Die Beschaffenheit einer externen Angriffsfläche

Fünf Elemente, die eine Organisation überwachen sollte

Die Welt der Cybersicherheit wird immer komplexer, da Organisationen auf die Cloud umsteigen und dezentralisiert arbeiten. Heute erstreckt sich die externe Angriffsfläche über mehrere Clouds, komplexe digitale Lieferketten und äußerst umfangreiche Ökosysteme Dritter. Infolgedessen hat das schiere Ausmaß der globalen Sicherheitsprobleme, die heute alltäglich sind, unser Verständnis von umfassender Sicherheit radikal verändert.

Das Internet ist Teil des Netzwerks geworden. Trotz seiner schier unvorstellbaren Größe müssen Sicherheitsteams die Präsenz ihres Unternehmens im Internet genauso schützen wie alles hinter ihren Firewalls. Immer mehr Organisationen setzen auf Zero-Trust-Prinzipien, und das bedeutet, dass der Schutz sowohl interner als auch externer Angriffsflächen zu einer Herausforderung in der Größenordnung des Internets wird. Für Unternehmen wird es daher immer wichtiger, das volle Ausmaß ihrer Angriffsfläche zu kennen.

Im Jahr 2021 hat Microsoft Risk IQ übernommen, um Unternehmen bei der Bewertung der Sicherheit ihres gesamten digitalen Ökosystems zu unterstützen. Mithilfe des RiskIQ Internet Intelligence Graph können Unternehmen Bedrohungen ermitteln und untersuchen, denen die Komponenten, Verbindungen, Dienste, IP-verbundenen Geräte und die Infrastruktur, die ihre Angriffsfläche bilden, ausgesetzt sind, um eine resiliente, skalierbare Verteidigungsstrategie zu entwickeln.

Für Sicherheitsteams kann die schiere Tiefe und Breite dessen, was sie zu verteidigen haben, zunächst überfordernd wirken. Eine Möglichkeit, die Größe der Angriffsfläche des eigenen Unternehmens richtig einzuschätzen, besteht jedoch darin, das Internet aus der Sicht eines Angreifers zu betrachten. In diesem Artikel werden fünf Bereiche beleuchtet, um ein besseres Verständnis der Herausforderungen für eine effektive Verwaltung externer Angriffsflächen zu ermöglichen.

Mit dem Internet wächst auch die globale Angriffsfläche

Und sie wächst mit jedem Tag. Im Jahr 2020 erreichte die Datenmenge im Internet 40 Zettabyte oder 40 Billionen Gigabyte.¹ RiskIQ zufolge kommen jede Minute 117.298 Hosts und 613 Domains² zu den vielen miteinander verwobenen Fäden hinzu, die das komplexe Gewebe der globalen Angriffsfläche bilden. Jedes dieser Elemente umfasst eine Reihe von Komponenten wie die zugrunde liegenden Betriebssysteme, Frameworks, Anwendungen von Drittanbietern, Plug-Ins und Tracking-Code. Mit jedem dieser sich schnell vermehrenden Elemente, die diese Grundbestandteile umfassen, wächst die globale Angriffsfläche exponentiell.

neue Hosts pro Minute
neue Domains pro Minute
375 neue Bedrohungen pro Minute²

Sowohl legitime Organisationen als auch Bedrohungsakteure tragen zu diesem Wachstum bei, und das bedeutet, dass Cyberbedrohungen in gleichem Maße zunehmen wie der Rest des Internets. Komplexe anhaltende Bedrohungen (Advanced Persistent Threats, APT) und kleinere Cyberkriminelle bedrohen gleichermaßen die Sicherheit von Unternehmen und zielen auf deren Daten, Marken, geistiges Eigentum, Systeme und Mitarbeitende ab.

Im ersten Quartal 2021 ermittelte CISCO 611.877 eindeutige Phishing-Sites³ sowie 32 Domainverletzungen und insgesamt 375 neue Bedrohungen pro Minute.² Diese Bedrohungen haben das Ziel, Mitarbeitende und Kunden von Unternehmen mit betrügerischen Inhalten zu täuschen, um sie dazu zu verleiten, auf betrügerische Links zu klicken und sensible Daten preiszugeben, wodurch das Markenvertrauen und das Vertrauen der Verbraucher untergraben werden können.

Zunahme von Schwachstellen durch Remotemitarbeiter

Die rasante Zunahme von mit dem Internet verbundenen Ressourcen hat zu einer dramatischen Zunahme der Bedrohungen und Sicherheitsrisiken geführt, denen ein durchschnittliches Unternehmen ausgesetzt ist. Mit dem Aufkommen von COVID-19 hat sich die Digitalisierung weiter beschleunigt, und nahezu jedes Unternehmen hat seinen digitalen Bestand erweitert, um hochflexible Arbeitskräfte und auf Telearbeit basierende Arbeits- und Geschäftsmodelle zu ermöglichen. Infolgedessen haben Angreifer jetzt viel mehr Zugangspunkte, die sie ausspionieren oder ausnutzen können.

