Was ist External Attack Surface Management (eASM)?

EASM steht für "External Attack Surface Management" und bezeichnet allgemein eine Software, die in der Lage ist die externe Angriffsoberfläche eines Unternehmens zu überwachen und zu verwalten. Fokus eines eASM ist immer alles, was von außen erreichbar ist und somit potentiell von jedem angreifbar ist. Hierzu zählen Websites, Services und API aber auch Drittanbieter und Partner. Die Überwachung ganzer ASN und/oder CIDR ist mit einem eASM ebenso möglich wie die Überwachung von Cloud-Infrastrukturen.

Warum ist EASM wichtig?

Die digitale Welt ist komplex. Ein gewachsenes Unternehmen bietet oft eine Vielzahl von Diensten - verteilt auf IP-Addressen, Websites oder API sowie Drittanbieter. Mit der Zeit verliert das Unternehmen den Überblick über alle externen Assets - und was nicht bekannt ist, kann nur schwer geschützt werden. eASM überwachen den gesamten Perimeter des Unternehmens, suchen nach Shadow IT in bekannten Cloud-Anbietern und helfen so, die Angriffsoberfläche zu reduzieren (wenn sich darum gekümmert wird).

Wie funktioniert ein EASM?

Angriffsoberfläche analysieren

Ein eASM braucht in der Regel irgendeine Art von Startpunkt. Das ist oft die Domain des Unternehmens oder das ASN. Von dort aus beginnt es alle IPs zu analyisieren, zu scannen und Daten zu sammeln. Gleiches gilt für Subdomains (siehe Subdomain Enumeration). Es werden Meta-Daten zusammengesucht, die es dem Tool erlauben die Angriffsoberfläche zu erweitern. Ein klassisches Beispiel ist das Finden einer weiteren Domain in den Zertifkaten, die zum Unternehmensnamen passt. Dieser Prozess ist in Summe wahnsinnig komplex und kann - wie im Fall von Argos eASM - hunderte externe Datenquellen umfassen und zusätzlich mit proprietären Algorithmen arbeiten, die über weitere Scans und Fuzzing die Angriffsoberfläche weiter vergrößern.

Zur Angriffsoberfläche zählen auch Personen (Persons of Interest), Lieferanten/Partner, Aquisitionen und Drittanbieter. Ein eASM sollte in der Lage sein, diese Daten zu sammeln und zu verarbeiten.

In Depth Analysen & Scans

Hat das eASM die Angriffsoberfläche analysiert, beginnen in der Regel Tiefenscans - das können ganz klassisch Portscans sein, aber auch Fuzzing oder spezielle Angriffe auf Webanwendungen. Jede Response wird analysiert und bewertet. Primäres Ziel ist es, Schwachstellen zu finden und zu bewerten. Sekundäres Ziel ist es immer die Angriffsoberfläche immer wieder zu erweitern - so können spezielle Requests an Webanwendungen gestellt werden, um Fehler zu provozieren. In der Fehlerausgabe verstecken sich oft nützliche Informationen - beispielsweise weitere Assets, die dem Unternehmen zugeordnet werden können, aber nicht trivial zu finden sind (hierfür gibt es diverse Gründe). Ganz klassisch findet an der Stelle auch das Vulnerability Scanning statt - es wird versucht nach bekannten Schwachstellen zu suchen.

Welche Art von Scan wann gestartet wird, folgt oft definierten Regeln. Wenn beispielsweise das System die Nameserver und CNAMEs von Webassets abspeichert, startet es in der Regel weitere Prozesse um eben diese Daten zu analysieren und Domain oder Subdomain Takeovers oder ähnliches zu finden.

Priorisierung & Reporting

Ein eASM sollte in der Lage sein, die gefundenen Schwachstellen zu priorisieren. Das kann auf Basis von CVSS Scores, aber auch auf Basis von eigenen Algorithmen geschehen. Die Priorisierung erlaubt es dem Unternehmen, die wichtigen Dinge, die schnell gefixt werden müssen, von den weniger wichtigen Dingen zu trennen.

