Cybersicherheit ist heute wichtiger denn je, und zwei der zentralsten Konzepte in diesem Zusammenhang sind Angriffspfade und Angriffsfläche. Doch was bedeuten diese Begriffe eigentlich und warum ist ihr Verständnis für jede Organisation unerlässlich? Diese Grundlagen erläutert Matias Haapaniemi in seinem aktuellen Blogbeitrag.
Angriffspfade und Angriffsfläche
In der Cybersicherheit hört man oft zwei Begriffe: Angriffsfläche und Angriffspfade. Sie klingen technisch, doch dahinter steckt eine einfache Idee.
Die Angriffsfläche umfasst alle Punkte, die ein Außenstehender „berühren“ kann. Stellen Sie sich Ihre Organisation als ein Haus vor: Türen, Fenster, der Briefschlitz sind Teil der Angriffsfläche.
In der digitalen Welt sind Beispiele für die Angriffsfläche:
- Öffentliche Webdienste und Websites
- Benutzernamen und Passwörter der Mitarbeiter
- Cloud-Dienste, Integrationen zwischen öffentlichen Diensten und Schnittstellen
- Laptops, Telefone und Server
- Drittanbieter-Plugins und -Dienste
Je mehr „Lücken“ Ihre Organisation aufweist, desto größer ist die Angriffsfläche und damit die Möglichkeiten für Missbrauch.
Ein Angriffspfad ist ein Weg, den ein Angreifer vom Ausgangspunkt zu seinem Ziel nimmt.
- Im Hausbeispiel könnte ein Angriffspfad sein:
Briefschlitz → Flur → Wohnzimmer → Safe - Ein digitaler Angriffspfad könnte wiederum sein:
Phishing-Nachricht → Individueller Benutzername → Zugriff auf das interne Netzwerk über VPN → Server mit ungepatchten Schwachstellen → Dateiserver mit wertvollen Daten
Es ist wichtig zu verstehen, dass eine einzelne „Lücke“ nicht immer das ganze Haus zum Einsturz bringt. Die Situation wird gefährlich, wenn kleine Schwachstellen sich zu einem nahtlosen Pfad verbinden.
Von den Grundlagen zur Praxis
Warum ist das alles also wichtig? Einfach ausgedrückt, sind Angriffspfade und Angriffsfläche von Bedeutung, weil:
- Die Reduzierung der Angriffsfläche verringert die Möglichkeiten, einen Angriff zu starten
- Das Unterbrechen von Angriffspfaden verhindert das Fortschreiten eines Angriffs, selbst wenn der Start des Angriffs erfolgreich ist
Wie sollten IT-Abteilungen von Organisationen also in der Praxis vorgehen?
- Erfassen Sie – Sie können keine Dienste schützen, von denen Sie nichts wissen
- Reduzieren Sie – entfernen Sie unnötige Server, Konten, Geräte und Dienste
- Härten Sie – aktivieren Sie MFA, fügen Sie Sicherheitsverbesserungen hinzu, implementieren Sie Endpoint Detection & Response (EDR) und konfigurieren Sie die Geräte-Firewalls
- Unterbrechen Sie Angriffsketten – muss ein Endgerät RDP-Verbindungen zu einem anderen Endgerät zulassen? Und muss ein Drucker RDP-Verbindungen zu einem Domain Controller zulassen?
- Auditieren Sie – funktionieren die Firewall-Einstellungen, wie sie sollten? Gibt es neue Geräte im Netzwerk, die nicht berücksichtigt wurden?
Kommen Sie zu Above ITs Afterwork-Veranstaltung und erfahren Sie, wie Microsoft Defender-Lösungen die Angriffsfläche verwalten und Angriffspfade unterbrechen. Wir teilen Best Practices, mit denen Sie mehr aus bereits genutzten Produkten herausholen und gleichzeitig manuelle Arbeit erheblich einsparen können.