Attack-Surface-Management-Lösungen: 9 Tools, um Ihre Angriffsfläche zu managen

Foto: PewChantana – shutterstock.com

Regelmäßige Netzwerk-Scans reichen für eine gehärtete Angriffsfläche nicht mehr aus. Um die Sicherheit von Unternehmensressourcen und Kundendaten zu gewährleisten, ist eine kontinuierliche Überwachung auf neue Ressourcen und Konfigurationsabweichungen erforderlich. Werkzeuge im Bereich Cyber Asset Attack Surface Management (CAASM) und External Attack Surface Management (EASM) sind darauf ausgelegt, die Angriffsfläche von Unternehmen

• zu quantifizieren,

• zu minimieren, und

• zu härten.

Das Ziel besteht dabei darin, den Angreifern möglichst wenig Informationen über das Security-Niveau des Unternehmens zu geben und gleichzeitig kritische Business Services aufrechtzuerhalten.

Attack Surface Management: 9 CAASM- und EASM-Tools

Die folgenden neun CAASM- und EASM-Tools unterstützen Sie dabei, Risiken zu identifizieren und zu managen und ihre Angriffsfläche zu härten.

Axonius Cyber Asset Attack Surface Management

Diese CAASM-Suite von Axonius deckt alle wichtigen Aspekte ab, wenn es um Attack Surface Monitoring geht. Das Tool erstellt zunächst ein Asset-Inventar, das automatisch aktualisiert und mit Kontext aus internen Datenquellen und Ressourcen angereichert wird.

Dabei ist es auch möglich, Monitoring-Prozesse aufzusetzen, die auf Grundlage von Richtlinien wie PCI oder HIPAA ablaufen. So lassen sich Konfigurationen oder Schwachstellen identifizieren, die diesen zuwiderlaufen und entsprechende Maßnahmen ergreifen.

CrowdStrike Falcon Surface

Das EASM-Toolset von CrowdStrike versucht die Perspektive der Angreifer einzunehmen und liefert eine Echtzeit-Map aller gefährdeten Assets und potenzieller Angriffsvektoren. Darüber hinaus bietet das Tool auch eine Änderungshistorie der Konfigurationen und liefert so sofort Details über etwaige Abweichungen. Interne und externe Datenströme sorgen für den Kontext, den Unternehmen brauchen, um Risiken zu priorisieren.

Abhilfemaßnahmen können automatisch durch integrationsbasierte Warnungen und Aktionen (Benachrichtigung über einen Slack-Kanal, Tickets in Jira oder ServiceNow erstellen oder Maßnahmen über ein Benutzerkonto oder System auslösen) oder Playbook-basiert ergriffen werden. Letzteres leitet Administratoren über Konfigurationen oder System-Updates bei der Härtung von Systemen an.

CyCognito Attack Surface Management

Das CAASM-Produkt von CyCognito bietet eine kontinuierliche Überwachung und Inventarisierung von Assets. Dabei spielt es keine Rolle, ob diese On-Premises, in der Cloud, bei einem Drittanbieter oder einer Tochtergesellschaft vorliegen.

Um den Triage-Prozess und die Risiko-Priorisierung zu erleichtern, kann auch Business-Kontext hinzugefügt werden (beispielsweise Beziehungen zwischen einzelnen Assets). Das hilft dabei, sich auf die wichtigsten Netzwerkrisiken zu konzentrieren. CyCognitos Tool verfolgt darüber hinaus auch Konfigurationsänderungen und ermöglicht so, neue Risiken für die Unternehmensinfrastruktur schnell zu identifizieren.

Informer.io

Die Plattform von Informer bietet Ihnen Zugang zu EASM-Funktionen, die die Asset-Erkennung in Webanwendungen, APIs und anderen Aspekten des Public-IT-Stacks eines Unternehmens automatisieren. Assets werden dabei kontinuierlich überwacht und etwaige Risiken in Echtzeit priorisiert. Die Plattform bietet auch weitere Zusatzdienste, etwa zur manuellen Risikovalidierung oder für Penetrationstests.

Das Workflow-basierte Response-System von Informer wird in bestehende Ticketing- und Kommunikationsapplikationen integriert und erleichtert es so, mehrere Teams in den Reaktionsprozess einzubinden. Sobald identifizierte Bedrohungen entschärft wurden, können die Nutzer zudem überprüfen, ob das Risiko vollständig beseitigt wurde.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

JupiterOne Cyber Asset Attack Surface Management

JupiterOne preist seine CAASM-Lösung als eine Möglichkeit an, “Cyber-Asset-Daten nahtlos in einer einheitlichen Ansicht zu aggregieren”. Der Kontext wird bei Bedarf automatisch hinzugefügt, und die Beziehungen zwischen den Assets können definiert und optimiert werden, um Schwachstellenanalyse und Incident-Response-Fähigkeiten zu verbessern.

