Potentielle Angriffsflächen erkennen

So kann man Angriffsflächen für Cyber-Angriffe reduzieren

, München, SANS, Safe-T | Autor: Andreas Belkner

So kann man Angriffsflächen für Cyber-Angriffe reduzieren

Was versteht man unter Angriffsflächen?

Laut dem Security Laboratory von SANS lassen sich Angriffsflächen für 3 Hauptbereiche im Unternehmen definieren: das Netzwerk, die Softwareumgebung und der Faktor Mensch.

Netzwerk-Angriffsfläche

Bei der Betrachtung der Angriffsflächen für Netzwerke, liegen dabei besonders die verwendeten Protokolle und Technologien im Fokus: LLTD, IPv4, IPv6, Teredo, TCP, SMB2, MS-RPC, Windows Firewall, ARP, NDP, IGMP, MLD, ICMPv6, und UDP. Terdeo ist beispielsweise ein Protokoll, das den Übergang von IPv4 zu IPv6 unterstützt. Der Teredo-Tunnel kann es Angreifern aber auch erlauben, IPv4-Geräte, die nicht Teredo-fähig sind, zu umgehen, einschließlich Firewalls und Intrusion Prevention-Geräte. Beim Tunneling selbst besteht das Sicherheitsproblem, dass man nur schwer herausfinden kann was dort wirklich passiert. Tunneling ermöglicht das versteckte Arbeiten von Angreifern. Ein großes Problem bei der Prävention von Datenverlusten.

Weitere Beispiele für Angriffsflächen sind offene Ports für nach außen gerichtete Web- und andere Server und die verwendeten Codes und Dienste, die auf der Innenseite einer Firewall verfügbar sind.

Die Identifikation der Angriffsflächen eines Unternehmens ist von entscheidender Bedeutung für die Entwicklung einer auf Bedrohungsvektoren basierenden Verteidigungsstrategie

Software-Angriffsfläche

Laut Wikipedia ist die Angriffsfläche einer Softwareumgebung der Funktionsumfang, der für nicht authentifizierte Benutzer verfügbar ist. Mit anderen Worten, was und wie viel kann eine Software, in der Standardkonfiguration, durch einen nicht autorisierten Benutzer ausführen.

Softwareentwickler für Anwendungen stehen zunehmend unter einer hohen Arbeitsbelastung. Es müssen immer mehr Anwendungen in kürzeren Zeitabständen und mit möglichst geringen Kosten entwickelt werden. Dadurch werden die Anwendungen zwangsweise anfälliger für potentielle Angriffsversuche.

Menschliche Angriffsfläche

Nach wie vor sind Mitarbeiter, beabsichtigt oder nicht wissend, das größte Sicherheitsrisiko im Unternehmen. Spear-Phishing, CEO-Frauds und alle anderen Social Engineering Angriffsvarianten machen es den Mitarbeitern eines Unternehmens, neben den täglichen Belastungen, nicht gerade leicht, auch noch zwischen Gut und Böse unterscheiden zu müssen. Die Notwendigkeit von Schulungen und Seminare, um das Sicherheitsbewusstsein bei den Mitarbeitern zu erhöhen, dürfte längst bekannt sein, allerdings fehlen meist entsprechende Konzepte, Zeit und Programme um dies vernünftig umsetzen zu können. Zudem dürfte dies bei bösartigen Insider-Threats nichts helfen.

Bei den aufgeführten Angriffsflächen wird der menschliche Faktor weiterhin die größte Herausforderung zur Minimierung von Schwachstellen darstellen.

Für die beiden anderen Cyber-Angriffsflächen hat Safe-T Data ein paar Handlungsempfehlungen für den Einstieg zusammengestellt.

Permanente Überwachung der Ports

Zu oft treten Datenverletzungen auf, weil in den Entwicklungsabteilungen die Server mit unkontrollierten Ports an das Internet angeschlossen werden. Falls Sie Ihren Workload in die Cloud verschieben wollen, sollten Sie sicherstellen, dass die vom Workload benötigten Ports überwacht und die nicht genutzten Ports geschlossen werden.

Sicherheit in DevOps einbinden

In manchen Fällen werden sicherheitsrelevante Aspekte erst nach der Erstellung einer Anwendung berücksichtigt. Besser wäre es, die Sicherheitsanforderungen während des gesamten DevOps-Zyklus zu integrieren. Weitere Empfehlungen wären die Reduzierung der Code-Anzahl, das Deaktivieren von nicht genutzten Funktionen, eine Minimierung der Code-Größe und die Begrenzung des Schadens bei der Ausführung eines Codes.

Monitoring und Alarmierung

Schaffen Sie in Ihrem Netzwerk oder in der Cloud, entsprechende Bedingungen für eine Echtzeit-Überwachung. Im Falle eines Cyber-Angriffs können durch die Überwachung und den folgenden Warnungen mögliche Kollateralschäden verhindert werden, nachdem ein Host Probleme hat. Zudem können die auftretenden Anomalien in wesentlich kürzerer Zeit erkannt und gelöst werden.

Minimierung der Komplexität

Im Laufe der Zeit sammeln sich sehr viele Sicherheitsrichtlinien an. Ein gutes Beispiel dafür sind Firewall-Regeln, die vor einem oder mehreren Jahren erstellt und seitdem nicht mehr aktualisiert oder gelöscht wurden. Bereinigen Sie alte Sicherheitsrichtlinien um einerseits die Komplexität innerhalb der Organisation zu minimieren und andererseits keine Einfallstore für Angreifer bereit zu stellen.

Daten verschlüsseln

Verschlüsseln Sie Ihre Daten: Bei der herkömmlichen Verschlüsselung zwischen Rechenzentren ist es möglich, einen verschlüsselten Tunnel zwischen den Firewalls zu verwenden. Bei modernen, mandantenfähigen Cloud-Umgebungen kann dies ein etwas schwieriger, aber nicht unmöglicher Prozess sein.

Über den Tellerrand hinaus blicken

In mandantenfähigen, modernen Cloud-Umgebungen sind traditionelle Elemente der Perimeter-Sicherheit nicht mehr wirksam. In heutigen Umgebungen muss man sich auf die größeren Angriffsflächen konzentrieren, die sich vor allem in der Kommunikation zwischen den Workloads befinden. Moderne Software Defined Perimeter Lösungen von Safe-T können dabei den Cyber-Bedrohungsschutz erheblich verbessern.

Mit diesen Handlungsempfehlungen und den richtigen Tools können die meisten Angriffsflächen bereits zu Beginn effektiv reduziert werden.