EASM: Neue Technologien schützen externe Angriffsflächen

Etwa drei Viertel der Fortune-500-Unternehmen unterhalten ihre IT-Infrastruktur außerhalb der eigenen Organisation. Das Problem dabei: ein Viertel dieser Umgebung ist mit bereits bekannten Schwachstellen behaftet.

Die Zahlen stammen aus einer Studie von Cyberpion, einem auf External Attack Surface Management (EASM) spezialisierten Cybersicherheitsunternehmen. Die Firma hat in der ersten Hälfte des Jahres 2021 Daten aus einem Single-Pass-Scan über die Oberflächen der öffentlichen Internetressourcen aller Fortune-500-Unternehmen gesammelt.

Ein Beispiel für die entdeckten Schwachstellen war die Konfiguration von Cloud-Speicherressourcen. Diese ermöglichen es jedem, Daten zu lesen oder zu schreiben. Der Bericht zeigte auch auf, dass die IT-Infrastruktur der Fortune-500-Unternehmen im Durchschnitt 126 verschiedene Login-Seiten für Kunden- oder Mitarbeiterportale und -dienste unterhält. Die höchste Zahl lag dabei bei 3.000. Darüber hinaus wurden fast 10 % der Anmeldeseiten als unsicher eingestuft. Häufig übertragen sie unverschlüsselte Daten oder haben Probleme mit SSL-Zertifikaten. Infolge dieser Schwachstellen können Hacker diese Anmeldesysteme ausnutzen, um auf Daten dieser Gruppen zuzugreifen.

Ein weiteres Ergebnis der Studie war, dass Fortune-500-Unternehmen durchschnittlich 951 Cloud-Assets nutzen, von denen fast 5 % anfällig sind. So können beispielsweise falsch konfigurierte AWS-Speicherressourcen einen unzulässigen Zugriff auf Daten ermöglichen. Das höchste Risiko besteht laut Cyberpion bei mehr als 30.000 Cloud-Assets.

„Cybersecurity-Teams sind oft nicht in der Lage, Angriffe effektiv abzuwehren. Denn sie haben keinen vollständigen Einblick in die Assets, mit denen sie verbunden sind“, erklärt Nethanel Gelertner, CEO von Cyberpion. „Die Unternehmen sind sich ihrer Anfälligkeit für diese externen Schwachstellen nicht bewusst. Sie können daher die Risiken nicht erkennen oder abmildern. Hinzu kommt, dass die Zahl der vernetzten Anlagen aufgrund von Cloud-Architekturen und Initiativen zur digitalen Transformation ständig zunimmt. All dies bedeutet, dass die Bewertung und der Schutz von Angriffsflächen noch schwieriger geworden ist.“

Was ist EASM?

EASM ist eine neue Kategorie der Cybersicherheit. Sie wurde von Gartner identifiziert und fasst Technologien zusammen, die helfen, Risiken von mit dem Internet verbundenen Anlagen und Systemen zu identifizieren – vor allem solche, die Unternehmen möglicherweise bisher nicht kennen. Nach Angaben des Forschungsinstituts handelt es sich um ein Konzept, dessen Bekanntheitsgrad in der Gemeinschaft der Anbieter von Cybersicherheitslösungen rasch zunimmt. Bei Unternehmen, die IT-Lösungen einsetzen, wächst er hingegen langsamer.

Ein Großteil der von Unternehmen und Privatpersonen genutzten IT-Infrastruktur, -Dienste und -Anwendungen ist heute in irgendeiner Form mit dem Internet verbunden. Dadurch basiert er auf Technologieblöcken von Drittanbietern, die ihrerseits wiederum mit Lösungen aus anderen Quellen verbunden sind und diese nutzen.

Die Gefahr besteht darin, dass diese Quellen größtenteils nicht unter der direkten Kontrolle der Unternehmen stehen. Schlimmer noch: Ein Sicherheitsverstoß an einem beliebigen Glied in diesem vernetzten Ökosystem kann zur Kompromittierung einer ganzen Kette führen. Gartner nennt dieses hochgradig gefährdete Ökosystem die „äußere Angriffsfläche“.

Die neue EASM-Kategorie bezieht sich genau auf Prozesse, Technologien und Dienstleistungen, die in der Lage sind, die externen IT-Ressourcen zu identifizieren, die Schwachstellen aufweisen können. Damit ergänzt sie andere bereits verwendete Tools, wie zum Beispiel solche für die Angriffssimulation und das Cloud Security Posture Management.

Nach Ansicht von Gartner sollten EASM-Lösungen fünf Schlüsselfunktionen bieten:

• Überwachung ¬– Kontinuierliche Überprüfung verschiedener externer Umgebungen (z. B. Cloud-Dienste und Infrastrukturen, die in irgendeiner Weise mit der Außenwelt verbunden sind) und verteilter Ökosysteme, wie z. B. IoT-Systeme;
• Asset-Identifizierung – Erkennung und Zuordnung von externen Assets und Systemen, die dem Unternehmen unbekannt sind;
• Analyse – Bewertung von Asset-Attributen und Feststellung, ob sie Risiken, Schwachstellen oder anomales Verhalten aufweisen;
• Priorisierung – Priorisierung von Risiken und Schwachstellen und Ausgabe von Warnungen auf der Grundlage von Priorisierungsanalysen;
• Abhilfe – Bereitstellung von Plänen zur Bedrohungsabwehr und Abhilfe-Workflows oder Integration mit anderen Lösungen wie Ticket-Systemen und Incident-Response-Tools.

Laut Gartner ist der EASM-Markt noch im Entstehen begriffen und zählt nur eine relativ kleine Anzahl von Anbietern, was auch für die Anwendungsfälle gilt.