Die Nutzung von Fernzugriffstechnologien wie RDP (Remote Desktop Protocol) und VPN (virtuelles privates Netzwerk) ist sprunghaft um 41 % bzw. 33 %⁴ angestiegen, da die meisten Unternehmen weltweit ein Homeoffice-Modell eingeführt haben. Der weltweite Markt für Remotedesktop-Software betrug 2019 1,53 Milliarden US-Dollar und soll bis 2027 auf 4,69 Milliarden US-Dollar anwachsen.⁵

Dutzende neuer Schwachstellen in Fernzugriffssoftware und -geräten haben Angreifern bisher ungeahnte Möglichkeiten eröffnet. RiskIQ hat viele anfällige Instanzen der gängigsten Fernzugriffs- und Perimeter-Geräte identifiziert, und die rasante Entwicklung neuer Sicherheitslücken hält unvermindert an. Im Jahr 2021 wurden insgesamt 18.378 Sicherheitslücken gemeldet.⁶

Zunahme bei der Nutzung von RDP
Zunahme bei der Nutzung von VPN
im Jahr 2021 gemeldete Sicherheitslücken

Angesichts der Zunahme globaler Angriffe, die von verschiedenen Bedrohungsgruppen koordiniert werden und auf digitale Unternehmen ausgerichtet sind, müssen Sicherheitsteams Schwachstellen im Hinblick auf sich selbst, Dritte, Partner, kontrollierte und unkontrollierte Anwendungen und Dienste innerhalb und zwischen Beziehungen in der digitalen Lieferkette entschärfen.

Digitale Lieferketten, Fusionen und Übernahmen (F&Ü) und Schatten-IT schaffen verborgene Angriffsfläche

Die meisten Cyberangriffe beginnen Hunderte von Kilometern vom Netzwerk entfernt, und Webanwendungen sind der am häufigsten genutzte Vektor für Hackerangriffe. Leider haben die meisten Unternehmen keinen vollständigen Überblick über ihre Internetressourcen und darüber, wie diese Ressourcen mit der globalen Angriffsfläche zusammenhängen. Drei Hauptursachen für diesen Mangel an Transparenz sind Schatten-IT, Fusionen und Übernahmen (F&Ü) und digitale Lieferketten.

abgelaufene Dienste pro Minute²
der Transaktionen umfassen Due-Diligence-Prüfungen zur Cybersicherheit⁷
der Unternehmen hatten mindestens eine durch Dritte verursachte Datenpanne zu verzeichnen⁸

Schatten-IT

Wenn die IT-Abteilung nicht in der Lage ist, mit den Geschäftsanforderungen Schritt zu halten, sucht das Unternehmen anderweitig nach Unterstützung bei der Entwicklung und Bereitstellung neuer Webressourcen. Das Sicherheitsteam weiß oft nichts von diesen Schatten-IT-Aktivitäten und kann daher die erstellten Ressourcen nicht in sein Sicherheitsprogramm einbeziehen. Nicht verwaltete bzw. verwaiste Ressourcen können mit der Zeit zu einer Schwachstelle in der Angriffsfläche eines Unternehmens werden.

Diese schnelle Verbreitung von digitalen Ressourcen außerhalb der Firewall ist heute die Regel. Neue RiskIQ-Kunden finden in der Regel etwa 30 % mehr Ressourcen als erwartet, und RiskIQ findet pro Minute 15 abgelaufene Dienste (anfällig für die Übernahme von Subdomains) und 143 offene Ports.²

Fusionen und Übernahmen

Alltägliche Abläufe und kritische Geschäftsvorgänge wie Fusionen und Übernahmen, strategische Partnerschaften und Outsourcing schaffen und erweitern externe Angriffsflächen. Heutzutage wird bei weniger als 10 % der weltweiten Transaktionen eine Due-Diligence-Prüfung in Bezug auf die Cybersicherheit durchgeführt.

Es gibt mehrere häufige Gründe, warum Unternehmen während des Due-Diligence-Prozesses keinen vollständigen Überblick über potenzielle Cyberrisiken erhalten. Der erste Grund liegt im schieren Umfang der digitalen Präsenz des zu erwerbenden Unternehmens. Es ist nicht ungewöhnlich, dass eine große Organisation über Tausende oder sogar Zehntausende von aktiven Websites und anderen öffentlich zugänglichen Ressourcen verfügt. Die IT- und Sicherheitsteams des zu erwerbenden Unternehmens verfügen zwar über ein Verzeichnis der Websites, doch handelt es sich dabei fast immer nur um einen Ausschnitt des Gesamtbestands. Je dezentraler die IT-Aktivitäten eines Unternehmens sind, desto größer ist die Lücke.

