Als jemand, der schon lange in der IT-Security unterwegs ist und regelmäßig sowohl Infrastrukturen angreift als auch angegriffenen Firmen zur Seite steht, begegnet mir eines immer wieder. Die Unterschätzung der eigenen Angriffsoberfläche. Nicht selten haben Firmen keinen kompletten Überblick darüber, was sie alles für exponierte Systeme habe und wie sie für Angreifer aussehen. Genau hier kommt ASM ins Spiel.
ASM zwingt uns dazu, unsere Systeme aus der Perspektive eines Angreifers zu betrachten.
Wenn Sie sich selbst durch die Augen eines Angreifers sehen, erkennen Sie ganz andere Fragestellungen:
Oft wissen Firmen um ihr eigenes Umwissen aber diese Perspektive ist unbequem. Unbequem aber notwendig. Denn ein Angreifer sucht nicht nach dem elegantesten Weg, sondern nach dem, der funktioniert.
ASM ist daher nicht nur „nice to have“.
Was ist Attack Surface Management (ASM)?
ASM ist ein kontinuierlicher Prozess, bei dem sämtliche IT-Assets eines Unternehmens, (seien sie bekannt oder verborgen) systematisch entdeckt, überwacht und bewertet werden. Ziel ist es, alle potenziellen Eintritts- oder Angriffspunkte sichtbar zu machen.
Dabei werden nicht nur bekannte und dokumentierte Systeme betrachtet. Schließlich können auch vergessenes oder verkauftes Equipment, Cloud-Instanzen, APIs, alte Domains, Shadow-IT oder sogar falsch konfigurierte SaaS-Dienste Schaden anrichten. Alles, was aus dem öffentlichen oder halb-öffentlichen Netz erreichbar ist oder irgendwie mit dem Unternehmensnetz verbunden ist, kann Teil der Angriffsfläche sein.
ASM unterscheidet sich bewusst von klassischem Schwachstellenmanagement, welches sich oft auf bekannte Assets fokussiert und CVEs abarbeitet. ASM setzt früher an. Es zielt darauf ab, erst einmal alle Assets sichtbar zu machen, damit überhaupt bekannt ist, was geschützt werden muss.
Das Feld ASM ist inzwischen breit und professionell aufgestellt. Es existieren spezialisierte Plattformen, die automatisiert Assets entdecken, kontinuierlich überwachen und Risiken priorisieren, basierend auf dem, was ein Angreifer tun könnte.
Einige der bekannteren Lösungen bzw. Anbieter sind:
Wichtig bei der Auswahl: Eine gute ASM-Lösung sollte vollständige Asset-Discovery, kontinuierliche Überwachung, Risiko-Priorisierung und möglichst Automatisierung bieten.
Die Zeiten ändern sich schnell. Cloud-Infrastrukturen, SaaS-Dienste, Hybrid-Work, Third-Party-Integrationen. All das sorgt dafür, dass die digitale Angriffsfläche einer Organisation ständig wächst und sich wandelt. Was gestern noch sicher erschien, kann heute vergessen oder falsch konfiguriert sein.
Gerade Unternehmen mit wechselnden Infrastrukturen, Cloud-Umgebungen oder externen Services profitieren massiv, weil ASM hilft, „Blindspots“ zu beseitigen und ein reales Bild der gesamten Angriffsfläche zu bekommen.
1) Den eigenen digitalen Footprint ernst nehmen. Starte mit einer ASM-Lösung, die automatisierte Asset-Discovery bietet. Selbst dann, wenn Sie denken, Sie haben den Überblick. Wir finden erstaunlich häufig Assets, die niemand auf dem Radar hatte.
2) Kontinuierliches Monitoring etablieren. ASM sollte fortlaufend laufen, damit neue Assets oder Änderungen sofort erkannt werden.
3) Risiken priorisieren. Nicht jedes Problem ist gleich kritisch. Ziel ist, realistische Eintrittspunkte zu erkennen und jene mit dem größten Risiko zuerst zu adressieren.
4) ASM, Vulnerability Management und Penetration Testing verzahnen. ASM identifiziert was existiert. Klassische Pentests und Schwachstellenanalysen sagen dir, wo und wie Sie angegriffen werden können. Gemeinsam bieten sie eine robuste Verteidigungsstrategie.