Bild generiert durch OpenAI's DALL·E
In einer Welt, die zunehmend von Technologie und Digitalisierung geprägt ist, haben Angreifer eine Spielwiese: die Angriffsoberfläche von Unternehmen. Für einen Hacker ist diese wie ein Labyrinth voller potenzieller Eintrittspunkte, Schwachstellen und wertvoller Daten. In diesem Artikel tauchen wir in die Gedankenwelt eines Hackers ein, erkunden, warum die Angriffsoberfläche eines Unternehmens so faszinierend ist, wie sie aus der Ferne ausgespäht werden kann und welche Herausforderungen sich in der aktuellen Sicherheitslage ergeben.
Warum ist die Angriffsoberfläche eines Unternehmens so faszinierend?
Die Angriffsoberfläche eines Unternehmens ist wie eine Landkarte, die Angeifern aufzeigt, wo potenzielle Schwachstellen und Eintrittspunkte in die Systeme eines Unternehmens liegen. Diese digitale Landkarte umfasst verschiedene Bereiche, darunter Webseiten und Webanwendungen, E-Mail-Server, Remote-Zugriffssysteme, Cloud-Dienste und andere externe Schnittstellen.
Angreifer können aus der Ferne eine Übersicht erstellen, mit Punkten und Zielen die potenizell interessant sein könnten.
Um hier nur einmal einige zu nennen, die folgenden Punkte gehören dazu:
DNS-Einträge
IP-Adressen
WHOIS- oder DNS-Registrierungsinformationen
Geostandorte der Assets
Für die Assets zuständige Hosting-Provider
offene Ports
verwendeten SSL/TSL-Zertifikate samt Details
E-Mail-Systeme
DNS-Systeme
Anwendungen wie Websites, E-Mails, VPN-Einwahl, Zeiterfassung
Softwareversionen, die in den ermittelten Assets und Anwendungen verwendet werden
Login-Seiten
Häufig finden sich hier auch Assets eines Unternehmens, welche der IT-Abteilung oder den Securityverantwortlichen unbekannt sind - gerade durch Cloudstrukturen kommt es immer wieder vor, das Assets in der Cloud bereitgestellt werden und Zugriff auf das interne Netzwerk haben, aber nicht entsprechend abgesichert wurden.
Für einen Hacker ist die Angriffsoberfläche eines Unternehmens äußerst faszinierend. Es ist wie ein Labyrinth voller Möglichkeiten und potenzieller Ziele. Jeder Bereich bietet neue Herausforderungen und potenzielle Beute. Webseiten und Webanwendungen können Schwachstellen aufweisen, die es einem geschickten Hacker ermöglichen, sensible Daten zu stehlen.
Wie kann die Angriffsoberfläche aus der Ferne ausspäht werden?
Das Ausspähen der Angriffsoberfläche aus der Ferne erfordert oft nichts weiter als einen Computer und eine Internetverbindung. Durch einfache Google Suchen und Abfragen der richtigen Datenbanken können Angreifer schon eine Menge an wichtigen Informationen über ein Unternehmen erfahren - dies alles mit frei zugänglichen Daten und Informationen. Mit diesen Informationen und durch Techniken wie Social Engineering, Phishing, und Exploit Kits können Hacker versuchen, Zugang zu sensiblen Informationen zu erhalten oder Schwachstellen in der Sicherheitsarchitektur eines Unternehmens auszunutzen. Die meisten Informationen sind teilweie auch in "bekannten" Suchmaschinen wie Shodan ersichtlich und die viele Informationen können auch mit den "richtigen" Suchabfragen in Google gewonnen werden - somit muss der Angreifer kein hochausgebildeter Hacker sein.
Es existieren auch dedizierte Tools und Methoden um OSINT zu betrieben. Hier bei geht es nicht direkt darum das das Auffinden eines Assets generell schlecht ist - allerdings kann der Angreifer somit, aus der Ferne, die Ziele genauer definieren und Schwachstellen und Konfigurationsprobleme erkennen und "den Finger in die Wunde legen". Hierbei ist kein initialer Zugriff auf das interne Netzwerk notwendig.
Die aktuelle Sicherheitslage
In einer Welt, die von der Digitalisierung vorangetrieben wird, stehen Unternehmen und Organisationen vor immer größeren und komplexeren Herausforderungen im Bereich der Informationssicherheit. Die Verantwortlichen für die Sicherheit des Unternehmens sehen sich einem ständig wachsenden Gefährdungspotenzial durch Cyberangriffe gegenüber. Mit der zunehmenden Vernetzung von Unternehmensbereichen, Fertigungsanlagen und Geschäftsmodellen steigt die Angriffsfläche für potenzielle Angreifer rapide an.
Neben der offiziellen IT-Infrastruktur entstehen oft Schatten-IT-Instanzen in Unternehmen, die außerhalb der Kontrolle der IT-Abteilung liegen. Silodenken in den Abteilungen führt zu parallelen Lösungslandschaften, die niemand mehr richtig überblickt. Diese Komplexität wurde durch die Pandemie und die damit verbundene Home-Office-Welle noch weiter verstärkt. Externe Ressourcen und Zugriffspunkte haben rasant zugenommen, ebenso wollen viele OT-Dienstleister einen eigenen Remotezugriff auf die Produktionsanlagen - was einen weiteren, nicht gemanagten Zugriff auf das Netzwerk darstellt. In den meisten Analysen durch mich, fanden sich auch teilweise Systeme und Instanzen, welche eigentlich abgeschaltet sein sollten - aber nicht waren.
