Mit den neuesten Erkenntnissen unserer Sicherheitsexperten sind Sie Cyberbedrohungen immer einen Schritt voraus.
Jetzt abonnieren, um Folgendes zu erhalten:
- Neue ThreatTank-Episoden beim Start
- Top-Trend-Angriffe nach Branche
- Umsetzbare Erkenntnisse und Reaktionsstrategien
- Und vieles mehr!
Eine Einführung in ThreatTank – Folge 3: Attack Surface Management
Tom Gorup: Willkommen bei Threat Tank, einem Podcast über die neuesten Bedrohungsinformationen, Bedrohungsreaktionen und Einblicke in die Sicherheitslandschaft auf der ganzen Welt. Ich bin Ihr Gastgeber, Tom Gorup, Vice President, Security Services in Edgio. Und heute kommen Jeff Patzer und Chris Herrera zu mir. Willkommen, Jeff und Chris.
Jeff Patzer: Ja, danke.
Chris Herrera: Danke, dass Sie uns haben.
Tom Gorup: Ja, Mann, das wird ein tolles Gespräch. Wir werden uns mit Attack Surface Management befassen, den Wert davon, was ist es, all diese Art von tollen Sachen. Aber da wir hier eine Tradition im ThreatTank Podcast aufbauen, eröffne ich gerne eine Eisbrecherfrage. Wenn Sie sich zum ersten Mal anmelden, erzähle ich den Gästen diese Fragen nicht. Sie haben also keine Ahnung, was ich fragen werde. Und das hier brachte mich zum Lachen, als ich es zuerst las.
Die Frage ist, Chris und Jeff, wenn du bereit bist, wenn du eine Frucht wärst, welche Frucht würdest du sein und wie würdest du vermeiden, gegessen zu werden?
Chris Herrera: Oh Gott. Nun, wenn wir es als von einem Durchschnittsmenschen gefressen definieren, dann nehme ich an, vielleicht ein Durianer. Ich verstehe, dass die ziemlich faul riechen, wenn man sie reinschneidet, und sie sehen nicht mal so appetitlich aus. Aber das könnte ich sein, dass ich aus Unwissenheit spreche, da ich noch nie einen gesehen habe.
Tom Gorup: Du wärst also ein Durianer, denn derjenige, den du vermeiden würdest, gegessen zu werden, du würdest aussehen, schlecht aussehen und schlecht riechen, schlecht aussehen und schlecht riechen und vermutlich schlecht schmecken.
Chris Herrera: Ja, schmeckt schlecht.
Tom Gorup: Alles klar, ja.
Jeff Patzer: Sie mögen nicht einmal Durian in den U-Bahnen an den meisten Orten, wo sie tatsächlich wachsen, wenn es während der Saison ist, weil sie so schrecklich riechen. Aber sie werden sehr schwer gegessen, Chris, also bin ich mir nicht sicher, ob du das vermeiden kannst. Sie sind lecker. Es ist irgendwie so, wie willst du es vermeiden?
Tom Gorup: Ja, ich stelle mir vor, es ist wie Jalapenos, alle mögen so heiß, aber es gibt immer noch einen Markt für Leute, die wie der heißeste Pfeffer essen wollen. Also, was bekommst du, Jeff?
Jeff Patzer: Ich gehe nur mit Feige. Ich wäre eine Feige und ich würde nicht versuchen, gefressen zu werden, weil der ganze Sinn, eine Frucht zu sein, darin besteht, tatsächlich verzehrt zu werden.
Tom Gorup: Der Grund, warum du konsumiert werden willst, ist, weil du so ausgebreitet wirst und im Wesentlichen mehr Obstbäume anbaust, oder?
Jeff-Patzer: Man geht also auf die interessante Reise durch ein Verdauungssystem jeder Art von Tier und auch Feigen sind absolut köstlich und der Trick ist ja, sie dort zu bekommen, wo man sie tatsächlich frisch bekommen kann, denn an den meisten Orten muss man sie kaufen wie im Laden und sie werden einfach nicht frisch gepflückt. Aber wenn man an einem Ort lebt, wo man sie frisch bekommt, gibt es kein besseres Obst.
Tom Gorup: Ich kann Ihnen garantieren, dass ich am meisten interessiert bin, dass Sie es als eine interessante Reise durch etwas beschrieben haben.
Jeff Patzer: Ich meine, wie war es mit dem Zauberschulbus, genau, wo man hinkommt, du kennst die Reise durch das Verdauungssystem? Gleich. Ich denke, dass vielleicht nicht jeder diese Referenz bekommt.
Chris Herrera: Etwas weniger PG-Version von Rick und Morty, wenn sie sehr ähnliche Episoden machen.
Tom Gorup: Es ist gut.
Jeff Patzer: Genau. Genau.
Tom Gorup: Also, ich werde damit spielen, während ich darüber nachdachte, wie ich vielleicht eine Erdbeere dachte. Aber ich würde meine Samen wie kleine BBS machen. Sie sind so hart, dass du es mögen könntest, wenn du sie reinbeißt, wirst du einen Zahn schlagen, damit niemand ihn essen will. Aber dann bin ich vielleicht nicht so weit verbreitet.
Chris Herrera: Interessant ist, dass du ein Problem mit dieser Antwort hast, nämlich dass sie entscheiden, dass sie dich nicht essen wollen, nachdem sie bereits einen Biss genommen haben.
Tom Gorup: Oh, weil du stinkst. Sie wollen dich nicht essen, glaube ich.
Chris Herrera: Und ich sehe schlecht aus.
Tom Gorup: Das ist toll. Das ist gut. In Ordnung. Fangen wir an. Hoffentlich macht der Eisbrecher für alle anderen genauso viel Spaß wie für uns. Aber wir müssen zum Thema kommen, und das hier ist wieder Attack Surface Management. Chris, ich habe mich gefragt, ob du uns erklären könntest, was Attack Surface Management ist, abgekürzt als ASM.