Das Reporting ist ein wichtiger Bestandteil eines eASM. Es sollte in der Lage sein, die gefundenen Schwachstellen in einer für das Unternehmen verständlichen Form zu präsentieren. Das kann ein PDF sein, aber auch ein Dashboard oder eine API, die die Daten an andere Systeme weiterreicht. Auch die Benachrichtigung von Teams oder Personen sollte möglich sein. Slack und E-Mail sind ebenfalls valide Methoden, um die zuständigen Personen rechtzeitig zu informieren.

Was sind Vorteile von EASM?

eASM erlauben es Unternehmen und dem IT-Personal einen guten Einblick in ihre gesamte Infrastruktur zu bekommen. Mit diesem Wissen können IT-Teams in Aktion treten, Schwachstellen beheben, die Angriffsoberfläche minimieren oder gar ganz eliminieren und aus aufgetretenen Fehlern lernen. Zudem arbeiten eASM kontinuierlich - so scannt Argos beispielsweise 2x täglich alle Assets von Kunden ab. Das erlaubt es, auch kurzfristige Änderungen zu erkennen und darauf zu reagieren. Genau das ist oft ein Einfallstor für Angreifer - kleine Probleme, die einfach nicht schnell genug erkannt werden.

Ein verfügbares eASM ist außerdem eine ausgezeichnete Quelle für die Informationsbeschaffung im Rahmen von Penetrationstests oder Red Teaming. Es erlaubt den Teams, sich auf die wirklich wichtigen Dinge zu konzentrieren und nicht Zeit mit dem Sammeln von Informationen zu verschwenden. Da Anomalieerkennung oft auch Teil moderner eASM ist, können auch ungewöhnliche Verhaltensmuster schnell erkannt und analysiert werden - hier kommt oft der Mensch zum Einsatz, der aus einem Hinweis final eine Sicherheitslücke macht.

Was findet ein eASM?

Die Antwort hängt vom überwachten Asset ab - dieses kann eine Person, eine Website, eine IP oder eine Android-App sein. Ausgehend vom häufigsten Fall - der Website/Domain - sind folgende allgemeine Schwachstellen typisch:

  1. Ungepatchte Systeme:
    Das Monitoring findet ein System, bei dem keine Patches eingespielt wurden - oft findet das in Zusammenhang mit Shadow IT oder anderen Fehlkonfigurationen statt.
  2. Sicherheitslücken:
    Ein Schwachstellenscan findet einen verwundbaren Parameter, der es erlaubt Schadcode einzuschleusen.
  3. Fehlkonfigurationen:
    Dieser einfache Begriff ist extrem komplex. "Dir Listing" ist ein Klassiker. Jeder kann Inhalte von Verzeichnissen sehen. Isoliert betrachtet ist das erstmal nicht schlimm, suboptimal wird es, wenn in diesem Verzeichnis PII liegen. Auch falsche DNS-Konfigurationen, die das Übernehmen von Subdomains erlauben, sind ein Beispiel.
  4. Einfache Zugangsdaten:
    Credential Stuffing-Angriffe von eASM finden Zugangsdaten, mit denen man sich einloggen kann. Auch das ist eine Funktion von eASM - sie nutzen die Daten, die sie sammeln. In diesem Beispiel im Kontext von Credentials Stuffing oder Brute Force Angriffen.
  5. Ungesicherte API:
    eASM erfassen oft API (zumindest tut das Argos) und nutzen anschließend die Definitionsdateien, um gezielt alle Endpunkte und Parameter der API zu überprüfen. Hier sehen wir immer wieder Routes, die ohne Authentifizierung erreichbar sind oder die es erlauben, Daten zu manipulieren oder einzusehen.

Relevantes zu eASM

Mehr Informationsmaterial

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema eASM? Schreib uns!

Damian Strobel
DSecured bietet mit Argos ein eASM, das weit über den normalen Nutzen bekannter eASM. Fragen Sie nach einer Demo!

Dienstleistungen

Penetrationstests

Fokussierte Suche nach Sicherheitslücken in Ihren Softwareprodukten und Servern.

Red Teaming

Simulation echter Angriffe auf Ihr Unternehmen inklusive Personen, Infrastruktur und Prozesse.

Phishing

Phishing-Übungen erhöhen die Awareness Ihrer Mitarbeiter vor realen Angriffen via E-Mails.

Alle Dienstleistungen im Überblick