Bei all dem Lärm auf dem Markt für Attack Surface Management (ASM) stellen wir fest, dass es viel Verwirrung darüber gibt, was die Lösungen in dieser Kategorie ausmacht. In dieser Serie wird beleuchtet, was eine ASM-Lösung ausmacht, damit Sie die auf dem Markt befindlichen Tools besser einschätzen können.
Wie bei jeder neuen Lösungskategorie, die auf dem Markt auftaucht - ob Cybersicherheit oder andere - gibt es legitime Produkte, die die Kategorie definieren, und andere, die nicht dazu gehören. Einige werden in die Kategorie hineingepasst, um aus dem Hype Kapital zu schlagen; andere haben einige der Funktionen, aber keine der kategoriedefinierenden; und wieder andere werden als solche aufgeführt, um Kunden anzulocken, bieten aber in der Ausführung nicht alles, was die Kategorie verlangt.
Bei unseren jüngsten Besuchen bei RSA und Gartner haben wir vor allem gehört, dass es bestenfalls undurchsichtig ist, was eine ASM-Lösung ausmacht. Einige der Anbieter, die sich selbst in die ASM-Kategorie einordnen, verleihen ASM-Lösungen ungewollt einen schlechten Ruf. Ihre Unfähigkeit, Klarheit über aufgetauchte Assets zu schaffen, und die Menge an Fehlalarmen oder Rauschen, die diese "Lösungen" erzeugen, machen sie zu einem ineffektiven Tool, das wir, offen gesagt, auch nicht verwenden möchten.
In dieser Serie werden wir uns ansehen, was eine Attack Surface Management-Lösung ausmacht. Wir beginnen damit, wie häufig Ihre ASM-Lösung das Internet scannen sollte.
Die Definition einer Attack Surface Management Lösung
Doch zunächst zur Definition von Attack Surface Management.
Ihre Angriffsfläche besteht aus den Ressourcen, die Ihr Unternehmen besitzt und die auch über das Internet zugänglich sind. Dabei kann es sich um Cloud-Speicherbereiche Ihrer zahlreichen Cloud-Service-Provider, verschiedene Arten von VPNs, Server, Hosting-Provider und viele andere handeln - denken Sie an alles, was im Internet öffentlich zugänglich ist. Wenn es für jeden im Internet sichtbar ist, ist es definitiv auch für Bedrohungsakteure sichtbar.
In einem kürzlich erschienenen Bericht definierte Forrester Attack Surface Management als "den Prozess der kontinuierlichen Entdeckung, Identifizierung, Inventarisierung und Bewertung der Gefährdung des IT-Bestands eines Unternehmens".
Die meisten Unternehmen verfügen über Tools zur Schwachstellenverwaltung und führen Pen-Tests durch. Diese Tools lassen jedoch immer noch Lücken in der Sichtbarkeit zu, vor allem, wenn es um gefährdete Anlagen geht.
Ihre ASM-Lösung sollte das Internet häufig scannen
Da Geschäfte heutzutage hauptsächlich online abgewickelt werden, erweitert und verändert sich Ihre Angriffsfläche - sie ist ständig im Fluss. Und eine gute ASM-Lösung muss in der Lage sein, mit dieser Aktivität Schritt zu halten, indem sie häufige Scans durchführt.
Außerdem haben Container und serverlose Umgebungen die Landschaft besonders flüchtig gemacht, sodass eine ASM-Lösung mit der Geschwindigkeit der Cloud arbeiten muss. Wenn sich etwas im öffentlichen Internet befindet, ist die Wahrscheinlichkeit groß, dass irgendjemand irgendwo von einem neu gefährdeten Host weiß, bevor Sie es tun, und Sie müssen ihnen einen Schritt voraus sein. CensysDie Untersuchungen von Microsoft zeigen, dass Angreifer innerhalb weniger Stunden nach Bekanntwerden einer Sicherheitslücke mit der vollständigen Durchsuchung des Internets nach anfälligen Systemen beginnen. Wenn die neueste und größte Schwachstelle in den Nachrichten auftaucht, müssen Sie wissen, wo sich alle Ihre anfälligen und gefährdeten Anlagen heute befinden, und nicht, was vor einer Woche oder einem Monat aufgedeckt wurde.
Wie oft scannt Censys ASM das Internet?
Censys hat mehrere Zeitpläne für die Entdeckung, die auf unserer Erfahrung beim Scannen des Internets basieren:
- Globaler Scan von beliebten Ports. Wir scannen jeden Tag den gesamten IPv4-Raum auf 137 Ports mit IANA-zugeordneten Diensten.
- Cloud-Anbieter-Scans. Da viele Cloud-Hosts kurzlebig sind, scannen wir täglich die 1.440 beliebtesten Ports auf Amazon-, Google- und Azure-Hosts.
- Globaler Scan von weniger beliebten Ports. Wir scannen regelmäßig den gesamten IPv4-Raum auf 3.455 zusätzlichen Ports und führen alle 10 Tage eine Überprüfung durch.
- Globaler Scan jeder anderen Portnummer. Wir scannen den gesamten IPv4-Adressraum über ALLE Ports (65535) mit einer niedrigen Hintergrundrate.
Sobald ein Dienst entdeckt wurde, aktualisiert Censys vorrangig die Informationen über diesen Dienst, um sicherzustellen, dass sie korrekt und aktuell sind.
Einmal pro Tag wird das Alter jedes der ~2,1 Milliarden Dienste in unserem Datensatz überprüft. Jeder (unbenannte) Dienst mit einem Beobachtungszeitstempel, der älter als 24 Stunden ist, wird erneut gescannt. Mit diesem Verfahren liegt das Durchschnittsalter der hochwertigen Dienstdaten bei etwa 16 Stunden.
Erstaunliche 69 % der Unternehmen haben eine Art von Cyberangriff erlebt, bei dem der Angriff selbst durch die Ausnutzung eines unbekannten oder nicht verwalteten Internet-Assets begann. Aus diesen Gründen ist es wichtig, dass Teams nach einer ASM-Lösung suchen, die häufiges Scannen priorisiert, um die Aktualität der Daten zu gewährleisten.
Erforschen Sie die Angriffsfläche Ihres Unternehmens mit Censys ASM.
Sehen Sie Ihre Angriffsfläche heute
