Die Verwaltung externer Angriffsflächen (External Attack Surface Management, EASM ) wird im Jahr 2022 zu einer der wichtigsten Prioritäten für Sicherheitsverantwortliche. Warum? Der digitale Wandel und die rasche Einführung der Cloud haben viele der traditionellen Vorstellungen von Cybersicherheit in Frage gestellt. Arbeitskräfte und Geschäftsabläufe haben sich schnell dezentralisiert, wodurch sich Schutzlücken vergrößert und das Risikomanagement eines Unternehmens auf den Kopf gestellt hat. Sicherheitsteams, die ohnehin schon unterdotiert waren, haben Mühe, mit den rasanten Veränderungen in ihrem Unternehmen Schritt zu halten.
EASM hilft den Kunden, gefährdete Objekte in der Cloud und im Internet schnell zu finden und die kritischsten Risiken für das Unternehmen zu priorisieren. Aber nicht alle Lösungen sind gleich. Die Fähigkeit, neue Risiken automatisch zu erkennen, spart dem Sicherheitsteam Zeit, wenn es die gesamte Angriffsfläche versteht, während ein nach Prioritäten geordneter Satz präziser Risiken in Verbindung mit praktischen Anleitungen für schnelle Abhilfemaßnahmen dem Team die Möglichkeit gibt, sich auf die Behebung der Probleme zu konzentrieren, die tatsächlich zu einem Einbruch führen werden.
Sind Sie auf der Suche nach einer Lösung für die Verwaltung externer Angriffsflächen? Dieser Blog hilft Ihnen dabei, den Überblick zu behalten und sich auf das Wesentliche zu konzentrieren, wenn es um die Verwaltung Ihrer externen Angriffsfläche geht.
Was sind die wichtigsten Elemente, die zu berücksichtigen sind, wenn ein Sicherheitsteam nach einer EASM-Lösung sucht?
Internet-Scanning und Namensnennung
Wenn Ihr Sicherheitsteam auf der Suche nach einer EASM-Lösung ist, fragen Sie sich vielleicht, wie Sie ein Tool finden, das für Sie geeignet ist. Wenn Sie von Scanning und Attribution hören, müssen Sie sich fragen: Wie oft wird gescannt? Wie viel wird gescannt? Und wie aktuell sind die Daten? Das Hauptziel jeder EASM-Technologie besteht darin, alles zu entdecken, was sich in Ihrem Besitz befindet und sich im Internet befindet. Frische und aktuelle Daten zu Hosts, Diensten, Zertifikaten, Software und dergleichen sind eine Voraussetzung.
Ursprünglich wurde Censys 2013 an der University of Michigan gegründet, um Schwachstellen im Internet umfassend aufzudecken. Heute liefert Datendienste an einige der anspruchsvollsten Unternehmen, Regierungsbehörden und Sicherheitsunternehmen weltweit. Wir sind der Goldstandard in Sachen Datenqualität und -genauigkeit, weil wir die beste Abdeckung mit der breitesten und häufigsten Perspektive auf das Internet, einschließlich Cloud-Instanzen, bieten.
Das Scannen aus 5 globalen Perspektiven auf mehr als 3.500 Ports mit automatischer Protokollerkennung bedeutet, dass wir in der Lage sind, fast 99 % des IPv4-Raums zu sehen (wir finden mehr als 63 % mehr Dienste als unser nächster Mitbewerber). Und diese Kadenz setzt sich in der Cloud fort, wo wir alle 12 Stunden alle öffentlich zugänglichen Cloud-Instanzen scannen.
Alle Daten der Welt nützen nichts, wenn Sie nicht genau bestimmen können, was zu Ihnen gehört. Daher ist ein intelligenter und transparenter Zuordnungsprozess genauso wichtig wie die Daten selbst. Censys ist vollständig automatisiert, und in direkten Vergleichen mit anderen EASM-Anbietern haben wir etwa 10 % weniger falsch-positive Ergebnisse erzielt .
Das bedeutet, dass Sie keine Zeit damit verschwenden, Problemen nachzugehen, die nicht mehr existieren oder einfach nie zu Ihrer Organisation gehörten. Und unsere Zuordnung erfolgt täglich. Der einfache Zugang zu Cloud-Diensten bedeutet, dass sich Ihre Angriffsfläche innerhalb von Minuten vergrößern kann, ohne dass Sie einen Überblick haben oder Sicherheitsüberlegungen anstellen müssen. Daher muss Ihr Verständnis dessen, was nun in Ihrer Verantwortung liegt, ebenso schnell aufgefrischt und aktualisiert werden. Einfacher ausgedrückt: Alles andere als eine tägliche Attribution bedeutet, dass Sie mit veralteten Daten arbeiten.
Risiken und Erkenntnisse
So wie die tägliche Zuordnung für die Genauigkeit wichtig ist, so ist auch die tägliche Überwachung von Risiken und Gefährdungen erforderlich, um zu erkennen, was zuerst priorisiert werden muss.
Unser Risikorahmen zeigt die wichtigsten und kritischsten Risiken auf, die sich über Ihre gesamte Angriffsfläche erstrecken. Das reicht von Cloud-Fehlkonfigurationen wie ungeschützten Storage-Buckets oder EC2-Metadaten bis hin zu riskanten Diensten, die versehentlich für das Internet geöffnet sind - und nicht nur Software-Schwachstellen. Da sich die Bedrohungslandschaft ständig weiterentwickelt, identifiziert und bewertet Censys kontinuierlich den Schweregrad jedes Risikos auf der Grundlage seiner Auswirkungen, Ausnutzbarkeit und Wahrscheinlichkeit. Dies ist zum großen Teil darauf zurückzuführen, dass unsere Rapid Response- und Forschungsteams aktiv neue Zero-Days verfolgen, um sie schnell in unsere Plattform einzubauen (z. B. haben wir 3 Tage nach der Ankündigung von Log4j 27 neue einzigartige Risiken erstellt).