Bei der Auswertung von Daten aus Shodan suchen, finden wir 32.534.118 offene Ports, 4.854 Industry Steuerungen und 2.606 offene Datenbanken allein in Deutschland.
Als Reaktion auf die Entwicklung der Wirtschaft - besonders während Corona - haben Unternehmen massiv in cloudbasierte Lösungen investiert. Diese ermöglichten einen bedarfsgerechten Zugriff über das Internet auf Server, Speicher, Anwendungen. Doch leider hat der technologische Fortschritt auch Nachteile - teilweise haben diese Dienste nicht den selben Schutzgrad wie "selbstbereitgestellte" Dienste oder die veränderte Angriffsoberfläche dieser Assets ist unbekannt. Allerdings wirken auch die selben, bekannten Angriffsoberflächen auf diese Assets.
Findet ein Schwachstellenscanner das nicht auch?
Im Unternehmensumfeld wird oft das klassische Schwachstellenmanagement, oder auch Vulnerability Management, praktiziert, welches sich auf bekannte IT-Assets und deren Sicherheitslücken konzentriert. Dieses Management folgt etablierten Standards wie ISO 17799 und ISO 27001, um neu entdeckte Schwachstellen zu bewerten, zu priorisieren und zu beheben. Hierbei werden oft Bewertungssysteme wie das Common Vulnerability Scoring System (CVSS) herangezogen, um die Kritikalität der Sicherheitslücken festzulegen. Das primäre Ziel ist es, hochkritische Sicherheitslücken zu schließen, wobei mittlere Bedrohungen oft unbeachtet bleiben können, trotz ihres Potenzials, von Hackern ausgenutzt zu werden.
Im Gegensatz dazu steht das Angriffsflächenmanagement, oder Attack Surface Management, welches einen umfassenderen und proaktiveren Ansatz verfolgt. Es analysiert und überwacht sämtliche mit dem Netzwerk verbundenen Assets eines Unternehmens, einschließlich der unbekannten. Dieser Ansatz beinhaltet die Simulation von normalem Internetverkehr und die Nutzung von DNS-Informationen, um Schwachstellen nicht nur im eigenen Netzwerk, sondern auch bei vernetzten Drittanbietern, der Supply Chain und Tochterunternehmen zu identifizieren.
Die Differenz zwischen diesen beiden Ansätzen ist bedeutend: Während das Vulnerability Management sich auf das Patchen bekannter Schwachstellen, auf bekannten Hosts beschränkt, zielt das Attack Surface Management darauf ab, das gesamte Spektrum möglicher Angriffspunkte zu erkennen und zu sichern, um das Risiko eines erfolgreichen Cyberangriffs zu minimieren.
Im Kontext des Attack Surface ist es wichtig zu verstehen, dass nicht alle identifizierten Aspekte zwangsläufig kritische Sicherheitslücken darstellen müssen. Oft umfasst das dies auch das Identifizieren von Bereichen, die zwar keine unmittelbaren Schwachstellen aufweisen, aber dennoch für einen Angreifer attraktiv erscheinen könnten. Solche Bereiche könnten sich als "den Finger in die Wunde legen" darstellen – das bedeutet, sie könnten Angreifern Anhaltspunkte oder Eintrittspunkte bieten, die zwar nicht direkt zu einem kritischen Sicherheitsvorfall führen, jedoch die Chance bieten, weitere Schwachstellen und mögliche Angriffspunkte zu finden.
Fazit
In einer Welt, die immer stärker vernetzt und digitalisiert ist, zeigt sich immer deutlicher, dass das Unbekannte oft das größte Risiko birgt. Die Unterschiede zwischen Schwachstellenmanagement und Angriffsflächenmanagement sind signifikat, wobei letzteres vor allem die unbekannten Bereiche eines Netzwerks erforscht. Das wahre Dilemma liegt nicht nur in den Schwächen, die wir kennen und beheben können, sondern vielmehr in jenen, die unbemerkt bleiben.
Ein umfassendes Angriffsflächenmanagement, das auch unbekannte Aspekte betrachtet, ist entscheidend, denn "was wir nicht kennen, können wir nicht schützen". Unternehmen müssen sich daher nicht nur auf die Absicherung bekannter Schwachstellen konzentrieren, sondern auch auf die Erkennung und Analyse der unbekannten Komponenten ihrer digitalen Infrastruktur. Besonders bemerkenswert ist, dass diese "Untersuchungen" der Angreifer ohne direktes Zutun und aus der Ferne erfolgen, was Hackern ermöglicht, unbemerkt zu agieren. Die proaktive Identifizierung und Absicherung dieser unbekannten und aus der Ferne zugänglichen Bereiche ist der Schlüssel zur Wahrung der Sicherheit und Integrität in der digitalen Ära.