Warum Asset Attribution wichtig ist
Stellen wir uns einen Moment lang vor, dass alle mit dem Internet verbundenen Anlagen Ihres Unternehmens Sterne in der Galaxie sind. Stellen Sie sich jeden Server, jede Anwendung und jedes Gerät als einen anderen Lichtpunkt in Ihrer Ecke des Kosmos vor.
In der Cybersicherheit können wir uns die Asset-Attribution als den Prozess vorstellen, bei dem jeder dieser Sterne abgebildet wird. Die Asset-Attribution stellt sicher, dass jede digitale Entität auf der Angriffsfläche nicht nur identifiziert, sondern auch mit dem Eigentümer, dem Zweck und dem Platz innerhalb der Unternehmensarchitektur versehen wird.
Dieses Mapping ist entscheidend. Im Falle eines Zero-Day-Ereignisses oder der Entdeckung einer kritischen Bedrohung kann das Wissen um den genauen Aufenthaltsort und den Besitzer jedes einzelnen Objekts die Fähigkeit Ihres Sicherheitsteams, Prioritäten zu setzen und zu reagieren, erheblich beschleunigen. Diese Art der schnellen, fundierten Reaktion ist für die Minimierung der Gefährdung und die wirksame Abschwächung von Risiken unerlässlich. Und, was noch wichtiger ist, sie kann dazu beitragen, die MTTR-Kennzahl (Mean-Time-to-Remediate) Ihres Teams zu verbessern.
Mittlere Durchlaufzeit: Eine zu beachtende Metrik
Die Mean-Time-to-Remediate (MTTR) ist ein wichtiger Maßstab, an dem Sicherheitsteams die Effektivität ihrer Arbeit messen können. Eine niedrige MTTR signalisiert, dass Ihr Team in der Lage ist, eine Bedrohung schnell und effektiv zu bekämpfen, in der Regel bevor sie sich negativ auf das Unternehmen auswirkt. Hohe MTTR? Nun, das könnte ein Zeichen dafür sein, dass mehr Tools, Schulungen oder Prozessverbesserungen erforderlich sind, da Schwachstellen zu lange unbehandelt bleiben.
Leider haben viele Sicherheitsteams Schwierigkeiten, eine angemessene MTTR zu erreichen. Laut einer Studie von EdgeScan dauerte es im Jahr 2023 durchschnittlich 65 Tage, um kritische Schwachstellen zu beseitigen. Das sind mehr als zwei Monate, in denen Anlagen für Angriffe von Angreifern ungeschützt bleiben. Zum Vergleich: Die CISA empfiehlt, kritische Schwachstellen innerhalb von nur 15 Tagen zu beseitigen.
Wodurch verlängert sich der Sanierungsprozess? Obwohl viele Faktoren eine Rolle spielen können, kann die Zuordnung von Vermögenswerten einer der zeitaufwändigsten sein.
Wie sich die Asset-Attribution auf die MTTR auswirkt
Teams haben oft Probleme mit der Asset-Attribution, wenn sie keinen vollständigen, aktuellen und kontextbezogenen Überblick über ihre Angriffsfläche haben. Mit anderen Worten: Sie wissen nicht genau, was sie besitzen. Sie verfügen vielleicht über ein statisches Bestandsverzeichnis, das aber nicht ständig aktualisiert wird. Sie haben nur eine punktuelle Ansicht, die zwischen den geplanten Inventarisierungsübungen veraltet ist. Wenn beispielsweise jemand aus dem Team eine neue SaaS-Lösung einrichtet, ohne das Protokoll zu befolgen, weiß Ihr Sicherheitsteam bis zur nächsten Bestandsaufnahme nichts mehr davon.
Das bedeutet, dass diese Teams im Falle einer kritischen Schwachstelle mehr Arbeit haben, die sie manuell erledigen müssen.
Bei dem Versuch, die potenziellen Auswirkungen einer Schwachstelle zu bewerten, müssen diese Teams eine aktuelle Übersicht über ihre Angriffsfläche erstellen. Bei einer veralteten Ansicht werden möglicherweise Anlagen ausgelassen, die von einer kritischen Sicherheitslücke betroffen sein könnten. Um diese aktualisierte Ansicht zu erhalten, müssen unter Umständen neue Maßnahmen zur Erkennung von Ressourcen eingeleitet und auf Rohdaten zurückgegriffen werden. Wenn diese Datensätze fragmentiert sind oder wenn die Details zu den Assets in den Datensätzen spärlich sind, können Teams bei dem Versuch, Klarheit zu gewinnen, in zeitraubende Kaninchenlöcher geführt werden. Dies wiederum zieht den Sanierungsprozess in die Länge und erhöht die MTTR.