Chris Herrera: Ich gebe, was ich hoffe und denke, eine ziemlich genaue Definition. Aber wie immer, wenn Sie vor anderen Sicherheitsleuten sprechen, anderen Experten, jedem anderen, der in Ihrem Bereich ist, sind Sie immer oder Sie sollten Angst haben, dass Sie etwas Falsches sagen oder leicht aus dem Weg gehen.
Bitte korrigieren Sie mich, wenn ich mich hier irre, aber ASM, Attack Surface Management, ist kurz gesagt, es beinhaltet verschiedene Aspekte der Identifizierung, Priorisierung, Überwachung und Analyse digitaler Assets. Und durch digitale Assets, die Dinge wie Webserver, IP-Adressen, API-Endpunkte, Anwendungen, alles, was sich digital in einer Art Umgebung befindet, die über das Internet zugänglich gemacht werden könnte, oder so etwas. Und dann kommt ASM ins Spiel.
Das Attack Surface Management, das können Sie sich vorstellen, diese individuellen Worte. Dazu gehört auch, dass Sie die Angriffsfläche verwalten. Also, was verfügbar ist, um gesehen, gepingt oder getestet zu werden, oder was aus dem Internet, das als Ihre Angriffsfläche angesehen wird. Mit ASM können Sie bestimmen, was verfügbar ist und was vorhanden ist. Sie könnten Dinge finden, von denen Sie nicht einmal wussten, dass sie dort waren. Und dann geht es noch einen weiteren Schritt und kann Ihnen im Idealfall sagen, welche Arten von Anwendungen, welche Server und welche Versionen dahinter ausgeführt werden. Dann gibt es sogar noch einen weiteren Schritt, in dem diese mit verschiedenen Schwachstellen wie CVSS (Common Vulnerability Scoring System) und Zero-Day-Schwachstellen und dergleichen verknüpft werden können und Ihnen eine viel bessere Vorstellung von Ihrer Angriffsfläche in Ihren digitalen Assets vermitteln. Es ist also viel mehr dran als das. Natürlich werden wir das heute besprechen, aber hoffentlich ist das ein guter Startpunkt für das, was Attack Surface Management ist.
Tom Gorup: Ja. So wie in der einfachsten Weise, um ein Werkzeug zu sagen, das das Internet nach Internet durchsucht. Nun, Internet-gesicherte Ressourcen von Ihnen und aggregiert sie in irgendeiner Art Werkzeug.
Chris Herrera: Ja, genau.
Tom Gorup: Die einfachste Beschreibung.
Chris Herrera: Ja. Also, ich habe versucht, mir eine Metapher zu überlegen, wie ich das visualisieren kann. Und wirklich das Beste, was ich mir vorstellen könnte, wäre eine sehr technische Sache, bei der ich mir Star Trek oder Star Wars vorstelle, oder so etwas entlang der Linien, wo Sie Ihren Schiffsmonitor auf einem Bildschirm haben und er alle verschiedenen Komponenten auf dem Bildschirm hat und jedes einzelne Element Ihres Schiffes überwacht, das im Weltraum ist, das potenziell von Lasern oder Waffen oder irgendwas entlang dieser Linien abgeschossen werden kann. Und es gibt Ihnen nicht nur Informationen, was da ist, sondern auch den Status der Personen.
Es sagt dir, wie sie es machen. Es kann Ihnen auch einige zusätzliche Informationen geben. Und wissen Sie, bis zu Ihrem Punkt, können Sie dann, wenn Sie auch mehr über andere Assets wissen wollen, eine Sonde schicken, ein paar Scans schicken, Informationen über jemand anderen bekommen, und es ist vielleicht nicht nützlich für andere. Aber für mich war das eine gute Möglichkeit, ein mentales Bild davon zu bekommen, dass ASM zumindest an nicht reale Beispiele gebunden wird, wegen Star Trek und Star Wars. Aber Sie wissen etwas in dieser Richtung.
Irgendwas fehlt in dieser Definition, Jeff?
Jeff Patzer: Ja, weißt du, ich komme von vielleicht mehr wie dem Entwicklerhintergrund, dem technischen Hintergrund. Ich denke auch an die Bausteine, wie das Innere der Dinge, die du hast. Wenn Sie also darüber nachdenken, wie meine Angriffsfläche aussieht, sind die Dinge, aus denen Sie sie aufgebaut haben, auch Angriffslücken, richtig? Wenn Sie also über Dinge nachdenken, die Sie aus einer Bibliotheksperspektive oder ähnlichem in den Code einfügen möchten, den Sie dann verwenden, um ihn zu enthüllen, wissen Sie, dass es nicht nur darum geht, wie das Internet Sie erreichen kann, sondern auch, wie etwas, sobald es die Dinge hat, in Ihrem System funktioniert, richtig?
Um Ihre Star Trek Analogie zu erweitern, ist es genauso wichtig, den Status des Motors zu überwachen, wie zu wissen, was Ihr Feld, von dem Sie wissen, Ihr Laserschutzfeld tut, richtig? Ich denke also, wenn Sie externe Bibliotheken verwenden, die, wenn Sie zu diesem Zeitpunkt irgendeine Art von Software verwenden, garantiert eine Art Open-Source-Bibliothek verwenden, um solche wie größere Software zu bauen. Es ist ebenso wichtig, zu wissen, was sich in diesen befindet und welche Schwachstellen sie haben könnten, wie die äußeren Teile, mit denen Menschen interagieren würden.
Tom Gorup: Meine nächste Frage ist, warum du sagtest, dass es genauso wichtig ist zu überwachen, wie warum es wertvoll ist. Welchen Wert hat die Ausführung eines ASM?
