekannten und unbekannten IT-Infrastruktur eines Unternehmens. Dabei handelt es sich um einen fortlaufenden Prozess, der sowohl die Sichtbarkeit von innen nach außen als auch die Sichtbarkeit von außen nach außen auf die Ressourcen umfasst. Attack Surface Management stellt einen neuen Ansatz für Sicherheitsprogramme dar, um den Kontext zu verstehen und teamübergreifend auszutauschen, damit proaktiv sichere Lösungen entwickelt und das Unternehmen geschützt werden kann. Externes Attack Surface Management (EASM) ist eine Funktion innerhalb des umfassenderen Attack Surface Management-Prozesses, die sich speziell auf die externe Angriffsfläche konzentriert.
Wie ein Sicherheitsteam das Angriffsflächenmanagement automatisiert
Automatische Protokoll-Erkennung
Eine Methode, bei der während des Port-Scannens jede Serverantwort analysiert wird, um den zugrundeliegenden Dienst zu identifizieren, selbst wenn der Dienst nicht dem Standard für die Portnummer entspricht (z. B. SSH auf Port 1234). Dies trägt der Tatsache Rechnung, dass jeder Dienst auf jedem Port laufen kann. Etwa 60 % aller im Internet beobachteten Dienste laufen auf einem nicht standardisierten Port.
Erfahren Sie mehr über die automatische Protokollerkennung
Cloud-Konnektor
Eine Integration mit Cloud-Konten, die für die Erkennung von Schattenwolken, die Überwachung der Belastung und die Bestandsaufnahme von Cloud-Assets verwendet wird. Informationen von allen Internet-Assets in einem bestimmten Cloud-Konto (Amazon S3, Azure Blob, Google Cloud Storage, virtuelle Instanzen, Datenbanken usw.) werden kontinuierlich in eine ASM-Plattform eingespeist, idealerweise so häufig wie möglich, um den Asset-Ermittlungsprozess zu bereichern und eine vollständige Cloud-Transparenz zu gewährleisten.
Censys Cloud-Konnektoren
Befehls- und Kontrollinfrastruktur (C2)
Software, die zur Steuerung der Server verwendet wird, auf denen sie über das Internet erscheinen. Wie jede Software haben sie eindeutig identifizierbare Standardeinstellungen und -konfigurationen. Dies kann Sicherheitsexperten Werkzeuge an die Hand geben, mit denen sie ihre Verteidigungsmaßnahmen testen können, aber sie können auch für böswillige Aktionen genutzt werden.
Befehl und Kontrolle Blog
Exposition
Alle potenziellen Eintrittspunkte in ein bestimmtes Objekt, die aus der Außenperspektive betrachtet werden können (mit Blick auf das Internet). Gefährdungen an sich bestimmen nicht das Gesamtrisiko für ein Unternehmen, sondern stellen Möglichkeiten dar, die von Angreifern ausgenutzt werden können und überwacht oder angegangen werden sollten.
Externes Asset
Eine dem Internet zugewandte Einheit, die eine Organisation kontrolliert, um Geschäfte im Internet zu tätigen, einschließlich IP-Adressen, Netzblöcke (CIDRs), autonome Systeme (ASNs), Zertifikate, Domänen und Subdomänen, Websites und Speicherobjekte. Eine Sammlung von externen Assets stellt die externe Angriffsfläche einer Organisation dar.
Externe Angriffsfläche
Die Menge der externen Ressourcen, die für die Cybersicherheitslage eines Unternehmens relevant sind. Die externe Angriffsfläche umfasst sowohl bekannte als auch unbekannte Ressourcen und ist zum wichtigsten Einfallstor für Sicherheitsvorfälle und Sicherheitsverletzungen geworden.
Verwaltung externer Angriffsflächen
Ein Tool oder Prozess, der kontinuierlich die Exposition bekannter und unbekannter externer Ressourcen aufdeckt, inventarisiert und überwacht. Die Verwaltung der externen Angriffsfläche ist Teil eines umfassenderen Prozesses oder Programms zur Verwaltung der Angriffsfläche und sollte sich vorrangig auf die Sichtbarkeit externer Ressourcen nach außen konzentrieren, da diese für Angreifer am zugänglichsten sind.
On-Demand-Rescan
Auslösen eines Port-Scans eines beliebigen Hosts innerhalb einer Angriffsfläche, um alle bekannten Dienste erneut zu scannen und die Host-Daten mit der aktuellsten Konfiguration aus der Außenperspektive zu aktualisieren. Dies wird häufig als "Vertrauen, aber überprüfen"-Mechanismus als letzter Schritt bei der Beseitigung von Angriffen eingesetzt.
Risiko
Das Potenzial eines Risikos, sich negativ auf ein Unternehmen auszuwirken, wenn es von einem Angreifer ausgenutzt oder ausgenutzt wird. Der Gesamtschweregrad eines Risikos wird durch eine Kombination aus dem Risiko selbst und den zugrundeliegenden Daten, dem geschäftlichen Kontext oder der Bedeutung für ein IT-Ökosystem bestimmt. Der Schweregrad eines Risikos kann von Fall zu Fall unterschiedlich sein.
Schatten-Cloud
In der Cloud gehostete, dem Internet zugewandte Ressourcen, die sich außerhalb von Umgebungen befinden, die durch das Sicherheitsprogramm eines Unternehmens geschützt sind. Schattenwolken sind das Ergebnis der verwalteten und nicht verwalteten Cloud-Einführung innerhalb eines Unternehmens und treten am häufigsten auf, wenn Teile des Unternehmens außerhalb der IT-Abteilung Cloud-Dienste erstellen und dabei häufig alle formalen IT-Prozesse umgehen.
Angriffsflächen-Management: Das Problem mit der Cloud
Shadow IT
Dem Internet zugewandte Anlagen, die von einer Organisation nicht einheitlich gewartet, verwaltet und geschützt werden. Shadow IT bietet leicht auszunutzende Angriffsvektoren, da diese Anlagen außerhalb des Anwendungsbereichs von Sicherheitstools liegen und daher nur über einen minimalen Schutz verfügen. Häufige Quellen für Shadow IT sind alte Infrastrukturen, neu übernommene Anlagen durch Fusionen oder Übernahmen, nicht IT-verwaltete Anlagen, die von anderen Teilen des Unternehmens erstellt werden, und die Einführung von Cloud-Diensten.
Möchten Sie mehr über die Welt des Angriffsflächenmanagements erfahren? Auf unserer Ressourcen-Seite finden Sie Ebooks, Fallstudien, Webinare, Forschungsberichte und vieles mehr.