Attack Surface Management (ASM) spielt eine wichtige Rolle innerhalb der digitalen Präsenz moderner Unternehmen und umfasst alle Prozesse, die für die Instandhaltung der Sicherheitsanforderungen einer IT-Umgebung notwendig sind. Anbieter von automatisierten ASM-Lösungen implementieren auf ihren Sicherheitsplattformen dafür zahlreiche Funktionen zur kontinuierlichen Erhebung von Daten, die für die Gefahreneinschätzung eines Kunden von Bedeutung sein könnten. Da menschliche Sicherheitseinschätzungen aufgrund des hohen Zeit- und Kostenaufwands für Organisationen oft nur eingeschränkt nachhaltig sind, stellen viele Dienstleister zusätzlich automatisierte Ansätze zur Analyse und Bewertung der allgemeinen Sicherheitslage eines Netzwerkes zur Verfügung. Obwohl die genauen Schwerpunkte und Vorgehensweisen der einzelnen Sicherheitsplattformen variieren, folgen die Grundsätze des Ansatzes zur Ermittlung des Gefahrenkatalogs größtenteils denselben Schritten.

Zunächst erfolgt die systematische Discovery aller für potenzielle Angreifer infrage kommender Einstiegspunkte, wie IP-Adressen oder Domains, sowie der zusätzlich exponierten offenen Ports, mitsamt ihren zugehörigen Diensten und Komponenten. Dazu zählen unter anderem Webanwendungen, Services, Datenbanken, Cloud-Dienste sowie nicht offiziell dokumentierte Systeme.

Das im Rahmen des Crawlings erstellte Inventar gefundener Assets wird im nächsten Schritt auf bestehende Schwachstellen untersucht, die bei automatisierten Scan-Ansätzen mithilfe vordefinierter Tests und Abfragen identifiziert werden. Die ermittelten Sicherheitslücken werden dem Kunden anschließend über eine übersichtliche Benutzeroberfläche bereitgestellt, wobei diese zusätzlich nach ihrer Kritikalität priorisiert und miteinander korreliert werden.

Nachdem der Anbieter auf geeignete Maßnahmen zur Behebung identifizierter Schwachstellen, etwa durch Updates oder Konfigurationsanpassungen, hingewiesen wird oder diese selbst durchgeführt hat, erfolgt eine fortlaufende Überwachung der Angriffsfläche. Dadurch können neu hinzukommende Assets und Bedrohungen frühzeitig erkannt und in die fortlaufende Sicherheitsbewertung integriert werden.

Warum ist Attack Surface Management wichtig?
Digitale Angriffsflächen moderner Unternehmen unterliegen aufgrund stetiger Veränderungen der Netzwerkinfrastruktur einem kontinuierlichen Wandel. Ausgelöst wird dies unter anderem durch neu implementierte Anwendungen, Updates oder Softwareüberholungen. Um dem damit einhergehenden Aufkommen neuer Schwachstellen und Risiken gerecht zu werden, ist eine permanente Erhebung und Überwachung aller Netzwerkkomponenten erforderlich. ASM schafft dabei eine fortlaufende Transparenz über die gesamte digitale Infrastruktur.

Einhergehend mit der plattformübergreifenden Erkennung neuer Gefahren wird die Risikoermittlung des Weiteren durch die Priorisierung der gewonnenen Befunde unterstützt. Durch die Einstufung ihrer Kritikalität anhand etablierter Bewertungssysteme wie CVSS oder EPSS lassen sich die von ihnen ausgehenden Risiken in einen nachvollziehbaren Zusammenhang einordnen, der auch abstrakte Einflussfaktoren wie Ausnutzbarkeit oder potenzielle Auswirkungen auf die IT-Umgebung berücksichtigt.

Die Korrelation gefährdeter Assets mit den zugehörigen Schwachstellen ermöglicht es darüber hinaus, potenziell unsichere Abhängigkeiten innerhalb der Infrastruktur aufzudecken, die andernfalls zu einer schrittweisen Kompromittierung einzelner Infrastrukturbereiche führen könnten.

Durch die frühzeitige Identifikation neu entstehender Sicherheitsrisiken unterstützt ASM Unternehmen zudem bei der Einhaltung regulatorischer Anforderungen wie DSGVO, ISO 27001 oder PCI-DSS. Abweichungen von einzuhaltenden Standards werden dabei nicht nur nachvollziehbar dokumentiert, sondern ebenfalls mit dazugehörigen Handlungsempfehlungen angereichert, die von Sicherheitsverantwortlichen umgesetzt werden können.