Chris Herrera: Mein erster Gedanke ist, dass es für viele Sicherheitsteams ganz einfach ist, wenn wir speziell über Unternehmen sprechen oder Sie wissen schon, sogar über Einzelpersonen zu Hause. Nun, nicht unbedingt einfach. Es ist einfach, Dinge zu sichern, die Sie kennen und mit denen Sie vertraut sind. Aber genau zu Jeff’s Punkt, bauen Sie diese Tools auf, diese Umgebungen aus vielen Einzelteilen. Und jedes dieser Einzelteile trägt auch zur Angriffsfläche bei, zu Ihrer Gesamtoberfläche. Mir fällt jetzt kein besseres Wort dafür ein. Ich werde versuchen, es bis zum Ende zu überdenken.
Jedes dieser Einzelteile kann zum schwachen Glied werden oder zum langsamsten marschierenden Mitglied der Armee. Und neben der Sicherstellung, dass dies alles ein Tool für das Angriffsflächenmanagement ist, kann die Inventartechnologie diese auch priorisieren und Ihnen sagen, hey, dass dies Ihre wichtigsten sind, wenn diese ausfallen, das gesamte System ausfällt, oder sie können sie in Bezug auf die anfälligsten in Bezug auf die veraltete Software priorisieren, oder sie sind offen für die letzte Zero-Day-Schwachstelle.
Und oder du kannst sie sogar priorisieren, hey, das sind die einfachsten, die man ausbessern kann, wenn man etwas niedrig hängendes Obst oder etwas, wissen Sie, einfach die Füße nass machen will. In Bezug auf die Bereitstellung nicht unbedingt, sondern die Verbesserung Ihrer Sicherheitslage insgesamt.
Jeff Patzer: Ja. Weißt du, ich könnte noch hinzufügen, dass der Wert für mich ist, dass es im Grunde unmöglich wird, alles ohne irgendeine Art Überwachungssystem auf dem Laufenden zu bleiben, oder? Dass Systeme immer komplexer werden. Weißt du, die Analogie, an die ich für ASM immer dachte, ist, weißt du, was haben wir damals getan, um vor Invasionsarmeen zu schützen, während du eine Burg bauen würdest? Der einzige Weg, durch die Mauer zu kommen, waren ein paar Türen, oder? In gewisser Weise sind Häfen wie Türen für das Internet. Du musst in der Lage sein, weißt du, dass es irgendwie einfach ist, als wäre das Schloss einfach, oder? Als hätte es Wände und vielleicht einen Graben und vielleicht ein paar Orte, an denen man rein und raus kommen kann. Aber wenn man Komplexität anbaut und diese überwachen kann, braucht man mehr als nur ein paar Läufer, die es Generälen erzählen. Das ist der Status dieser Tür, oder?
Sie befinden sich an dem Punkt, an dem Sie mit Software die Kontrolle in die Hände von Teammitgliedern übertragen können, oder? Damit jeder an diesem Punkt eine Tür bauen kann. Jeder kann die Fähigkeiten erweitern. Und wenn Sie sich darauf verlassen wollen, dass die Menschen all das bewältigen müssen, behalten Sie diese Komplexität im Auge, dann wird sie mit der Zeit zusammenbrechen. Für mich ist es also so, als ob der Wert darin besteht, dass man dadurch an Komplexität wächst, aber vielleicht ein wenig einen Griff hat, wie die Fähigkeit, anderen zu erlauben, Dinge zu tun, aber auch die Dinge, die passieren, als die Dinge, die sie aufdecken, zu überwachen und den Überblick darüber zu behalten. Denn sonst, wenn die Dinge komplexer werden, gibt es einfach keine Möglichkeit, dass Menschen diese Arten von Systemen im Auge behalten können. Das sollten wir auch nicht sein.
Tom Gorup: Ja, ja, 100%. Einige von Ihnen sagten immer, dass die Analogie des Schlosses der Umkreis ist. Castle Defense ist irgendwie tot, es gibt keinen Umkreis, oder? Wir befinden uns in verschiedenen Multi-Cloud-Hybridumgebungen, einige Rechenzentren, einige in Azure, einige in AWS, einige in GCP und Digital Ocean. Wir sind überall dabei. Wissen wir alles, was da draußen ist?
Wenn ich mir anschaue, was ich über die Sicherheitslage denke, gliedere ich sie in drei Säulen: Transparenz, Risiken und Bedrohungen. Ich kann nicht beschützen, was ich nicht sehen kann. Ich muss verstehen, wo meine Schwachstellen sind, und ich muss verstehen, wie ich angegriffen werde. Ich höre, dass Attack Surface Management uns wirklich viele der ersten beiden bietet, besonders Sichtbarkeit und Dinge, von denen ich nicht wusste, dass sie existieren. Offene Ports, API-Technologie, die ich in meiner App verwende, aber auch eine Art Hervorhebung der Schwachstellen in meiner Umgebung, von denen ich angegriffen werden könnte. Es scheint also extrem mächtig zu sein. Aber welche Teams führen normalerweise solche Tools aus? Sehen wir es nur in Sicherheitsteams, die ein AMS betreiben sollten?
Chris Herrera: In der Vergangenheit denke ich, dass das richtig ist, wenn man sagt, dass die Sicherheitsteams für die Beschaffung der ASM-Tools verantwortlich sind oder waren, dass sie für die Inbetriebnahme und den Betrieb verantwortlich sind, sie konsequent einsetzen, die Ergebnisse interpretieren und diese Ergebnisse den verschiedenen Teams innerhalb der Organisation übermitteln. Vielleicht entdecken sie Assets, von denen sie nicht wussten, dass sie vorhanden sind, oder Hostnamen, von denen sie nicht wussten, dass sie noch in Betrieb waren, oder so etwas.
Aber ich weiß nicht unbedingt, ob das bedeutet, dass es so weitergehen muss. Es ist interessant, wie die Technologie an Komplexität zunimmt, aber auch in Bezug auf das, was sie für uns tun kann, sie verwischt irgendwie die Grenzen zwischen verschiedenen Teams. Aus diesem Grund haben wir in der Vergangenheit Begriffe wie dev SECOPS oder DevOps oder solche Dinge, diese Terminologien und die Art und Weise, wie wir uns auf die Leute beziehen, die Anwendungen entwickeln. Nur ein konkretes Beispiel: Das hat sich im Laufe der letzten 5-10 Jahre geändert. Und ich denke, das könnte ein Zeichen dafür sein, dass Sicherheit irgendwie in das Leben aller eindringt.
Es ist nicht mehr unbedingt nur ein Sicherheitsteam. Nach meiner Erfahrung weiß ich natürlich nicht, was ich tue, aber Sicherheit ist nicht eine Sache, die ich jeden Tag tue. Aber ich interagiere mit anderen Mitgliedern anderer Teams, die nichts mit Sicherheit zu tun haben, aber sie wissen viel, einfach weil sie es müssen, um ihre Arbeit zu erledigen.
Jeff Patzer: Nun ja, ich mag wirklich, wie du das sagst, Chris. Ich mag die Art und Weise, wie Sie es in dem Sinne ausdrücken, dass jeder mit der Sicherheit in irgendeiner Form interagiert, ob es nun darum geht, E-Mails zu öffnen, Sie mit dem Sicherheitsproblem zu interagieren. Wie, werden Sie gefischt? Werden Sie, wissen Sie, auf Dinge überprüft? Technisch gesehen ist das eine Art Oberfläche, durch die dich jemand angreifen könnte.
Ich denke, wenn Sie fragen, welche Teams es verwenden, habe ich das Gefühl, dass Sie in der Vergangenheit so sind und Entwickler Recht haben, als würden sie das aus ganz bestimmten Gründen nutzen. Aber insgesamt wächst es, oder? Und wie ich schon sagte, an diesem Punkt, sagen wir, Sie wollen ein Formular erstellen, das Zufuhr ist, denn Sie haben Partner, die etwas registrieren oder was auch immer, oder? Ich kann Automatisierungen erstellen, die diese Informationen aufnehmen und an jeden innerhalb der Organisation oder außerhalb der Organisation senden.
Wie ich bereits sagte, gibt es die Möglichkeit für Teammitglieder, Dinge zu tun, die in der Vergangenheit vielleicht nicht mit dem Aufbau eines Webservers vergleichbar sind, der bestimmte webbasierte Dinge erledigt, aber dennoch Teil der Datenerfassung für dieses Unternehmen ist. Es wird wirklich so, wenn wir alle in irgendeiner Weise online sind, in irgendeiner Weise, wie auch immer Sie sind, Sie sind bloßgestellt, richtig. Du interagierst in der einen oder anderen Form, ja.
Chris Herrera: Und ich denke, Tom zu Ihrer Frage von vor einer Minute über die Teams, die normalerweise für diese Tools verantwortlich sind oder erwartet werden. Ich denke, es macht Sinn, dass die Sicherheit diese Verantwortung in der Vergangenheit und jetzt auch hatte. Da ASMs jedoch nicht nur Sicherheitsinformationen bereitstellen können, sondern auch, wie wir bereits erwähnt haben, ein Inventaristool verwenden können, kann ich verstehen, warum dies für Teams ohne Sicherheitsfragen sehr nützlich wäre. Im Bereich Sicherheit arbeite ich oft mit verschiedenen Teams und verschiedenen Kunden zusammen und analysiere Protokolle und was auch immer.
Ich präsentiere ihnen, hey, hier sind einige Domains, die einige Angriffe erlebt haben, und es ist immer interessant für mich, wenn ich auf einen Fall treffe, wo die Antwort von ihnen ist oh wow, ich dachte, wir schalten diese Domain vor 12 Monaten aus und es stellt sich heraus, dass sie immer noch aktiviert ist. Es ist immer noch sehr offen für das Internet. Es gibt immer noch viele Angriffe. Daher kann der Bestandsaspekt von IT-Mitarbeitern, die nicht sicherheitsrelevant sind, sehr häufig genutzt werden und sollte sogar je nachdem, wie einfach es zu verwenden ist, vielleicht sogar genutzt werden.
Tom Gorup: Ja, ich liebe das und, Jeff, über die Angriffsfläche zu sprechen ist viel größer als einfach im offenen Port zu bleiben und das in Domänen zu binden. Wir haben, Sie wissen schon, Subdomänen-Übernahmen. Sie verlassen eine Domain, die an einen Drittanbieter gekoppelt wurde, und drei Jahre später wird sie entführt und nun Malware bereitgestellt, die dann Ihre Domain auf die schwarze Liste bringt. Das ist das Problem aller. Das ist ein Geschäftsproblem als Ganzes. Aber wenn man weiter geht und sich anschaut, weiß man, dass E-Mails kommen, das ist intakter Faktor.
Obwohl es Tools für das Angriffsflächenmanagement gibt, ist die Angriffsfläche selbst ein umfassenderes Gespräch, das jeden Aspekt des Unternehmens einbezieht und sich nicht nur auf das beschränken kann, was das Sicherheitsteam überwacht, oder? DIE IT muss einbezogen werden, die Technik muss einbezogen werden, und das Marketing muss einbezogen werden. Alle diese Teams müssen ein Gespräch miteinander führen, um das Unternehmen effektiv zu schützen.