Automatisierte Attribution mit Attack Surface Management
Attack Surface Management (ASM) kann helfen, diese Lücke zu schließen. Bei der Angriffsflächenverwaltung handelt es sich um eine proaktive Lösung, die kontinuierlich bekannte und unbekannte Ressourcen in der Angriffsfläche eines Unternehmens aufspürt und mit Kontext versorgt. ASM bietet Sicherheitsteams eine leistungsstarke Karte der gesamten Angriffsfläche und aktualisiert die Ansicht der Angriffsfläche kontinuierlich, wenn neue Ressourcen online oder offline gehen. Eine ASM-Lösung wie Censys Attack Surface Management erkennt automatisch unbekannte Objekte auf der Angriffsfläche und liefert Kontext über die Eigentumsverhältnisse.
Durch die Zuordnung der einzelnen Anlagen zu bestimmten Standorten und Eigentümern erhalten Unternehmen ein umfassenderes Verständnis ihrer Angriffsfläche. Dieses detaillierte Wissen ist von unschätzbarem Wert für die Identifizierung potenzieller Schwachstellen und die Beschleunigung des Behebungsprozesses. Mit ASM muss Ihr Team im Falle eines Zero-Day-Angriffs nicht erst mühsam zusammensuchen, wo sich die betroffenen Ressourcen befinden oder wie eine bisher unbekannte, jetzt anfällige Ressource in die Angriffsfläche Ihres Unternehmens passt. ASM bietet die vollständige, kontextbezogene und aktuelle Übersicht, die Sie benötigen.
Auch Daten spielen eine wichtige Rolle
ASM-Lösungen sind nur so effektiv wie die Daten, auf denen sie beruhen. Für eine kontinuierliche und genaue Erkennung und Identifizierung von Assets auf der Angriffsfläche müssen ASM-Lösungen vollständige, genaue und aktuelle Informationen über die globale Internet-Infrastruktur verwenden. Es reicht nicht aus, nur Teile des Internets zu scannen, um unbekannte Objekte zu entdecken. Es reicht auch nicht aus, nur sporadisch zu scannen oder nicht genügend Details über ein Objekt zu sammeln, um den Teams einen relevanten Kontext zu liefern.
Warum sollte man auf Daten Wert legen? Die Fähigkeit von ASM, eine effektive Zuordnung von Vermögenswerten vorzunehmen, hängt von ihnen ab. Es ist auch ein Faktor, der übersehen werden kann. Das liegt daran, dass Sicherheitsteams davon ausgehen können, dass "Daten Daten sind" und dass ASM-Lösungen wahrscheinlich ähnliche Datenquellen nutzen. In Wirklichkeit gibt es jedoch erhebliche Unterschiede in der Qualität der Internet-Scandaten, auf die sich die ASM-Anbieter stützen. Einige Daten werden nur wöchentlich oder in unregelmäßigen Abständen aufgefrischt. Andere Daten spiegeln nur einen Teil der globalen Internet-Infrastruktur wider. Einen Eindruck davon, was wir meinen, erhalten Sie in unserem kürzlich erschienenen Artikel darüber, wie unübertroffene Internet-Intelligenz aussieht.
Klarheit schaffen mit Censys Attack Surface Management
Teams, die nach einer Möglichkeit suchen, die Asset-Attribution zu verbessern und die MTTR zu senken, könnten sich für Censys EASM interessieren, das auf einzigartige Weise erstklassige ASM-Technologie mit branchenführender Internet-Intelligenz verbindet. Censys ist der einzige ASM-Anbieter, der täglich eine Attributions-Engine laufen lässt, was einen erheblichen Vorteil bei der Anzahl der aufgezählten Dienste und eine Verringerung der Falsch-Positiv-Ergebnisse um 70 % zeigt. Unsere automatisierte, tägliche Attribution bietet einen vollständigen Überblick über die Assets des Kunden und erhöht die Transparenz für den Kunden um bis zu 80 %. Der Attributionsalgorithmus von Censys hilft den Sicherheitsteams auch, die Verbindungen zwischen den Anlagen und die aktuellen Konfigurationen zu verstehen und Details zu Bedrohungen zu entdecken. Die Attributionsgenauigkeit liegt bei über 95 %.
Da sich die digitale Landschaft ständig weiterentwickelt, müssen auch unsere Strategien zu deren Schutz angepasst werden. Die Asset-Attribution durch Atttack Surface Management ist mehr als eine Taktik; sie ist eine wichtige Komponente einer proaktiven Cybersicherheitsstrategie. Machen Sie sich das zunutze, und entdecken Sie, wie Ihr Team seine MTTR verbessern kann!