Attack Surface (symbolisch; Quelle: madartzgraphics from Pixabay; Lizenz: Pixabay Lizenz)

2022 Cortex Xpanse Attack Surface Threat Report

von

Bei der Auswertung von vielen Scans (1% des Internets) wurden von Cortex® Xpanse™ viele interessante Kenntnisse gewonnen, die im ASM Threat Report 2022 zusammengefasst sind (leider muss man sich zum Download registrieren). Es liest sich ein bisschen wie ein Werbeprospekt (es ist ja auch eins) für ihre Lösung zum Verwalten der Attack Surface, aber einige Erkenntnisse finde ich dennoch erstaunlich.

Cloud Infrastrukturen hosten 80% der Probleme

Es liest sich so als sei die Cloud gefährlich und nicht zu beherrschen – ja gerade zu einer Erfindung der dunklen Seite. Gut auf der einen Seite ist das Deployment in der Cloud so einfach, dass es mehr Schatten-IT gibt (das ist ein Problem) und auch unerfahrene Teams schnell Anwendungen im Internet verfügbar machen können. Vielleicht waren auch die untersuchten Cloud-Applikationen auch eher in Richtung Internet geöffnet und daher für den Scan leichter zu finden?

Wäre die Schlussfolgerung, dass die Cloud die Einstiegshürde vor allem für unbedarfte (zumindest aus Sicht IT-Sicherheit) Teams so weit senkt, dass es diese Anwendungen und Systeme ohne Cloud gar nicht geben würde? Gut dieser Blog ist ja auch ein Beispiel dafür 🤯.

In meinem Umfeld habe ich aber eher die Erkenntnis gehabt, dass die Angebote der Hyperscaler (meine Erfahrung stützt sich auf AWS und Azure) es schaffen Anwendungen sicherer als on-prem zu gestalten. Der AWS Security Hub oder das Azure Security Center bieten einen guten Einstieg für Verbesserungen. Das Scannen und Überwachen wird auch durch viele Services unterstützt. Am Ende zahlt man für diese unterstützenden Services wohl fast mehr als für den Betrieb der Applikation an sich, aber nach meiner Erfahrung wären viele Applikationen und Systeme on-prem schlechter überwacht. Die liegt daran, dass viele der benötigten Services wohl vor allem für kleinere Teams um Self-Hosting unerreichbar wären.

Leider fehlen viele Informationen in dem Bericht, um sich ein besseres Bild zu machen. Ich finde die Schreibweise nur sehr bedenklich.

Niedrig hängende Früchte werden nicht gepflückt

Schlecht gesicherte RDP-Server oder öffentlich erreichbare Dienste, die nicht öffentlich sein sollten (Gebäudesteuerung) oder gar unverschlüsseltes Login sollten wirklich in 2022 (oder 2021 als für diesen Bericht gemessen wurde) nicht mehr auf der Tagesordnung stehen.

Nach meiner Erfahrung setzt sich MFA zum Glück langsam und durch auch Zero Trust wird in Zukunft hier eine größere Rolle spielen um die Konsequenzen vor allem für den Fall von gestohlenen oder verlorenen Zugangsdaten deutlich mindern.

Auch für die erwähnten Gebäudesteuerungen (BCS) und die Operational Technology (OT) gibt es eigentlich gute Lösungen, auch wenn ich diese nicht in die Kategorie „Low-Hanging Fruit“ einsortieren würde.

Nutzung von EoL Software

Auch das ist wieder so ein Punkt, bei dem ich zuerst mit dem Kopf schüttele und denke „Das geht gar nicht“ und dann erinnere ich mich an alltägliche Situationen in denen Produkte nach ihrem Lebensende genutzt wurden.

Auf der einen Seite ist gerade das im Bericht genannte Beispiel Atlassian Confluence (CVE-2021-26084) sehr interessant. In Hinblick auf zukünftige Berichte sind wohl die aktuelleren Geschehnisse zu Confluence (CVE-2022-26134) noch interessanter. Da reicht schon ein langes Wochenende für Aufruhr.

Für Teams, die keinen sicheren Betrieb mit sehr kurzen Patch-Zyklen sicherstellen können (soll es geben), wäre dann doch die oben verteufelte Cloud mit einer SaaS-Lösung wieder besser, oder?

Ich stimme aber zu, dass die Welt ohne veraltete Software eine bessere wäre und dass es hier noch viel Arbeit gibt.

Zunahme der nicht verwalten Angriffsfläche

In diesem Abschnitt wird der Kern das Produkt der Autoren beworben. Es wird viel mit Zahlen und Diagrammen um sich geworfen. Es liest sich echt nicht schön.

Ich kann diese Tendenz nicht aus meiner Erfahrung bestätigen, aber ich kann dem auch keine Fakten und Expertise entgegensetzen.

Komplexität und Einzigartigkeit

Die Unterscheidungen der Angriffsfläche nach Branche finde ich wiederum sehr interessant.

Es macht natürlich Sinn, da die Arbeitsweisen und verfügbare COTS Software Stacks je nach Branche unterschiedlich sind. Da Angreifer diesen Bericht wohl auch lesen werden, versuche ich die Erkenntnisse zukünftig in meine Arbeit einfließen zu lassen und ein besonderes Augenmerk darauf zu setzen.

Es freut mich, dass Stuxnet auch im Bericht erwähnt wird 😉.

Zusammenfassung

Das liest sich alles vielleicht etwas kritisch, aber am Ende wären die meisten der genannten Schwachstellen und Verwundbarkeiten schon zu vermeiden – wenn man denn will. Häufig ist der Leidensdruck wohl noch nicht zu groß oder viele der gefundenen Systeme sind zu unwichtig. Ich sehe meine allgemeinen Erkenntnisse zur IT eigentlich nur bestätigt:

  • Die Menge an IT-Sicherheit ist konstant oder wächst zumindest nicht so schnell wie die Menge an IT-Systemen und wird im Mittel gefühlt eher kleiner als größer. Es gibt einfach zu viel Software (schaut bitte nicht in mein GitHub Repository – ich mache da auch noch mit).
  • IT ist mehr als nur das einmalige Bereitstellen und Erfüllen von Business-Anforderungen.
  • IT-Sicherheit ist noch nicht in allen Lösungen als Security-by-Design und Security-by-Default integriert und erfordert häufig zu viel Expertise und Aufwand, um alternativlos zu sein.

Am Ende sagt der Report das indirekt ja auch, nur ich glaube die proklamierte Lösung greift zu kurz – auch wenn sie besser als die Vogel-Strauß-Taktik ist.

Für die Vielzahl von erhobenen Daten hätte ich mir aber einen konkreteren Bericht mit mehr Zahlen und Berechnungsgrundlagen gewünscht.

Quellen: