Attack Surface Management: Externe Angriffsfläche kennen und reduzieren

"Sie können nicht schützen was Sie nicht kennen." Attack Surface Management macht ernst damit. Es geht nicht mehr darum ein definiertes Asset-Set zu schützen - es geht darum kontinuierlich alle Wege zu kennen, durch die Angreifer eindringen könnten.

Was ist die Attack Surface?

Die Physical Attack Surface umfasst physische Zugangspunkte wie Büros, Serverräume, USB-Ports an Workstations und öffentlich zugängliche Terminals.

Die Digital Attack Surface teilt sich in externe und interne Anteile auf. Die externe Angriffsfläche (Perimeter) umfasst alle extern erreichbaren IPs und Domains, öffentliche Web-Apps, APIs und VPN-Endpunkte, E-Mail- und DNS-Server, Cloud Storage (S3-Buckets, Azure Blobs) sowie exponierte Management-Interfaces wie RDP, SSH und die Kubernetes API. Die interne Angriffsfläche entsteht nach einem initialen Zugang und umfasst die erreichbaren internen Systeme sowie Ziele für Lateral Movement.

Die Third-Party Attack Surface besteht aus Lieferanten, Cloud-Providern und MSPs mit Zugang zu Systemen. Der SolarWinds-Angriff hat gezeigt: das schwächste Glied ist oft der Lieferant.

ASM ist deshalb schwierig, weil "Shadow Assets" - also unbekannte Systeme - entstehen: alte Test-Server die vergessen wurden, Entwickler-VMs in AWS ohne IT-Wissen, Cloud-Ressourcen die nach Projekten nicht gelöscht wurden, Subdomains auf alten IP-Adressen (Subdomain Takeover) und übernommene Unternehmen mit unbekannter IT. Dazu kommt Asset-Drift: Täglich werden neue Services deployed, von denen die IT-Abteilung nichts weiß. Laut Mandiant 2024 hatten 69 % der Organisationen eine Datenpanne durch unbekannte oder vergessene Assets. Ein durchschnittliches Unternehmen mit 1.000 Mitarbeitern hat 500 bis 2.000 externe Assets.

Asset Discovery

# Passive Reconnaissance: Subdomains via Certificate Transparency
curl "https://crt.sh/?q=%.firma.de&output=json" | \
  jq '.[].name_value' | sort -u

# Subfinder (aktive + passive Enumeration)
subfinder -d firma.de -all -silent

# Aktive Discovery: schneller External Scan
nmap -sV -p 1-65535 --open -T4 185.123.45.0/24

# HTTP-Probing und Technologie-Erkennung
cat subdomains.txt | httpx -title -tech-detect -status-code

# Vollständige EASM-Pipeline (Open Source):
subfinder -d firma.de -o subs.txt
cat subs.txt | httpx -o alive.txt -title -tech-detect
nuclei -l alive.txt -t nuclei-templates/ -severity critical,high -o vulns.txt

Shodan ermöglicht gezielte Suchen nach Organisations-Assets: org:"Firma GmbH" findet alle bekannten Assets, org:"Firma GmbH" port:22 zeigt SSH-Server, ssl.cert.subject.CN:"*.firma.de" findet Assets via Zertifikat. Censys bietet besonders umfangreiche Scan-Daten zu IPv4- und IPv6-Hosts. Über RIPE NCC lassen sich ASN und IP-Ranges einer europäischen Organisation ermitteln.

Exposure Assessment und Risikopriorisierung

Kritische Exposures mit sofortigem Handlungsbedarf:

Exponierte Management-Interfaces sind der häufigste Ransomware-Einstieg: RDP (Port 3389) öffentlich zugänglich, SSH ohne Zertifikat, Kubernetes API (Port 6443) ohne Authentifizierung, exponierte Datenbank-Ports (MySQL 3306, PostgreSQL 5432, Redis 6379 - Redis ohne Auth ermöglicht Datenzugriff und RCE) sowie Admin-Panels wie phpMyAdmin, Adminer oder pgAdmin ohne Authentifizierung.

Subdomain Takeover entsteht, wenn eine Subdomain auf einen nicht-existenten CNAME-Eintrag zeigt und ein Angreifer das Ziel registriert. Das Tool subzy erkennt solche Situationen automatisch.

Öffentlich zugängliche Cloud-Storage-Objekte (S3-Buckets, Azure Blobs) können mit aws s3 ls s3://firma-kundendaten --no-sign-request oder spezialisierten Tools wie AWSBucketDump geprüft werden.

Veraltete und verwundbare Versionen wie Apache 2.4.49 (CVE-2021-41773, RCE), ungepatchtes Outlook Web Access oder Citrix ADC werden durch Nuclei mit version-matching Templates erkannt. Abgelaufene oder schwache Zertifikate (TLS 1.0/1.1, SHA-1) lassen sich mit testssl.sh --full firma.de prüfen.

Risikoscoring-Framework:

Der kombinierte Risikowert ergibt sich aus Base Severity (CVSS 0-10) multipliziert mit einem Exposure-Faktor und der Asset-Kritikalität. Ein Internet-facing Dienst ohne Authentifizierung erhält den Faktor 3, mit Authentifizierung den Faktor 1,5, interne Systeme den Faktor 0,5. Produktionsdatenbanken erhalten den Kritikalitätsfaktor 3, Test-Server 0,5, Marketing-Websites 1. Werte über 8 erfordern sofortiges Handeln, 6-8 diese Woche, 4-6 diesen Monat.

EASM-Lösungen

Microsoft Defender External Attack Surface Management ist in Microsoft 365 Defender integriert, ermöglicht automatische Asset-Entdeckung für die eigene Organisation und bietet kontinuierliches Monitoring mit Integration in Sentinel und Defender for Cloud. Es ist Teil von M365 E5 Security oder als Add-on erhältlich.

CrowdStrike Falcon Surface (ehemals Reposify) deckt breite Asset-Klassen ab - Zertifikate, Cloud-Assets, Code-Repositories - und bietet einen Risk-Score pro Asset sowie eine API für die Integration.

Palo Alto Cortex Xpanse ist laut Gartner Marktführer, scannt täglich mehr als 6 Milliarden IPs weltweit, ordnet Assets automatisch Organisationen zu und deckt SaaS, Zertifikate, Cloud und IoT ab.

Open-Source-Alternative (Self-Hosted): OWASP Amass kombiniert mit Nuclei und einem einfachen Python-Flask-Dashboard mit SQLite ist ein kostengünstiger Ansatz für tägliche automatisierte Scans.

Integration mit Vulnerability Management: EASM entdeckt neue Assets, diese werden automatisch in Tenable oder Qualys importiert, ein Scan wird innerhalb von 24 Stunden ausgelöst, Findings werden in das Ticketsystem (JIRA/ServiceNow) übertragen und das Remediation-Tracking schließt den Prozess ab.

Metriken für ASM:

• Attack Surface Size: Anzahl externer Assets (Trendbeobachtung wichtig)
• High-Risk Exposures: Anzahl kritischer Exposures
• Mean Time to Discover New Assets: wie schnell werden neue Assets erkannt?
• Mean Time to Remediate Exposures: wie schnell werden Exposures behoben?
• Unknown Assets Discovered: durch EASM gefundene Assets, die vorher unbekannt waren