Jeff Patzer: Eine kurze Frage für dich, Tom, dazu und auch Chris. Chris, du redest davon, hey, ich sehe mir Protokolle an, als ob ich Protokolle durchsehe. Ich meine, viele Leute schauen sich nicht die Loglines an, oder? Als ob du ihnen das zeigst und sie sind wie jetzt, das ist die Matrix, ich tue das nicht. Was denken Sie über die Arten von Datenvisualisierungen, mit denen die Angriffsfläche besser an Personen kommuniziert werden kann, die Sie kennen, sie stammen vielleicht nicht aus einem technischen Hintergrund. Sie kommen nicht aus einem IT-Hintergrund, wo sie jeden Tag aufstehen und sich Protokolllinien ansehen, wo man ihnen etwas geben kann, das wie die Matrix darunter erklärt. Was denken Sie, was denkt Ihr Kerl darüber, wie Sie das effektiv tun können?
Chris Herrera: Oh Mann, das ist so eine gute und interessante Frage. Mein erster Gedanke ist, dass ich nie sehr gut in der Datenvisualisierung war, aber ich kenne sie, wenn ich sie sehe, und ich kenne eine gute Datenvisualisierung, wenn ich sie sehe. In meinem Kopf sehe ich diese flüchtige Idee, dass ich visuell sehen möchte, wie es aussieht, wenn ich alles aus einer Perspektive einer Webanwendung habe. Ich möchte sehen, welche Domains ich für das Internet habe. Ich will, dass sie entsprechend gruppiert werden, was auch immer das bedeutet. Ich möchte dann in der Lage sein, zu sehen, welche Versionen von welcher Software sie ausführen. Klicken Sie in einer idealen Welt auf und deaktivieren Sie, um zu sehen, welche Schwachstellen auf diese verschiedenen Endpunkte zutreffen können. Vor allem aber möchte ich eine visuelle Sicht, um auf hoher Ebene zu sehen, was genau vor sich geht, und dann in der Lage sein, von dort aus etwas genauer einzugehen.
Tom Gorup: Ja. Ich würde darauf doppelt tippen und sagen, dass ein Knotendiagramm super leistungsfähig ist. Ich sehe, dass es in einer Reihe von verschiedenen Facetten, wie in einem Winkel, wie ein Vorfallsreaktionsprozess ist, um den Fortschritt eines Angreifers zu zeigen. Log4j war ein gutes Beispiel dafür. Log4j aus der Sicht der Reaktion auf Vorfälle ist ein MDR-Standpunkt eine Aktivität nach kompromittiertem Eingriff, weil es sich um einen Zero-Day-Angriff handelt. Sie haben keine Unterschriften dafür, oder? Als log4j rauskam, hatte niemand eine Signatur für einen log4j-Exploit, weil niemand davon wusste. Aber was wir hörten, war ausgehender Kommandoverkehr.
Wenn Sie anfangen könnten, eine Vielzahl von Ressourcen zu nutzen, die auf einzelne Befehls- und Kontrollserver zugreifen, dann meinen Sie, kompromittierte Assets schneller zu erfassen, aber woran haben sie dann eine Verbindung hergestellt? Und genau hier, wie die Knotenvisualisierung, hilft mir, Verbindungen herzustellen, die man sonst nicht durch Protokolle selbst machen könnte. Ich stelle mir immer vor, es ist wie Batman-Sonar, oder? Diese Ansichten werden in Ecken und Stellen angezeigt und Verbindungen werden angezeigt, an denen Sie sie sonst nicht durch Knotendiagramme gesehen hätten. Ich kann den ganzen Tag über auf Knotendiagrammen rumlaufen.
Chris Herrera: Ich meine, wer kann das nicht?
Jeff Patzer: Ja, wenn du jemals sehen willst, was ein sehr eigensinniger DataViz-Typ wäre, dann ist Chris Edward Tufte der Typ. Er hat so, als ob die bahnbrechenden Arbeiten daran so aussehen sollten. Er ist sehr eigensinnig, aber er hat ein paar gute Sachen.
Tom Gorup: Liebe es. Das werde ich mir ansehen. Das klingt alles toll für mich. Ich setze dieses Tool ein, wir nennen es Attack Surface Management, und plötzlich habe ich eine Bestandsaufnahme aller Ressourcen, die für das Internet offen sind, Portnummern, APIs, Anwendungsdienste, alles. Ich weiß, wie sie verwundbar sind und wie sie angegriffen werden können. Und alles wird in einer ziemlich No Graph dargestellt, oder? Was könnte also schief gehen? Welche Herausforderungen hätten Unternehmen derzeit?
Chris Herrera: Nun, nichts. Du bist an diesem Punkt fertig.
Tom Gorup: Ja. Richtig. Legen Sie es auf.
Chris Herrera: Nein, ich denke, es ähnelt einigen der Themen, über die wir vorher gesprochen haben, bei denen viele dieser Teams zusammenarbeiten, obwohl jedes einzelne Team eine so unterschiedliche Art von Arbeit erledigt und es offensichtlich viele lokale Experten in verschiedenen Bereichen gibt. Aber die Art der Ausgabe dieser ASMs, über die wir heute sprechen, und wie wir zuvor gesprochen haben, ist die Art der Ausgabe für viele verschiedene Teams sehr nützlich. Ich schätze, diese Art geht auf alle Teams zurück, die zusammenarbeiten müssen, um Informationen auszutauschen und zusammenzuarbeiten.
Dies ist ein Tool, das nicht nur die Effizienz deutlich erhöht, sondern auch, wissen Sie, das Wasser für alle erhöhen kann, indem es das Wissen aller über die Vorgänge unter der Haube hinter den Kulissen erhöht und einen Weg nach vorn vorgibt, um sicherzustellen, dass Ihre Sicherheitslage nicht schlechter wird und im Idealfall deutlich besser wird.
