Internet Intelligence und Attack Surface Management als Basis für Exposure Management

Die Angriffsfläche von Unternehmen wächst kontinuierlich. Cloud-Dienste, SaaS-Anwendungen, IoT-Sensoren, hybride Infrastrukturen und Remote Work sorgen dafür, dass immer mehr Systeme direkt über das Internet erreichbar sind. Eine umfassende Transparenz wird damit zu einer zentralen Voraussetzung für wirksame Cybersecurity.

Externe Angriffspunkte bilden den Ausgangspunkt vieler erfolgreicher Angriffe. Fehlkonfigurationen, Schatten-IT, unbeabsichtigter Remote Access und im Internet sichtbare Systeme, die von internen Scannern nie erfasst werden, schaffen potenzielle Einfallstore für Angreifer. Werden solche Assets nicht erkannt, entstehen blinde Flecken in der Sicherheitsarchitektur. Die Folge: unvollständige Datenbestände, verpasste Warnsignale und unentdeckte Schwachstellen. Ohne eine belastbare Datengrundlage verlieren selbst moderne Sicherheitsmaßnahmen an Wirksamkeit.

Kommentar von Tabatha von Kölichen, Regional Sales Director D-A-CH & Central Europe bei Censys

Ein Ansatz für ganzheitliche Transparenz ist Continuous Threat Exposure Management (CTEM). Fortlaufendes Threat Exposure Management verfolgt das Ziel, Sicherheitsrisiken kontinuierlich zu identifizieren, zu priorisieren und zu beheben. Voraussetzung dafür ist eine vollständige Kenntnis der eigenen externen Angriffsfläche. Genau hier stoßen viele Unternehmen an Grenzen. Häufig ist nicht vollständig bekannt, welche Systeme, Dienste und digitalen Ressourcen tatsächlich über das Internet erreichbar sind.

Zur externen Angriffsfläche gehören beispielsweise auch Cloud-Workloads, APIs, Entwicklungsumgebungen, IoT-Geräte oder SaaS-Instanzen. Werden diese Assets nicht erfasst, lassen sie sich weder bewerten noch absichern. Angreifer konzentrieren sich daher gezielt auf solche Assets, die direkt aus dem Internet erreichbar sind. Exposure Management kann Risiken zwar reduzieren, die Wirksamkeit bleibt jedoch begrenzt, wenn es nur auf einem Teil der tatsächlichen Angriffsfläche basiert.

Lückenlose Transparenz als Grundlage

Effektives Exposure Management benötigt vielmehr einen umfassenden, präzisen und aktuellen Datensatz. Grundlage dafür ist ein möglichst vollständiges Bild der externen digitalen Präsenz eines Unternehmens. Internet Intelligence und Attack Surface Management liefern die notwendigen Informationen, um diese Sicht zu schaffen. Durch kontinuierliche Internet-Scans und die Analyse öffentlich erreichbarer Systeme lassen sich sowohl bekannte als auch unbekannte Assets identifizieren. Dazu gehören etwa Domains, Subdomains, Zertifikate, Cloud-Ressourcen oder öffentlich erreichbare Dienste. Security-Teams erhalten so eine realistische Sicht auf die tatsächlich erreichbare Angriffsfläche ihres Unternehmens.

Entscheidend sind dabei die Tiefe und Aktualität der Datenerfassung. Viele Scan-Lösungen konzentrieren sich auf Standard-Ports und übersehen Dienste auf höheren und seltener genutzten Ports. Angreifer nehmen jedoch genau solche Systeme ins Visier. Außerdem verändern sich moderne IT-Umgebungen permanent; neue Cloud-Instanzen, Anwendungen oder Dienste können innerhalb weniger Minuten entstehen und wieder verschwinden. Statische Bestandsaufnahmen reichen daher nicht mehr aus. Kontinuierliche Discovery-Prozesse schaffen die notwendige Transparenz, um mit dynamischen Infrastrukturen sowie automatisierten und KI-gestützten Angriffsmethoden Schritt zu halten.

