SecOpsJan Kahmen6 min Lesezeit

Was ist eine Angriffsflächenanalyse?

Bei der Angriffsflächenanalyse werden die Teile eines Systems identifiziert und bewertet, die für externe Angriffe anfällig sein könnten.

Inhaltsverzeichnis

Was ist eine Angriffsflächenanalyse?

Bei der [Attack Surface Analysis] (https://cheatsheetseries.owasp.org/cheatsheets/Attack_Surface_Analysis_Cheat_Sheet.html) werden die Teile eines Systems identifiziert und bewertet, die für externe Angriffe anfällig sein könnten. Für Entwickler und Sicherheitsexperten ist es wichtig, die Angriffsfläche zu verstehen und zu verwalten, während sie eine Anwendung entwerfen und erstellen, um das Risiko externer Bedrohungen zu verringern. Bei diesem Prozess werden die Teile eines Systems festgelegt, die auf Sicherheitsschwachstellen überprüft und getestet werden müssen, und es werden Wege gefunden, die Angriffsfläche zu minimieren. Darüber hinaus ist es wichtig zu wissen, wie sich die Angriffsfläche verändert und was dies aus einer Risikoperspektive bedeutet. Die Angriffsflächenanalyse wird in der Regel von Sicherheitsarchitekten und Pen-Testern durchgeführt, aber auch Entwickler sollten in den Prozess einbezogen werden.

Mit Hilfe der Angriffsflächenanalyse kann festgestellt werden, welche Funktionen und Komponenten eines Systems überprüft und auf Sicherheitslücken getestet werden müssen, und es können Bereiche des Codes identifiziert werden, die besonders geschützt werden müssen. Sie kann auch verwendet werden, um festzustellen, wann Änderungen am System vorgenommen wurden, die eine Bedrohungsanalyse erforderlich machen.

Definieren der Angriffsfläche einer Anwendung

Die Angriffsfläche einer Anwendung ist die Summe aller Pfade für Daten/Befehle in und aus der Anwendung sowie des Codes, der diese Pfade schützt, z. B. Ressourcenverbindung und -authentifizierung, Autorisierung, Aktivitätsprotokollierung, Datenvalidierung und Kodierung. Dazu gehören auch alle wertvollen Daten, die in der Anwendung verwendet werden, einschließlich Geheimnisse und Schlüssel, geistiges Eigentum, kritische Geschäftsdaten und persönliche Daten, sowie der Code, der diese Daten schützt (einschließlich Verschlüsselung und Prüfsummen, Zugriffsprüfung, Datenintegrität und Kontrollen der Betriebssicherheit). Darüber hinaus müssen Sie die verschiedenen Arten von Benutzern - Rollen, Berechtigungsstufen - berücksichtigen, die auf das System zugreifen können (ob autorisiert oder nicht). Die Komplexität steigt mit der Anzahl der verschiedenen Benutzertypen, daher ist es wichtig, sich besonders auf die beiden Extreme zu konzentrieren: nicht authentifizierte, anonyme Benutzer und hoch privilegierte Admin-Benutzer (z. B. Datenbankadministratoren, Systemadministratoren).

Um die Angriffsfläche zu analysieren, können Sie jede Art von Angriffspunkt nach Risiko (nach außen oder nach innen), Zweck, Implementierung, Design und Technologie in Gruppen einteilen. Sie können dann die Anzahl der Angriffspunkte jedes Typs zählen, dann einige Fälle für jeden Typ auswählen und Ihre Überprüfung/Bewertung auf diese Fälle konzentrieren. Auf diese Weise müssen Sie nicht jeden Endpunkt verstehen, um die Angriffsfläche und das potenzielle Risikoprofil eines Systems zu erfassen. Stattdessen können Sie die verschiedenen allgemeinen Arten von Endpunkten und die Anzahl der Punkte jeder Art zählen. Auf diese Weise können Sie den Aufwand für eine umfassende Risikobewertung kalkulieren und feststellen, wann sich das Risikoprofil einer Anwendung erheblich verändert hat.

Messung und Bewertung der Angriffsfläche

Bewerten Sie das mit der Angriffsfläche verbundene Risiko, indem Sie die potenziellen Schwachstellen messen und analysieren. Konzentrieren Sie sich auf Remote-Einstiegspunkte, wie Schnittstellen zu externen Systemen und zum Internet, die einen anonymen öffentlichen Zugriff ermöglichen. Achten Sie besonders auf netzwerkseitigen Code, Webformulare, Dateien von außerhalb des Netzwerks, abwärtskompatible Schnittstellen zu anderen Systemen, benutzerdefinierte APIs und Sicherheitscode im Zusammenhang mit Kryptografie, Authentifizierung, Autorisierung und Sitzungsmanagement.

Verwaltung der Angriffsfläche

Sobald Sie über ein grundlegendes Verständnis der Angriffsfläche verfügen, können Sie diese nutzen, um Risiken zu identifizieren und zu verwalten, wenn Änderungen an der Anwendung vorgenommen werden. Fragen Sie sich selbst: Was hat sich geändert? Welche neuen Ansätze oder Technologien wurden implementiert? Welche Schwachstellen könnten eingeführt worden sein? Durch die Beantwortung dieser Fragen können Sie sicherstellen, dass das Risikoprofil der Anwendung bei Änderungen konsistent bleibt.

Wenn Sie eine Webseite erstellen, erhöhen Sie die Angriffsfläche des Systems und führen potenzielle Sicherheitsrisiken ein. Wenn Sie jedoch einfach nur ein weiteres Feld auf derselben Seite hinzufügen oder eine weitere Webseite im gleichen Design und mit der gleichen Technologie hinzufügen, hat sich das Risikoprofil der Anwendung nicht wesentlich erhöht. Um zu verstehen, welche Art von Sicherheitstests und -überprüfungen für diese inkrementellen Änderungen erforderlich sind, müssen Sie feststellen, ob die Änderung in einen bestehenden Bereich passt und ob die bestehenden Kontrollen und Schutzmaßnahmen gelten. Ist dies nicht der Fall, müssen Sie eine gründlichere Risikobewertung durchführen, um etwaige Sicherheitslücken zu ermitteln und die erforderlichen Schutzmaßnahmen zu ergreifen.

Schlussfolgerung

Die Verwaltung der Angriffsfläche ist wichtig, weil sie Unternehmen dabei hilft, die Angriffsfläche ihrer Systeme zu identifizieren, zu analysieren und zu reduzieren. Durch die Verwaltung der Angriffsfläche können Unternehmen ihr Risiko verringern, angegriffen und möglicherweise kompromittiert zu werden. Außerdem hilft es Unternehmen, potenzielle Schwachstellen zu erkennen und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können. Darüber hinaus hilft das Angriffsflächenmanagement Unternehmen, Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren.

Unsere Schwachstellenmanagement-Plattform turingsecure ermöglicht es Ihnen, Änderungen an Ihrer IT-Infrastruktur zu identifizieren und zu minimieren, Beziehungen zwischen Schwachstellen und Assets abzubilden und durch Threat Intelligence Erkenntnisse zu gewinnen. Unsere Plattform bietet auch CVSS-Klassifizierung und Schwachstellenkombinationen, damit Sie das Risiko besser verstehen und neue Strategien aus den Erkenntnissen ableiten können. Mit unseren Workflows können Sie mehr Transparenz schaffen und Ihr Risikomanagement und Ihre Cybersicherheitsfunktionen besser unterstützen.

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie noch heute ein unverbindliches Gespräch mit einem unserer Produktexperten.