Lieferketten

Unternehmen sind zunehmend auf die digitalen Allianzen angewiesen, die die moderne Lieferkette ausmachen. Diese Abhängigkeiten sind zwar für die Geschäftsabläufe im 21. Jahrhundert unerlässlich, sie schaffen jedoch auch ein unübersichtliches, vielschichtiges und äußerst komplexes Netz von Beziehungen zu Dritten, von denen viele außerhalb des Wirkungsbereichs der Sicherheits- und Risikoteams liegen, die sie proaktiv schützen und verteidigen können. Aus diesem Grund stellt die rasche Identifizierung gefährdeter digitaler Ressourcen, die ein Risiko darstellen, eine große Herausforderung dar.

Mangelndes Verständnis und mangelnde Sichtbarkeit dieser Abhängigkeiten haben dazu geführt, dass Angriffe über Dritte zu den häufigsten und effektivsten Vektoren für Bedrohungsakteure geworden sind. Eine beträchtliche Anzahl von Angriffen erfolgt heute über die digitale Lieferkette. Heute geben 70 % der IT-Fachleute an, dass sie mäßig bis stark von externen Entitäten abhängig sind, bei denen es sich um eine dritte, vierte oder fünfte Partei handeln kann.⁹Gleichzeitig waren 53 % der Unternehmen von mindestens einer Datenpanne durch Dritte betroffen.¹⁰

Neben den zunehmenden groß angelegten Angriffen auf die Lieferkette sehen sich Unternehmen tagtäglich mit kleineren Angriffen konfrontiert. E-Commerce-Plug-Ins von Drittanbietern können z. B. von Schadsoftware zum Skimming digitaler Kreditkarten wie Magecart befallen werden. Im Februar 2022 identifizierte RiskIQ mehr als 300 Domains, die von der Schadsoftware Magecart zum Skimming digitaler Kreditkarten betroffen waren.¹¹

Von Jahr zu Jahr investieren Unternehmen mehr in Mobilgeräte, und der Lebensstil des Durchschnittsverbrauchers ist zunehmend auf mobile Kommunikation ausgerichtet. Die Amerikaner verbringen heute mehr Zeit mit Mobilgeräten als vor dem Fernseher und dem traditionellen Fernsehprogramm, und Abstandsregeln haben dazu geführt, dass sie einen noch größeren Teil ihrer physischen Bedürfnisse, wie Einkaufen und Weiterbildung, auf Mobilgeräte verlagern. Laut App Annie waren die Ausgaben im Bereich Mobile im Jahr 2021 auf unglaubliche 170 Milliarden US-Dollar gestiegen, was einer Zunahme von 19 % gegenüber dem Vorjahr entspricht.¹²

Diese Nachfrage nach Mobilgeräten bewirkt eine massive Verbreitung mobiler Anwendungen. Im Jahr 2020 haben Nutzer 218 Milliarden Apps heruntergeladen. Gleichzeitig verzeichnete RiskIQ im Jahr 2020 ein Gesamtwachstum der verfügbaren mobilen Apps von 33 %, mit 23 neuen Apps pro Minute.²

Zunahme mobiler Apps
neue mobile Apps pro Minute
blockierte App alle fünf Minuten²

Aus der Perspektive der Unternehmen verbessern diese Anwendungen die Geschäftsergebnisse. Sie können jedoch auch ein zweischneidiges Schwert sein. Die App-Landschaft macht einen beträchtlichen Teil der Gesamtangriffsfläche eines Unternehmens aus und befindet sich jenseits der Firewall, wo für Sicherheitsteams oft ein gravierender Mangel an Transparenz herrscht. Bedrohungsakteure haben sich diesen Mangel zunutze gemacht, um sogenannte Rogue-Apps zu entwickeln, die wie Apps bekannter Marken aussehen oder auf andere Weise vorgeben, etwas zu sein, was sie nicht sind, und die gezielt entwickelt wurden, um Kunden zum Herunterladen zu verleiten. Sobald ein ahnungsloser Benutzer diese betrügerischen Apps herunterlädt, können Bedrohungsakteure versuchen, vertrauliche Informationen abzugreifen oder Schadsoftware auf die Geräte laden. RiskIQ blockiert alle fünf Minuten eine schädliche mobile App.

Diese betrügerischen Apps tauchen nur selten in offiziellen Stores auf und umgehen sogar die starken Abwehrmaßnahmen der großen App-Stores. Hunderte von weniger seriösen App-Stores bilden jedoch eine dunkle Mobile-Unterwelt jenseits der relativ sicheren renommierten Stores. Die Apps in diesen Stores sind weit weniger reguliert als in den offiziellen App-Stores, und in einigen Stores ist die Zahl der schädlichen Apps höher als die der sicheren.

