Exposure Management

In Punkto Exponiertheit dürfte es bei den meisten nicht ganz so wild zu gehen, wie es anscheinend auf der Werd Insel in Zürich der Fall sein soll. (Anm. d. R.: keine eigenen einschlägigen Erfahrungen vorhanden). Und doch wären wohl einige überrascht, welche Systeme eben doch auf die ein oder andere Art ungewollten Blicken, oder Zugriffen, ausgesetzt sind.

Ich gebe zu, die Titelgebung war beabsichtigter Weise etwas reisserisch. Schliesslich will kein verantwortungsvoller Admin oder Sicherheitsverantwortlicher seine Kronjuwelen absichtlich der Allgemeinheit präsentieren. Anders als das auf der Werd Insel der Fall sein dürfte. Aber wenn Sie bis hierin noch am Lesen sind, hat der Clickbait wohl gewirkt 😉

Den meisten dürfte «Vulnerability Management» ein Begriff sein. Auch auf unserem Blog gibt es dazu schon den ein oder anderen Artikel. Exposure Management ist im Ansatz das Gleiche, geht aber einiges weiter. Im Gegensatz zum reinen «Vulnerability Management» zeigt ein «Exposure Management» nicht nur die offenen Sicherheitslücken auf den verschiedenen Assets auf, sondern unterstützt uns dabei zu verstehen, wie Angreifer die Systeme finden und sich ggf. sogar zwischen ihnen bewegen können. Das Ziel besteht darin, proaktiv exponierte Systeme zu erkennen und frühzeitig handeln zu können. Nachfolgend einige der wichtigsten Kernfunktionen.

Der Name ist Programm. Beim External Attack Surface Management (EASM) werden die Domains und/oder Public IP Ranges von aussen kontinuierlich gescannt. Dadurch kriegt man die gleiche Sicht von aussen, wie sie auch ein potenzieller Angreifer hätte. Um die Assets der jeweiligen Firma zu finden, werden bewährte OSINT-basierte «passive data gathering»-Methoden genutzt: Domain registration, DNS records, SSL transparency logs oder Public Cloud Informationen.

Sobald die Assets entdeckt wurden, werden sie auf Schwachstellen gescannt. Aber nicht nur alte, outdated Software steht im Fokus, sondern z.B. auch ob auf gefundenen Systemen noch default Credentials verwendet werden oder ob es exponierte Services oder Ports gibt. Die Ergebnisse werden dann je nach Hersteller noch mit Threat Intelligence angereichert und dementsprechend über eine Risiko Matrix bewertet. Kriterien dafür sind zum Beispiel, ob eine Sicherheitslücke bereits aktiv in bekannten Attacken ausgenutzt wird, oder wie einfach eine Sicherheitslücke überhaupt ausgenutzt werden kann.

Ein denkbarer Anwendungsfall für ein EASM wäre das Thema Shadow IT: vielleicht gibt es Web Services oder Cloud-Instanzen die ohne Wissen der IT betrieben werden? Kommt leider öfter vor als man vielleicht denkt.

Dank den internen und externen Vulnerability Scans, sieht man welche Systeme verwundbar sind. Die «Attack Path Analysis» geht dann einen Schritt weiter und liefert auch noch eine Antwort darauf, wie denn diese Schwachstellen überhaupt ausgenutzt werden könnten. In Kombination mit den gesammelten Telemetriedaten aus anderen Quellen, z.B. EDR-Sensoren, werden die Verbindungen der internen und externen Assets aufgezeigt. Was für Netzwerkverbindungen gibt es und welche Benutzer nutzen die Systeme? Diese Informationen werden dann in hübschen Diagrammen dargestellt und veranschaulichen somit, welche Wege Angreifer nehmen könnten. Vielleicht ist ein interner, angeblich gut abgeschotteter Server eben über Umwege doch aus dem Internet erreichbar?

Noch besser als Lücken zu finden und zu stopfen, wäre natürlich, wenn diese Lücken gar nicht erst vorhanden wären. Das liegt aber leider durch die Verwendung verschiedenster Softwarekomponenten meistens nicht in unserer Hand. Eine Möglichkeit dem ein Stück weit entgegenzuwirken, ist die Verwendung von Security Benchmarks wie z.B. CIS, NIST oder HIPAA. Denn obschon ein Server vielleicht mit den neusten Patches up-2-date ist, ist er durch offene Ports womöglich doch noch angreifbar. Ein gutes Beispiel wäre hier der Printer Spooler Service auf einem Domain Controller. Der Service ist per Default auf allen Windows Systemen aktiv, wird aber auf den wenigsten wirklich benötigt und ist nach wie vor ein attraktives Ziel. So hat auch der Stuxnet Wurm im Jahr 2010 eine Lücke im Printer Spooler ausgenützt. Etwas aktueller wäre der «PrintNightmare»-Bug aus dem Jahr 2021. Solche und andere Konfigurationen können in Benchmarks definiert werden. Abweichungen davon werden dann in Dashboards übersichtlich dargestellt.

Klar ist, ohne Aufwand seitens Anwender bringt das beste Tool nicht viel. Wie auch bei einem Vulnerability Management fällt also Arbeit an, wenn es darum geht die gefundenen Resultate zu bearbeiten. Einer der Knackpunkte bei «herkömmlichen» Vulnerability Management Lösungen ist die Priorisierung. Wenn ich im Dashboard eine riesige Zahl mit kritischen Sicherheitslücken sehe, macht das wenig Freude. Welche Patches auf welchen Systemen priorisiert verteilt werden sollten, liegt häufig in der Verantwortung des Admins. Und genau hierbei sehe ich den Mehrwert vom gesamtheitlicheren «outside-in»-Ansatz eines Exposure Managements: das System nimmt mir einen Teil der Priorisierung ab und zeigt mir genau, welche Systeme wirklich angreifbar sind und daher im Fokus stehen müssen.