Attack Surface Management · Fortgale CTI
CTI · Capability 06 · Attack Surface Management

Was Ihr CMDB nicht sieht.

External Attack Surface Management: Outside-in-Discovery der externen Angriffsfläche, wie ein Angreifer sie sieht. Internet-facing Assets, ausnutzbare Schwachstellen, Shadow IT, nicht integrierte M&A, Cloud Misconfiguration, Credential Leaks. Erkannte Expositionen werden mit Threat Intelligence priorisiert (CISA KEV, EPSS, aktive Akteure) — keine Liste theoretischer CVEs, sondern eine Liste konkreter Risiken.

ASM-Assessment anfordern Die 5 Kategorien entdecken ↓
24hVollständiger Rescan
4-6hCritical Asset Rescan
< 15 MinAlert SLA Critical
Standards · Frameworks
NIST CSF
CISA KEV
EPSS
MITRE ATT&CK
Disziplin · Sources
Certificate Transparency
Passive DNS
OSINT
Internet Scanning
Das Problem

VM scannt was es kennt. Den Rest findet der Angreifer.

Klassisches Vulnerability Management ist inside-out: Es scannt, was das CMDB kennt. Aber der Angreifer startet nicht beim CMDB · er startet bei Shodan, Censys, Certificate Transparency, OSINT. EASM schließt die Lücke · Outside-in-Discovery wie der Angreifer.

01

Veraltete CMDBs · Shadow IT

Die meisten Organisationen haben 20-40% internet-facing Assets, die das CMDB nicht kennt. Shadow IT, M&A, externe Entwickler, Marketing.

02

CVE-Liste ohne Priorität

Tausende CVEs pro Jahr · nur wenige actively exploited. Ohne Korrelation mit KEV, EPSS und aktiven Akteuren patcht das Team überall oder nirgends.

03

Cloud & Secret Leaks unsichtbar

Öffentliche S3-Buckets, Secrets in GitHub, Environment Variables in Debug-Endpoints · außerhalb des Radars des klassischen VM, aber fully visible für den Angreifer.

Die Unterscheidung, die alles verändert

VM inside-out vs EASM outside-in.

Gleiche Disziplin (Vulnerability), entgegengesetzte Perspektive. EASM ergänzt das klassische VM · ersetzt es nicht.

Klassisches VM · inside-out
  • Scannt, was das CMDB kennt
  • Erfordert Agents oder Credentials
  • Mappt das deklarierte Inventory
  • Priorität: reiner CVSS Score
  • Frequenz: wöchentlich oder monatlich
Notwendig, nicht ausreichend
EASM Fortgale · outside-in
  • Discovery ohne CMDB · findet Shadow IT
  • Kein Agent, keine Credentials, keine Integration
  • Mappt das reale Inventory (CMDB + alles andere)
  • Priorität: CISA KEV + EPSS + aktive Akteure
  • Frequenz: voller Rescan 24h, Critical 4-6h
Komplementär · actor-aware
Die Methode · 4 Schritte

Von OSINT zur Prioritätsregel.

Vier dokumentierte Phasen · von der Outside-in-Discovery zur Prioritätsregel, abgestimmt auf die aktiven Akteure gegen Ihren Sektor.

  1. 01
    Mapping des Perimeters, wie der Angreifer ihn sieht

    Outside-in Discovery

    Discovery vollständig outside-in: kein Agent, keine Credentials, kein interner Zugriff. Sources: Certificate Transparency Logs (CT), Passive DNS, Internet-Wide Scanning, ASN Profiling, OSINT, Registrar Feeds.

    CT LogsPassive DNSInternet ScanASN Profiling
  2. 02
    Vom Asset zum Banner

    Enumeration und Fingerprinting

    Für jedes erkannte Asset: Enumeration von Ports, Diensten, Bannern, Software-Versioning, TLS-Zertifikaten, HTTP-Headern, Redirect Chain. Präzise Identifikation des Technologie-Stacks (Apache vs Nginx, IIS, Tomcat, Application Server, Framework).

    Port ScanBanner GrabTLS FingerprintStack ID
  3. 03
    Von der generischen CVE zur CVE, die Sie trifft

    Priorisierung mit CTI

    Erkannte Schwachstellen werden mit CISA KEV (Known Exploited Vulnerabilities), EPSS Score und den von der Fortgale CTI getrackten aktiven Akteuren korreliert. Nur was tatsächlich ausgenutzt wird gegen Ihren Sektor, steigt in der Priorität.