Die globale Angriffsfläche ist auch Teil der Angriffsfläche einer Organisation

Die heutige globale Angriffsfläche im Internet hat sich auf drastische Weise in ein dynamisches, allumfassendes und vollständig vernetztes Ökosystem verwandelt, an dem wir alle beteiligt sind. Wenn Sie eine Internetpräsenz haben, sind Sie mit allen anderen vernetzt, auch mit denen, die Ihnen Schaden zufügen wollen. Aus diesem Grund ist die Überwachung der Bedrohungsinfrastruktur genauso wichtig wie die Überwachung Ihrer eigenen Infrastruktur.

neue Schadprogramme werden täglich erkannt²
Zunahme der Schadsoftwarevarianten¹³
Cobalt Strike-Server alle 49 Minuten²

Verschiedene Bedrohungsgruppen recyceln und nutzen Infrastrukturen (IPs, Domains und Zertifikate) u. U. gemeinsam und verwenden Open-Source-Standardwerkzeuge wie Schadsoftware, Phishing-Kits und C2-Komponenten, die sie an ihre Bedürfnisse angepasst und verbessert haben, um eine einfache Zuordnung zu verhindern.

Täglich werden mehr als 560.000 neue Schadprogramme entdeckt, und die Anzahl der auf illegalen Cybercrime-Marktplätzen angebotenen Phishing-Kits hat sich zwischen 2018 und 2019 verdoppelt. Im Jahr 2020 stieg die Zahl der entdeckten Schadsoftwarevarianten um 74 %.¹⁴ RiskIQ identifiziert inzwischen alle 49 Minuten einen Cobalt Strike C2-Server.

Traditionell beruht die Sicherheitsstrategie der meisten Unternehmen auf einem tiefgreifenden Abwehransatz, der vom Perimeter ausgehend alle zu schützenden Ressourcen schichtweise abdeckt. Zwischen dieser Art von Strategie und der Angriffsfläche bestehen jedoch Lücken, wie in diesem Bericht aufgezeigt wurde. In der heutigen Welt der digitalen Interaktion befinden sich die Benutzer außerhalb des Perimeters, ebenso wie eine zunehmende Anzahl exponierter digitaler Unternehmensressourcen und viele der böswilligen Akteure. Die Anwendung von Zero Trust-Prinzipien auf Unternehmensressourcen kann die Belegschaft in diesem modernen Umfeld schützen: Personen, Geräte, Anwendungen und Daten – unabhängig vom Standort oder dem Umfang der Bedrohungen. Microsoft Security bietet eine Reihe zielgerichteter Evaluierungswerkzeuge, mit denen Sie den Zero-Trust-Reifegrad Ihrer Organisation bewerten können.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Angriffsfläche Cyberresilienz Sicherheitsrisiken

Die Beschaffenheit einer externen Angriffsfläche

Fünf Elemente, die eine Organisation überwachen sollte

Mit dem Internet wächst auch die globale Angriffsfläche

Die globale Angriffsfläche nimmt mit jeder Minute zu

Zunahme von Schwachstellen durch Remotemitarbeiter

Eine neue Gefährdungslandschaft

Digitale Lieferketten, Fusionen und Übernahmen (F&Ü) und Schatten-IT schaffen verborgene Angriffsfläche

Risikoreiche Abhängigkeiten

Schatten-IT

Fusionen und Übernahmen

Lieferketten

App-Stores sind eine wachsende Angriffsfläche

Die globale Angriffsfläche ist auch Teil der Angriffsfläche einer Organisation

Die globale Angriffsfläche ist Teil der Angriffsfläche einer Organisation

Verwandte Artikel

Cyberthreat Minute

Bei einem Cyberangriff zählt jede Sekunde. Um Ausmaß und Umfang der weltweiten Cyberverbrechen zu veranschaulichen, haben wir die Erkenntnisse der Forschung zur Cybersicherheit in einem 60-Sekunden-Fenster zusammengefasst.

Ransomware-as-a-Service

Das neueste Geschäftsmodell in der Welt der Cyberverbrechen – von Menschen durchgeführte Angriffe – spricht Kriminelle mit unterschiedlichen Fähigkeiten an.

Das wachsende IoT und das Risiko für die OT

Die zunehmende Nutzung des Internets der Dinge (Internet of Things, IoT) stellt ein Risiko für die OT dar, da es mehrere potenzielle Sicherheitsrisiken aufweist und Bedrohungsakteuren Angriffsflächen bietet. Erfahren Sie, wie Sie Ihre Organisation schützen können.