Häufig gestellte Fragen zu External Attack Surface Management (EASM)

Ivanti Neurons for External Attack Surface Management (EASM) verfügt über Technologiepartnerschaften, die die Erkennung von Assets und Gefährdungen ermöglichen und dabei bekannte Industriestandards wie das MITRE ATTCK-Framework, NIST und OWASP einhalten.

1. Welche Protokolle werden zur Asset-Erkennung verwendet?
   
   Ivanti Neurons für EASM-Tools verwenden Layer 4- und Layer 7-Protokolle, um offene Ports und Gefährdungen bei Assets zu erkennen. Layer 4 umfasst UDP, TCP und ICMP. Layer 7 beinhaltet einen größeren Satz häufig verwendeter Protokolle und etablierter Leitlinien.

2. Wie werden kompromittierte E-Mails ermittelt?
   
   Ivanti Neurons für EASM-Tools ermitteln solche E-Mails durch Analysieren öffentlich zugänglicher Quellen wie DNS-Einträge, Sammlungen kompromittierter Daten und OSINT-Feeds.

3. Wie werden Datenlecks erkannt?
   
   Ivanti Neurons for EASM integriert Informationen aus einer Vielzahl vertrauenswürdiger Sicherheitsquellen, um potenzielle Sicherheitslücken im Zusammenhang mit einem Unternehmen zu identifizieren. Hierzu gehört das Erkennen durchgesickerter Anmeldeinformationen, offengelegter E-Mail-Adressen und anderer vertraulicher Daten, die von Angreifern ausgenutzt werden könnten. Durch frühzeitige Einblicke in derartige Risiken unterstützt Ivanti Unternehmen dabei, ihre Angriffsfläche proaktiv zu sichern, bevor es zu Bedrohungen kommt. Wir aggregieren Informationen aus mehreren geprüften Quellen, darunter Datenbanken zu Datenlecks und Feeds aus der Sicherheitsforschung. Dadurch gewährleisten wir Genauigkeit und Relevanz und wahren gleichzeitig die strikte Vertraulichkeit der Erfassungsmethoden.

4. Wie werden Assets und insbesondere laterale Domänen erkannt?
   
   Der Begriff "lateral" bezieht sich auf eine der im MITRE ATT&CK-Framework verwendeten Taktiken, nämlich "Laterale Bewegung". Ivanti verwendet eine Kombination aus öffentlich verfügbaren Daten und Sicherheitsdatentechniken, um das erweiterte Domänenökosystem eines Unternehmens abzubilden. Dadurch wird sichergestellt, dass Sicherheitsteams vollständigen Einblick in ihre externe Angriffsfläche haben, ohne sich ausschließlich auf interne Asset-Inventare verlassen zu müssen.

5. Wie wird die Anfälligkeit eines Assets bestimmt?
   
   Die Ivanti Neurons for EASM-Tools bewerten Anfälligkeiten anhand mehrerer Signale, darunter öffentlich bekannt gewordene Sicherheitsschwachstellen, Fehlkonfigurationen und veraltete Softwareversionen. Dieser Ansatz gewährleistet eine genaue Erkennung und minimiert gleichzeitig Fehlalarme. Er liefert Sicherheitsteams umsetzbare Erkenntnisse, die es ihnen ermöglichen, das Risiko effizient einzugrenzen.

6. Sind alle im EASM gemeldeten Assets öffentlich ermittelbar? Die Assets werden entweder als privat oder als öffentlich klassifiziert. Was bedeutet privat in diesem Zusammenhang?
   
   Ja. Alle Assets werden öffentlich ermttelt, aber manchmal kann es aufgrund einer DNS-Fehlkonfiguration passieren, dass das Host-Asset (Subdomäne) in einen der internen IP-Bereiche aufgelöst wird. Wenn die IP-Adresse eines Assets in einen der internen IP-Bereiche (Klasse A, Klasse B und Klasse C) aufgelöst wird, wird dieses Asset als privat gekennzeichnet.

7. Wenn eine API, ASN oder ein Netblock als Seed konfiguriert ist, sucht der Scan dann ausschließlich nach ähnlichen extern veröffentlichten APIs oder diesen bestimmten Asset-Typen oder identifiziert er auch andere Asset-Typen, wie etwa Server innerhalb derselben Domäne?
   
   Wenn eine API als Seed konfiguriert ist, identifiziert der Scan den Server, auf dem die API gehostet wird, führt einen Port-Scan durch und erkennt Anfälligkeiten auf diesem Server. Es wird jedoch nicht über den angegebenen Seed hinaus nach ähnlichen extern veröffentlichten APIs gesucht. Für eine ASN (Autonomous System Number) identifiziert der Scan alle zugehörigen Netzblöcke (CIDRs), zählt die einzelnen IP-Adressen innerhalb dieser Netzblöcke auf, sucht nach offenen Ports und erkennt Anfälligkeiten. In beiden Fällen konzentriert sich der Scan auf die mit dem Seed verknüpfte Infrastruktur, statt allgemein nach anderen Asset-Typen wie Domänen oder unabhängigen Servern zu suchen, sofern diese nicht ausdrücklich mit dem Bereich des Seeds verbunden sind.

8. Gibt es Abweichungen bei den Scan-Ergebnissen, wenn eine API, ASN oder ein Netblock als Seed verwendet wird, im Vergleich zur Verwendung einer Domäne oder URL?
   
   Ja. Die Scan-Ergebnisse variieren je nach Typ des Seed-Assets, da jedes den Umfang der Ermittlung und die Anfälligkeitenerkennung auf unterschiedliche Weise beeinflusst. Wenn beispielsweise eine Domäne als Seed verwendet wird, kann der Scan im Internet offengelegte Anmeldeinformationslecks aufdecken und eine Subdomänenaufzählung durchführen. Dies sind Funktionen, die bei API-, ASN- oder Netblock-Seeds nicht verfügbar sind, da diesen der für solche Erkenntnisse erforderliche Domänenkontext fehlt. Im Gegensatz dazu konzentrieren sich API- und Netblock-Seeds eher auf Einblicke auf Serverebene (z. B. Ports und Anfälligkeiten), während ASNs eine breitere Ansicht auf Netzwerkebene bieten, was je nach Ausgangspunkt zu unterschiedlichen Ergebnissen führt.

9. Gibt es bestimmte Szenarien oder Anwendungsfälle, in denen das Festlegen einer API oder ASN als Seed für die Asset-Ermittlung oder Gefährdungserkennung besonders effektiv ist?
   
   Ein API-Seed funktioniert ähnlich wie ein URL-Seed und liefert vergleichbare Ergebnisse, wie z. B. Serverdetails, offene Ports und Anfälligkeiten, die mit diesem Endpunkt verbunden sind. Dies ist besonders nützlich, um Gefährdungen in bestimmten Diensten genau zu ermitteln. ASNs hingegen bieten sich vor allem für Unternehmen an, die Rechenzentren oder große Netzwerkinfrastrukturen verwalten. Diese Unternehmen legen oft Wert darauf, offene Ports und die dahinter liegenden Dienste auf ihren Servern zu identifizieren. In diesem Zusammenhang zeichnet sich ein ASN-Seed dadurch aus, dass er eine umfassende Ansicht des Netzwerks bietet und so eine effektive Asset-Ermittlung und Gefährdungserkennung über die eigenen IP-Bereiche hinweg ermöglicht.