Jeff Patzer: Ja, ich meine, eine Sache, an die ich denke, ist, wie man die diskreten Arbeiten auflöst, die dafür passieren müssen? Es ist hart, denn wenn du sagst, okay, ich muss mich an die Sicherheit wenden, kann so etwas von der Haltung leicht sein. Einige davon könnten schwieriger sein, wie eine Aktualisierung Ihrer Version von WordPress. Ich weiß nicht, vielleicht ist das einfach, vielleicht nicht. Aber wie das Aktualisieren von Code-Paketen, besonders zwischen einer großen Version, wie es eine Menge Arbeit erfordert, um sich diese Dinge anzusehen und zu sagen, Sie wissen, dass ich dabei etwas kaputt machen werde, das bereits in Produktion ist, oder? Wie aus der Sicht eines Entwicklers, als ob es einfach genug klingt, ja, gehen Sie einfach auf die Aktualisierung dieser Nebenversion, nicht so schlechte Hauptversionen. Es kann wirklich schwierig sein, das effektiv zu tun. Also, ich weiß es nicht.
Für mich ist es fast wie die Sicherheitshaltung. Arbeit, die eingeht, ist fast wie Refactorarbeit oder Umgang mit altem Code, um den man sich kümmern muss, richtig? In manchen Sinnen ist es fast wie eine Arbeit oder es ist nicht der kreative Aspekt des Bauens. Es geht zurück und sieht sich an, was du getan hast, und mag es, Dinge zu reparieren und solche Dinge zu tun. Und so denke ich, dass jedes Werkzeug, das Sie haben, helfen sollte, diese diskrete Arbeit zu brechen, damit Sie es den Eigentümern zuordnen können, um Personen zuzuweisen, die die Verantwortung dafür übernehmen können. Denn am Ende des Tages, wenn du, wie ich sagte, ein komplexes System hast, wirst du viele verschiedene Dinge haben, die passieren müssen. Und dass Sie sicherstellen können, dass Sie das verwalten und dann prüfen können und wie Ihre Projekte dabei nachverfolgen können, als ob der eigentliche Prozess der Arbeit genauso wichtig ist wie das Wissen, dass Sie es tun müssen, glaube ich.
Tom Gorup: Ja, ja. Das erste, was mir in den Sinn kommt, sind messbare Ergebnisse. Das höre ich oft von Kunden. Ich höre ständig zwei Fragen von Kunden: Wie können Sie mich messbarer sicherer machen? Wie kannst du das messen? Es hat mich besser gemacht, mich stärker gemacht. Und was ist dann das Wichtigste, woran ich arbeiten muss? Effektive Priorisierung.
Gut, also wissen Sie, wenn Sie das durchdenken, weil ich denke, dass Sie zu Ihrem Punkt eine Menge dieser Arbeit auch undurchsichtig sein kann. Wie kann ich dieses Problem tatsächlich lösen? Ist es eine Codeänderung? Handelt es sich um eine Konfigurationsänderung? Vielleicht kann ich es gar nicht lösen. Vielleicht müssen wir dieses Risiko akzeptieren. Wie sieht dieser Prozess aus? Also ja, das ist ein guter Rat.
Jeff Patzer: Und ich denke, eine gute Sache, an die ich gerade denken musste, ist Rauschen, wie das Rauschen-zu-Signal-Verhältnis. Es ist also so, als ob das Tool Ihnen hilft, herauszufinden, was das Wichtigste ist. Und wenn es zu viele Dinge zu indizieren ist, ist das nicht so eine große Sache. Das ist eher eine Art Warnung. Wie, hey, das könnte vielleicht etwas sein, worüber Sie sich Sorgen machen sollten, wie zum Beispiel helfen, das Rauschen-Signal-Verhältnis zu unterscheiden. Es ist genauso wichtig, denn zu wissen, worauf man sich konzentrieren sollte, ist es das, was man anfangen muss, richtig?
Chris Herrera: Richtig. Wenn Sie 1000 Benachrichtigungen erhalten, die alle eine niedrige Priorität haben, können Sie denken, dass Sie sich an einer viel schlechteren Stelle befinden, als Sie es tatsächlich sind.
Ich fühle mich, als wäre das deine Kampfzone, oder Chris? Aktive Priorisierung mit Kunden. Irgendein Szenario fällt mir ein, wo es so ist, Mann, sie hätten daran arbeiten sollen, oder du weißt schon, oder vielleicht hast du eine schlechte Empfehlung abgegeben. Das würde ich gerne hören.
Chris Herrera: Das ist gut. Nein, ich habe noch nie eine schlechte Empfehlung abgegeben. Ihre erste Frage, die ich durch die Analyse gehe, ist ein wenig Hintergrundwissen für mich, wenn ich über die Zusammenarbeit mit meinen Kunden spreche, helfe ich ihnen, ihre Webanwendungen zu schützen. Und oft, wenn ich meine Überprüfung, meine Empfehlungen und alle Anpassungen vorstelle, die sie meiner Meinung nach an ihren Sicherheitsprodukten vornehmen sollten, liegt das daran, dass ihre Anwendungen von Anfang an nicht mit Sicherheitsaspekten erstellt wurden. Aber nicht nur das, wurden auch nicht so geschrieben, dass von ihrer Seite leicht Änderungen vorgenommen werden können.
Aus unserer Sicht, aus der Sicht meines Sicherheitsteams, können wir virtuelle Patches innerhalb der Anwendung durchführen, indem wir benutzerdefinierte Sicherheitsregeln erstellen, alles in dieser Richtung. Ich denke, dass diese Art von Antwort auf die Frage nach der Durchführung von Sicherheitsüberprüfungen und wie dies verdeutlichen kann, wie Kunden besser arbeiten können. Und weißt du, was meine schlechten Empfehlungen angeht, habe ich nie irrtümlich ein falsch positives Verhalten identifiziert.
Jeff Patzer: Ich habe es nie getan. Das ist nie passiert.
Chris Herrera: Ich glaube, ich war früher in meiner Karriere vielleicht etwas übereifrig, wenn es darum ging, bestimmte IP-Adressen zu empfehlen oder auf die schwarze Liste zu setzen. Wenn Sie sich damit wohler fühlen, ist es zu diesem Zeitpunkt eine letzte Verteidigungslinie. Aber ja, das ist wahrscheinlich die schlimmste Entscheidung, die jemals getroffen wurde, kleine Fehler wie diese.
Tom Gorup: Ich denke, Sie sprechen von der Leistung eines ASM, dass Sie in der Lage sind, die Risiken Ihres Unternehmens, Ihre Angriffsfläche und die Risiken, die Ihr Unternehmen eingeht, zu analysieren und Wege zu finden, diese Risiken mit den verfügbaren Tools zu mindern. Manchmal ist Patching etwas, das Sie heute nicht erreichen können. Ich habe an einem Vorfall gearbeitet, den ich nicht weiß. Vielleicht vor zehn Jahren gab es eine forensische Untersuchung in einem ihrer wichtigsten Assets, die mit Conficker infiziert wurde.
Ich weiß nicht, ob Sie sich an Conficker erinnern und diese Maschine könnte heute noch kompromittiert sein, weil ihre Antwort darauf war, dass diese Maschine uns zu viel Geld pro Minute bringt. Es hat einen Prozess durchgeführt, der ihnen zu viel Geld einbrachte. Ihre Entscheidung war, es zu lüften, nur um es aus dem Netz zu nehmen, es weiter funktionieren zu lassen, aber es blieb infiziert. Ich glaube, sie haben sich darauf angemeldet, dass man sich nicht mit dem Netzwerk verbinden kann, und so haben sie es gelöst. Aus geschäftlicher Sicht war es nicht Wert, diese Maschine herunterzufahren und den damit verbundenen Umsatz zu riskieren. Sie würden die IT-Verarbeitung lieber in einem kompromittierten Zustand halten.
Ich bin sicher, es gibt viele Windows XP-Maschinen, die noch in gewissem Maße in Produktion sind, richtig. Genauso wie wir das richtige Tool haben, obwohl die WAF großartig ist, ist das virtuelle Patching, wie ich denke, ein großartiges Beispiel, wo wir das jetzt nicht patchen können. Was tun wir in der Zwischenzeit? Wie können wir das lösen und Ihre Expertise nutzen, ist das eine großartige Empfehlung, eine Art nuancierter Frage.
Ich dachte, mit einem ASM gibt es einen Unterschied zwischen On-Prem und Cloud? Würden sich die Ergebnisse ändern, würde sich der Wert des Werkzeugs ändern? Was würde er von diesen beiden Lösungen erwarten?
Chris Herrera: Oh, wow. Sofort denke ich darüber nach, also könnte es so viele Veränderungen geben. Am Ende des Tages tun sie nur das Gleiche, was das Ziel angeht, nämlich Inventar zu identifizieren, herauszufinden, wo die Schwachstellen sind usw. Aber On-Premise oder Cloud-basiert, das ist irgendwie so. Ich meine, es ähnelt vielen Sicherheitsprodukten und den Entwicklungen, die sie alle in den letzten zehn Jahren angenommen haben.
Was die WAFs betrifft, so waren zumindest die WAFs ausschließlich vor Ort. Es handelt sich um sehr teure Geräte mit mehreren Hunderttausend Dollar, die auf Sie beschränkt waren, wissen so viel Rechenleistung wie ein einziger Computer. Die meisten von ihnen sind jetzt Cloud-basiert und die Benutzer müssen sich keine Gedanken darüber machen, wie viel Datenverkehr sie überprüfen können oder was in dieser Richtung geschieht. Bei einem Cloud-basierten ASM-System und einem On-Premise-System hätte das viele der gleichen Ähnlichkeiten in Bezug auf technische Funktionen und Computing-Funktionen.
Aber nicht nur das. Es würde die Dichotomie dahingehend haben, wer für die Änderungen an der zugrunde liegenden Architektur verantwortlich ist. Man kauft das Stück Hardware und dann muss man sicherstellen, dass all diese Dinge funktionieren. Wenn es sich hingegen um eine Cloud-basierte Lösung handelt, kann diese in den Zuständigkeitsbereich derjenigen fallen, von denen Sie die Nutzungsrechte für den Dienst erwerben oder nutzen. Außerdem hätten sie andere Funktionen, die wiederum den anderen Sicherheitsprodukten vor Ort und in der Cloud ähneln.
Ein cloudbasiertes ASM hätte also vermutlich deutlich mehr Funktionen, was das proaktive Scannen außerhalb des eigenen Netzwerks und das Scannen über das Internet auf der ganzen Welt betrifft. Während sich eine On-Premise-Lösung zumindest meiner Meinung nach auf ihre eigene Umgebung beschränken könnte. Was Sinn machen könnte, wenn das alles ist, was dir wichtig ist. Aber wenn Sie sehen möchten, was noch vorhanden ist oder was Angreifern aus ihrer Perspektive gegenüber Ihrer Umgebung zur Verfügung steht, wäre dies ebenfalls eine Erwägung.
(Jeff Patzer) das würde ich noch hinzufügen, Chris. Ich glaube, manchmal denken die Leute auf der Premise, dass man Hardware besitzt, man seine eigene Hardware betreibt. Ich denke, das war schon lange so. Aber es kann auch die Idee eines Plätzen geben, in dem Sie Ihre eigene Software betreiben, und Sie sind Eigentümer dieser Software. Nehmen wir es also wie ein Open Source-Paket irgendeiner Art, bei dem Sie entschieden haben, dass Sie wissen, anstatt etwas von Grund auf selbst zu erstellen, nehmen Sie eine vorhandene Open Source-Sache, Sie werden es innerhalb Ihres eigenen Cloud-Netzwerks ausführen, aber Sie verwalten es, richtig.