Kontinuierliche Erkennung statt einmaliger Bestandsaufnahme

Die Erfassung internetexponierter Assets ist jedoch nur der erste Schritt. Ebenso wichtig sind das anschließende fortlaufende Scanning und die kontinuierliche Überwachung der Angriffsfläche. Wenn neue Assets kontinuierlich erkannt werden, bleiben Veränderungen nicht unbemerkt. Moderne Lösungen sollten daher nicht nur bekannte Assets überwachen, sondern auch bislang unbekannte Elemente und Assets identifizieren können. Dabei sollten auch unterschiedliche Ports, Protokolle und der gesamte IPv4-Adressraum unterstützt und regelmäßig aktualisiert werden.

Ergänzende Funktionen wie reputationsbasierte Risikobewertung, natürliche Sprachabfragen oder KI-gestützte Assistenten erleichtern die Analyse großer Datenmengen. Dadurch können Sicherheitsteams schneller auf relevante Informationen zugreifen und fundierte Entscheidungen auf Basis aktueller Erkenntnisse treffen.

Mehrwert einer vollständigen Transparenz der externen Angriffsfläche

Eine umfassende Sicht auf die internetexponierte Angriffsfläche erhöht die Wirksamkeit vieler bestehender Sicherheitslösungen und -prozesse. Die Qualität nachgelagerter Analysen und Entscheidungen hängt maßgeblich davon ab, wie vollständig und aktuell die zugrunde liegenden Asset-Daten sind.

· Genaue und vollständige Bestandsaufnahme: Kontinuierliche Analysen der externen Angriffsfläche ermöglichen die Identifikation internetexponierter Systeme und Dienste, die häufig nicht erfasst werden. Dazu können beispielsweise Dienste auf ungewöhnlichen Ports, Systeme mit selbstsignierten Zertifikaten oder bislang unbekannte Cloud-Ressourcen gehören. Es entsteht ein realistischeres Bild der tatsächlich erreichbaren Angriffsfläche.

· Frühzeitige Erkennung von Veränderungen: Die kontinuierliche Überwachung von Assets ermöglicht es, Veränderungen in der Angriffsfläche wie neue Hosts, offene Ports, Zertifikate oder Dienste zeitnah zu erkennen. Security-Teams erhalten dadurch schneller Hinweise auf potenzielle Risiken oder unbeabsichtigte Änderungen der Angriffsfläche.

· Effizientere Priorisierung und Behebung von Risiken: Vollständige Transparenz und mit intelligentem Kontext angereicherte Daten erleichtert die Bewertung von Risiken. Teams können relevante Schwachstellen und Fehlkonfigurationen schneller priorisieren und gezielt beheben.

· Höherer Nutzen bestehender Sicherheitslösungen: Viele Sicherheitsplattformen – etwa für Security Information and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR), Threat Exposure Management oder KI-gestützte Analysen – sind auf qualitativ hochwertige Daten angewiesen. Eine vollständige und aktuelle Datengrundlage verbessert die Aussagekraft von Analysen, reduziert Fehlalarme und unterstützt fundiertere Sicherheitsentscheidungen.

Fazit

Exposure Management gilt als zentraler Baustein moderner Cybersecurity. Der Erfolg von CTEM hängt maßgeblich von einer Frage ab: Wie vollständig ist die Sicht auf die eigene Angriffsfläche? Internet und Attack Surface Management liefern die notwendige Grundlage, um diese Frage belastbar zu beantworten. Sie schaffen Transparenz über sämtliche im Internet exponierten Assets und reduzieren die blinden Flecken, die Angreifer gezielt ausnutzen. Auf dieser Basis können Security-Teams Risiken realistisch bewerten, Prioritäten setzen und ihre Sicherheitsressourcen dort investieren, wo sie die größte Wirkung erzielen.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
e97627086faece288605029a40e6d5e75469a544
http://www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0
e97627086faece288605029a40e6d5e75469a544
https://www.sprengel-pr.com/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.