>_AYSOLI SECURITY HUB
THREAT AREA

Asset Inventory (Shadow IT)

Du kannst nur schützen, was du auch kennst. "Schatten-IT" – also Systeme ausserhalb der IT-Kontrolle – sind ein massives Sicherheitsrisiko, da sie oft nicht gepatcht werden und keine Sicherheits-Leitplanken besitzen.

Deine Strategie

Implementiere ein kontinuierliches, automatisiertes External Attack Surface Management (EASM). Nutze Cloud-Native Tools und externe Scanner, um neue Instanzen, Endpunkte und Schatten-Infrastruktur sofort nach deren Entstehung zu erfassen und zu bewerten.

Best Practices

  • Auto-Discovery: Nutze Tools, die das Internet kontinuierlich nach deiner IP-Range und deinen Domänen scannen.
  • Tagging: Erzwinge Tags in der Cloud (Owner, Zweck, Kritikalität) für jedes Asset bereits beim Deployment.
  • Hygiene: Deaktiviere ungenutzte Ports und lösche Test-Systeme nach definierten Zeiträumen automatisch.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-GOV-01

Policy Drift & Shadow Configurations

Unbemerkte Abweichung von Sicherheits-Standards.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-CLD-01

Shadow Cloud Assets

Entstehung von unkontrollierten Ressourcen durch "Wildwuchs".

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
External Attack Surface Management (EASM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.RA-1
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
External Attack Surface Management (EASM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.RA-1
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Automated Offboarding WorkflowGrundschutzMittel
CIS: 6.7NIST: PR.AC-2
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Credential Access
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Discovery
T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch
External Attack Surface Management (EASM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.RA-1
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
Hardware Asset TaggingGrundschutzNiedrig
CIS: 1.1NIST: ID.AM-1
T1526

Cloud Service Discovery

ATT&CK

Identifizierung von Cloud-Ressourcen und Berechtigungen.

Mitigiert durch
External Attack Surface Management (EASM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.RA-1
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Hardware Asset TaggingGrundschutzNiedrig
CIS: 1.1NIST: ID.AM-1
T1046

Network Service Discovery

ATT&CK

Portscan-basierte Erkundung aktiver Dienste im Netzwerk.

Mitigiert durch
External Attack Surface Management (EASM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.RA-1
T1087

Account Discovery

ATT&CK

Aufzählung interner Konten und Gruppenstrukturen nach erstem Zugriff.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Asset Inventory (Shadow IT) | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub