Microsoft Defender EASM – zur Überwachung von Schwachstellen. IT-Abteilungen müssen heutzutage eine riesige Anzahl verschiedener digitaler Dienste verwalten, die in den Cloud-Diensten verschiedener Anbieter gehostet werden. Ganz zu schweigen von den eigenen lokalen Systemen, die der eigenen Organisation zur Verfügung gestellt werden müssen, um den Anforderungen der heutigen hybriden Arbeitsweise gerecht zu werden.
In vielen Organisationen wird systematisch und kontinuierlich an der Entwicklung und Überwachung der Microsoft Cloud-Dienste sowie des eigenen internen Netzwerks und seiner Dienste gearbeitet. Vielleicht wurde in kleineren und mittleren Organisationen die Untersuchung von Sicherheitslücken und Risiken in Diensten, die über das externe Netzwerk zugänglich sind, etwas vernachlässigt. Ein Grund für die unzureichenden Untersuchungen waren teilweise die Kosten für Schwachstellen-Scanning-Dienste im externen Netzwerk. Aber könnte es eine einfache Lösung dafür geben, die auch preislich nicht abschreckend wirkt?
Microsoft Defender EASM-Lösung
Microsoft hat vor einigen Jahren das Produkt Microsoft Defender External Attack Surface Management zur Erkennung und Verwaltung externer Schwachstellen eingeführt. Abgekürzt EASM. Das Produkt basiert auf RiskIQ, das Microsoft im Zuge einer Übernahme erworben hat.
Mit EASM können Organisationen den Zustand ihrer externen Angriffsfläche überwachen und erkennen. Das Tool identifiziert potenzielle Schwachstellen aus der Perspektive des externen Netzwerks, generiert Warnmeldungen und eine Risikobewertung im EASM-Verwaltungsportal. Der Dienst erkennt unter anderem offene Ports, Anwendungsschwachstellen, den Status von Zertifikaten und Informationen über möglicherweise offengelegte personenbezogene Daten (PII).
Wie kann man den Dienst in Betrieb nehmen?
Der EASM-Dienst wird über den Azure-Cloud-Dienst aktiviert, daher ist ein Azure-Abonnement als Voraussetzung erforderlich. Die Preisgestaltung basiert auf der Anzahl der im Rahmen der Erkennungsfunktion (Discovery) in den Dienst eingebrachten Asset-Typen. Der Preis pro Asset-Typ beträgt 0,010 €/Tag. Asset-Typen sind IP-Adressen oder Domänen, die die Organisation in ihrem Inventar für den Dienst genehmigt hat. Die Preisgestaltung kann als sehr moderat bezeichnet werden. Für den Dienst ist auch eine 30-tägige kostenlose Testphase verfügbar, danach wird er automatisch monatlich über das Azure-Abonnement abgerechnet.
Die eigentliche Überwachung der externen Angriffsfläche wird durch Aktivierung der Erkennungsfunktion gestartet, bei der Seeds (Samen) ausgewählt werden, d.h. welche Asset-Typen in den Scan einbezogen werden. Als Beispiel werden der Erkennungsfunktion grundsätzlich die von der Organisation genutzten Domänen und öffentlichen IP-Adressen hinzugefügt.
Neben Domänen und IP-Adressen können Seeds sein:
• Hostnamen
• E-Mail-Adressen
• ASN-Nummer
• Zertifikate
• Whois-Organisation
Sobald die Ziele für die Erkennungsfunktion ausgewählt und gestartet wurden, dauert es ein bis zwei Tage, bis die Ergebnisse im Portal erscheinen.
Dashboards
Zur Überprüfung der Ergebnisse bietet der EASM-Dienst verschiedene vorgefertigte Dashboards, die Microsoft im Zuge der Dienstentwicklung hinzugefügt hat.
Das Attack Surface Summary-Dashboard präsentiert die wichtigsten Erkenntnisse über die Umgebung. Es bietet einen Überblick über die Angriffsfläche der Organisation und die zugehörigen Asset-Typen und hebt potenzielle Schwachstellen nach Schweregrad (hoch, mittel, niedrig) hervor. Das Dashboard liefert auch wichtige Informationen über die Infrastruktur, aus der sich die Angriffsfläche der Organisation zusammensetzt.
Das Security Posture-Dashboard hilft Organisationen, die Reife ihrer Sicherheit auf der Grundlage von Metadaten zu verstehen, die von Asset-Typen abgeleitet wurden. Es besteht aus technischen und nicht-technischen Praktiken, Prozessen und Kontrollmaßnahmen. Das Dashboard bietet unter anderem Informationen zu CVE-Schwachstellen, offenen Kommunikationsports und SSL-Zertifikatskonfigurationen.
Das GDPR Compliance-Dashboard hebt die wichtigsten Compliance-Risiken hervor, die auf den Anforderungen der DSGVO basieren. Das Dashboard bietet Einblick in den Status der Websites der Organisation, mögliche Probleme mit SSL-Zertifikaten, offengelegte personenbezogene Daten (PII), verwendete Anmeldeprotokolle und die Einhaltung der Cookie-Vorschriften.
Das OWASP Top 10-Dashboard zeigt die Asset-Typen auf, die gemäß der OWASP-Liste der kritischsten Webanwendungs-Sicherheitsrisiken anfällig sind. Mit dem Dashboard können Organisationen schnell Asset-Typen identifizieren, die unzureichende Zugriffsverwaltung, Verschlüsselungsfehler, Injektionen, fehlerhafte Sicherheitskonfigurationen und andere von OWASP definierte kritische Risiken aufweisen.
Das CWE Top 25 Software Weaknesses-Dashboard basiert auf der jährlich von MITRE veröffentlichten Liste der Top 25 Common Weakness Enumeration (CWE). CWEs repräsentieren die häufigsten und wirkungsvollsten Software-Schwachstellen, die leicht zu finden und auszunutzen sind.
Das CISA Known Exploits-Dashboard zeigt alle Asset-Typen, die möglicherweise von Schwachstellen betroffen sind, die gemäß den CISA-Definitionen zu bekannten Exploits geführt haben.
Beispielbild des Attack Surface Summary-Dashboards
Fazit
Microsoft Defender EASM ist einfach zu implementieren und hat, basierend auf unseren Erfahrungen, sehr nützliche Informationen über die Zielorganisationen geliefert, in denen wir es einsetzen konnten. Es ist jedoch zu beachten, dass es kein umfassendes Tool ist, das beispielsweise auch Penetrationstests durchführen würde.
Heutzutage muss die IT-Sicherheit ganzheitlich umgesetzt werden, und EASM ist als Teil davon ein sehr gutes Produkt. Wir empfehlen Ihnen, es auszuprobieren; Sie werden sicherlich nützliche Informationen über den Zustand der externen Angriffsfläche Ihrer Organisation erhalten.
Above IT ist ein Partner und eine Ressource für IT-Abteilungen. Als unser Kunde erhalten Sie echtes Fachwissen in Bezug auf die Entwicklung von IT-Sicherheit und Datenschutz sowie Unterstützung und Sicherheit in den Turbulenzen der Welt! Wenn Sie mit uns über die IT hinausgehen möchten, kontaktieren Sie uns bitte über den untenstehenden Kalender-Link!