Alle diese Informationen sind sofort umsetzbar, mit Anleitungen zur Problembehebung und gemeinsamen Workflow-Integrationen, um Risiken zu reduzieren, abzuschwächen oder neu zu priorisieren und zu akzeptieren (nicht jede Warnung erfordert sofortiges Handeln). Und was tun Sie, nachdem Sie das veraltete Nginx aktualisiert oder das RDP, das auf einem unbekannten Port läuft, abgeschaltet haben? Unsere External Attack Surface Management-Plattform kann jedes Objekt bei Bedarf scannen, um sofort zu überprüfen, ob die von Ihnen durchgeführten Maßnahmen Ihre Risikostruktur verbessern.
Welche Flexibilität bietet Ihnen eine ASM-Lösung?
Kein Sicherheitsteam möchte in ein starres Tool gezwungen werden, das seine Sicherheitslage definiert - sie wollen, dass sich das Tool an ihre Arbeitsweise anpasst.
Bei Censys haben wir festgestellt, dass die Benutzer die Möglichkeit haben möchten, die Angriffsfläche ihres Unternehmens flexibel zu betrachten. Vielleicht möchten Sie verschiedene Geschäftsbereiche oder kürzlich getätigte Akquisitionen aufschlüsseln, um das individuelle Risiko zu verstehen, das sie darstellen. Oder Sie möchten in der Lage sein, alle Ihre Daten auf intelligente und intuitive Weise zu durchsuchen, oder Sie möchten die Möglichkeit haben, ein Risiko für einen bestimmten Vermögenswert zu ändern, wenn Sie wissen, dass dieses Geschäft Flexibilität erfordert, z. B. wenn eine bestimmte End-of-Fife-Software auf einem Host läuft. Schließlich brauchen Sie die Möglichkeit, ganze Domänen oder bestimmte IPs hinzuzufügen oder zu entfernen, wenn sich Ihr Geschäft ändert. Ein EASM-Tool sollte zu keinem Zeitpunkt externe Unterstützung erfordern, damit Sie es an Ihre Umgebung anpassen können.
Wie bereichert das External Attack Surface Management mein aktuelles Sicherheitskonzept?
Für die Teams, die bereits SIEMs, SOARs, CASBs und eines der vielen anderen Tools in einem typischen Sicherheits-Stack haben, müssen die wertvollen Informationen und Hinweise, die EASM sammelt, Ihre täglichen Aufgaben bereichern. Dies bedeutet Integrationen. Censys lässt sich in bestehende Sicherheitsplattformen wie ein SIEM integrieren, um alle Ereignisse zu erfassen, die Ihre Angriffsfläche täglich verändern, sowie in eine Schwachstellenmanagementlösung, um sicherzustellen, dass neu entdeckte und bisher unbekannte Assets Teil einer routinemäßigen Scankadenz werden, und in Ticketingsysteme, um mit Abhilfemaßnahmen zu beginnen, sobald Probleme entdeckt werden.
Censys bietet auch native Integrationen zu allen drei wichtigsten öffentlichen Cloud-Anbietern (Azure, GCP und AWS), die Ihnen helfen, Einblicke sowohl von innen als auch von außen für einen Vergleich zu erhalten. Unsere Kunden finden 20-30 % mehr Assets in der Cloud, als sie wussten, selbst wenn sie glauben, dass sich ihre Cloud-Ausbreitung auf einige wenige Anbieter oder Konten beschränkt. Mit Cloud Connectors können Sie schnell alle nicht verwalteten Cloud-Instanzen in Azure, GCP und AWS identifizieren.
Wie kann mein Team dadurch Zeit oder Geld sparen?
Viele dieser Aufgaben erledigen Sie bereits - die Verwaltung eines Bestands in mehreren Tabellen, Ad-hoc-Scans, um neue Bestände zu entdecken, und der Versuch, herauszufinden, was real ist und was nicht. Und das alles, bevor Sie sich um aufgetretene Sicherheitsprobleme kümmern. Unsere Kunden schätzen, dass sie 45 Stunden pro Monat ein sparen (das ist eine zusätzliche Arbeitswoche), weil Censys all dies schneller, genauer und automatisch erledigt.
Sie sind bereits vor dem Kauf voll einsatzfähig, und die IT-Abteilung muss keine langwierigen Demos und Tests durchführen. Unser automatisierter Onboarding-Prozess erstellt und pflegt Ihre Angriffsfläche auch dann, wenn sich Ihre Form durch eine Übernahme, Fusion, Veräußerung oder irgendetwas dazwischen ändert. Darüber hinaus steht Ihnen ein engagiertes Customer Success Team zur Seite, das Ihnen hilft, Best Practices zu nutzen und junge Analysten oder Ingenieure zu unterstützen, die Ihre externe Oberfläche zum ersten Mal sehen.
Sind Sie bereit, eine externe Attack Surface Management-Lösung zu testen? Setzen Sie sich mit uns in Verbindung, und wir stellen Ihnen die Lösung zur Verfügung, die mehr ungeschützte Assets findet als jede andere Lösung auf dem Markt.