Das Ziel besteht darin, dass Sie nicht wissen, dass Sie einen Drittanbieter-Service kaufen, für den Sie bezahlen und der von Ihnen verwaltet wird, sondern dass Sie tatsächlich die Verwaltung übernehmen, selbst wenn er noch auf einem Cloud-Skalierer ausgeführt wird. Für mich ist das Ergebnis immer noch das gleiche, als ob Sie immer noch die gleichen Dinge tun müssen, die Sie getan haben, egal ob Sie ein Drittanbieter-Ding verwenden oder ob Sie Ihr eigenes Open Source-Paket mit irgendeiner Software betreiben, die das sein könnte. Ich denke, an diesem Punkt, um es zu unterscheiden, ist es keine große Zeitnutzung, denn am Ende des Tages werden sie alle einfach in irgendeiner Form bloßgestellt und es kann von supereinfach zu sehr komplex werden und alles, was das einfängt, ist wichtig.
Tom Gorup: Ja, das ist interessant. Der einzige Unterschied, und es war irgendwie auffallend in meinem Kopf, war die verteilte Natur der Cloud und die Fähigkeit, von verschiedenen Orten auf der Welt aus zu scannen. Wie sieht mein Netzwerk aus China aus? Wie sieht es aus Russland aus? Wie sieht es aus Lettland, im Vergleich zu vielleicht, wo meine Kunden sind? Wie sieht es aus ihrer Sicht aus? Vielleicht könnte es interessant sein, die Welt auf diese Weise aufzuteilen und anders zu verwalten. Aber gleichzeitig, wissen Sie, ist Geofencing mit der zunehmenden Nutzung von ORB-Netzwerken und funktionierenden Relaisboxen praktisch tot. Das sollte keine Rolle spielen. Wir sollten es sperren, egal wo es herkommt.
Das war großartig. Jeff, lassen Sie mich die letzten Gedanken über ein Angriffsflächenmanagement eröffnen. Abschließende Gedanken.
Jeff Patzer: Am Ende des Tages betrachte ich ASM als ein weiteres Tool, das Ihnen Einblicke in Dinge gibt, die Sie aufbauen, Dinge, die Sie sich bewusst sein müssen. Ich habe das schon mal gesagt, ich sage es noch einmal, ich sage es sofort. Kein Werkzeug ist ein Ersatz für kritisches Denken. Am Ende des Tages müssen Sie sich ansehen, was es Ihnen sagt, und Sie müssen das verstehen, um etwas tun zu können, das Sinn macht. Sie können alle Werkzeuge der Welt kaufen, aber wenn Sie nicht da sitzen und darüber nachdenken, was ich am Ende des Tages zu erreichen versuche, wird Ihnen das nichts nützen.
Chris Herrera: Ja. Meine letzten Gedanken werden sein, dass einige Leute es vielleicht als ein bisschen Polizisten betrachten, aber KI wird offensichtlich nicht in Kürze irgendwohin gehen, und wenn überhaupt, wird sie einfach mehr Fuß fassen, überall wo man hingeht. Jeff erwähnte, dass es keinen Ersatz für kritisches Denken gibt. Ich verwende KI-Chat, ChatGPT fast jeden Tag für meinen Job und natürlich kann es meinen Job nicht für mich erledigen, aber es bringt mich definitiv in die richtige Richtung. Der Grund, warum ich das hier erwähne, ist für ASM, in Bezug auf Empfehlungen, in Bezug auf Fortschritte, aber auch in Bezug auf die schiere Datenmenge, die in der Ausgabe eines solchen Tools dargestellt werden kann. Ich denke, es wird fast zwingend notwendig sein, dass KI eine Rolle spielt, ob sie riesig ist, ob sie klein ist, wenn es darum geht, sie Menschen zu präsentieren und sie menschlich zu relatantieren.
Tom Gorup: Ja, das liebe ich. Ich liebe diesen Denkprozess, besonders wenn wir verschiedene Datensätze kombinieren. Ich komme wieder auf die Sicherheitslage, Sichtbarkeit, Gefährdungen und Bedrohungen zurück. Angriffsfläche-Management bringt uns viel Transparenz, viele Risiken, die mit Ihren Bedrohungen verknüpft sind. Diese Informationen werden zu Informationen, die Ihnen helfen, Entscheidungen zu treffen und Ihre Sicherheitslage insgesamt anzupassen. Aber für Jeff ist kritisches Denken eine Voraussetzung. Du kannst es nicht einfach einstellen und vergessen. Wie jedes andere Werkzeug. Und was Sie sagen, KI ist nicht immer auf dem richtigen Punkt, als ob Sie Ihre Arbeit nicht für Sie erledigen können, aber sie kann Ihnen helfen, Sie zu leiten.
Ich denke, das ist eine tolle Unterhaltung, viel Spaß, und ich könnte wahrscheinlich weitere 30-40 Minuten damit verbringen, über Attack Surface Management zu reden und alle Kaninchenlöcher zu graben. Aber wir müssen aufhören. Das ist alles, was wir heute haben. Danke, dass Sie uns auf ThreatTank begleiten.
Wenn Sie über die neuesten Bedrohungsinformationen von Edgio auf dem Laufenden bleiben möchten, können Sie sich online unter edg.io anmelden. Jeff und Chris, danke, dass du wieder gekommen bist. Das war fantastisch. Ich weiß Ihre Zeit zu schätzen.