Benutzerdefinierte Abfragen ermöglichen es Cybersecurity-Teams, komplexe Fragen zu beantworten, während der Asset-Bestand über eine interaktive Map durchsucht werden kann. Die Security-Tools, in die Sie bereits investiert haben, können Sie integrieren – was eine ganzheitliche, zentralisierte Perspektive auf das Security-Niveau zulässt.

Microsoft Defender External Attack Surface Management

Microsoft hat still und leise eine Führungsrolle in der Enterprise-Security-Landschaft eingenommen und nutzt seine Investitionen in die Cloud, um den Kunden einen Mehrwert zu bieten. Da bildet das EASM-Offering unter dem Dach der Marke Defender keine Ausnahme: Microsoft Defender EASM erkennt nicht verwaltete Assets und Ressourcen, die per Schatten-IT bereitgestellt werden oder sich auf anderen Cloud-Plattformen befinden. Sobald die Assets und Ressourcen identifiziert sind, sucht das Tool nach Schwachstellen auf jeder Ebene des Technologie-Stacks, einschließlich der zugrunde liegenden Plattform, App-Frameworks, Webanwendungen, Komponenten und des Kerncodes.

Defender EASM ermöglicht es IT-Profis, Schwachstellen in neu entdeckten Ressourcen schnell zu beheben, indem diese nach Entdeckung in Echtzeit kategorisiert und priorisiert werden. Naturgemäß lässt sich Defender EASM eng mit anderen Microsoft-Lösungen mit Sicherheitsschwerpunkt wie Microsoft 365 Defender, Defender for Cloud oder Sentinel integrieren.

Rapid7 InsightVM

Rapid7 hat sich darauf spezialisiert, die Unternehmens-IT zu befähigen, Schwachstellen in Ressourcen zu erkennen. Weil die grundlegenden Aspekte des System-Scanning und der Datenanalyse für das Attack Surface Management nützlich sind, baut InsightVM auf dieser Grundlage auf. Wie hoch die Reputation ist, die Rapid7 innerhalb der Branche genießt, zeigt sich daran, dass das Unternehmen eine “CVE Numbering Authority” ist – also neu entdeckte Schwachstellen im offiziellen CVE-Rahmen identifizieren und bewerten darf.

InsightVM überwacht Änderungen an Unternehmensressourcen, egal ob es sich um neu eingesetzte oder um solche mit neuen Schwachstellen oder Konfigurationsänderungen handelt. Dabei bringt Rapid7 auch seine Analyse- und Dashboard-Fähigkeiten ein. Das Resultat ist ein Live-Dashboard, dass den Benutzern ermöglicht, sämtliche Vulnerability-Details zu durchdringen.

SOCRadar AttackMapper

Mit AttackMapper (ein Teil der Tool-Suite für SOC-Teams), will SOCRadar, den Anwendern die Sicht der Angreifer auf die Assets ermöglichen. Das Tool überwacht Assets dynamisch in Echtzeit, identifiziert neue oder veränderte und analysiert diese Veränderungen auf potenzielle Schwachstellen.

Die Ergebnisse werden mit bekannten Angriffsmethoden korreliert, um den Entscheidungsfindungs- und Triageprozess zu unterstützen. Dabei überwacht AttackMapper nicht nur Endpunkte und Software Vulnerabilities, sondern auch SSL-Schwachstellen, abgelaufene Zertifikate, DNS-Einträge und Konfigurationen. Das Tool erkennt selbst Website-Defacement-Angriffe, was entscheidend sein kann, um Markenreputation zu schützen.

Tenable.asm

Tenable hat schon seit einigen Jahren Tools im Angebot, um Schwachstellen aufzuspüren – und auch die aktuelle Tool-Suite wird modernen IT-Sicherheitsanforderungen gerecht. Bei Tenable.asm handelt es sich um das EASM-Modul des Unternehmens, das vollständig in die hauseigenen Schwachstellenmanagement-Tools integriert ist.

Tenable.asm liefert Kontext und Details zu Assets und Schwachstellen, allerdings nicht nur aus technischer Sicht, sondern auch auf Business-Ebene, was für eine umfassende Priorisierung der Maßnahmen erforderlich ist. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.