    CISA KEVEPSS ScoreActor CorrelationSector Match
  4. 04
    Vom One-Shot-Scan zur kontinuierlichen Überwachung

    Continuous Monitoring & Delta Alert

    Vollständiger Rescan alle 24 Stunden. Kritische Assets (VPN, Citrix, MOVEit, Fortinet) alle 4-6 Stunden. Real-time Alert auf Deltas: neu exponierte Assets, ablaufende Zertifikate, geänderte Banner-Version, neue KEV für Ihren Stack.

    24h RescanCritical 4-6hDelta AlertStack-aware KEV
Discovery-Kategorien

Fünf Expositions-Kategorien · vollständige Coverage.

Die fünf Expositionsfamilien, die das Fortgale-EASM kontinuierlich mappt · jede mit dedizierter Methodik und Quellen.

Kategorie 01

Asset Discovery

Domain · Subdomain · IP · ASN · Zertifikate

Discovery aller internet-facing Assets der Organisation: Domains und Subdomains (Root + Akquisitionen + Marken), IP-Ranges (ASN-owned + Cloud-Hosted), Zertifikate, API-Endpoints. Die meisten Organisationen entdecken 20-40% Assets, von denen sie nicht wussten, dass sie sie besitzen.

  • Certificate Transparency Kontinuierliches Monitoring der CT-Logs für Zertifikate, die auf eigenen Domains ausgestellt werden · findet nicht deklarierte Subdomains, bevor sie aktiv sind.
  • Passive DNS Historische Datenbank von DNS-Resolutions · ermöglicht das Auffinden stillgelegter Subdomains, die noch antworten.
  • ASN Profiling Mapping eigener oder genutzter ASN · identifiziert Cloud-Hosted (AWS, Azure, GCP) und On-Prem Assets.
  • Brand & Acquisition Tracking Nach M&A erworbene Domains, Brand-Protection-Domains, eigene Typosquatting-Domains.
  • API- & GraphQL-Endpoints Discovery von exponierten API-Endpoints, aktivierter GraphQL Introspection, exponierter OpenAPI/Swagger-Definitionen.
Kategorie 02

Vulnerability Intelligence

CISA KEV · EPSS · Exploitation in-the-Wild

Schwachstellen allein sind keine Priorität. Die Priorität ergibt sich aus der Korrelation mit realer Exploitation: aktive Ransomware-Gruppen, Mass-Exploitation-Kampagnen, Akteure mit Fokus auf den Sektor.

  • CISA KEV Catalog Tracking des CISA-Katalogs der aktiv ausgenutzten Schwachstellen · sofortige Benachrichtigung, wenn eine CVE Ihres Stacks erscheint.
  • EPSS Score Exploit Prediction Scoring System · Wahrscheinlichkeit der Ausnutzung in den nächsten 30 Tagen · kombiniert mit CVSS für ein zusammengesetztes Scoring.
  • Mass-Exploitation-Kampagnen Tracking von Mass-Exploitation-Kampagnen (Cl0p MOVEit, Akira Cisco ASA, Black Basta Citrix) · Alert, wenn Sie potenzielles Ziel sind.
  • 0-Day & N-Day im Verkauf Listing von Exploits, die auf Marketplaces verkauft werden · Korrelation mit CVEs Ihres Stacks.
  • Patch Lag Tracking Für öffentlich sichtbare Assets: Detection, wenn der Patch im Vergleich zur Veröffentlichung verzögert ist · Pressure Point für Remediation.
Kategorie 03

Shadow IT & M&A Discovery

Assets nicht im CMDB · Post-Acquisition · Ex-Mitarbeiter

Shadow IT ist das gefährlichste Asset: Niemand kennt es, niemand überwacht es, niemand aktualisiert es. Automatische Discovery über Brand Keywords, Executive Names, IP Correlation.

  • M&A Inheritance Assets übernommener Unternehmen, die noch nicht in den Hauptperimeter integriert sind · oft mit veraltetem Stack und ohne Monitoring.
  • Ex-Mitarbeiter / Entwickler Assets, die während der Entwicklung in persönlichen Tenants (AWS, Heroku, Vercel, Netlify) gehostet wurden · oft nach Ausscheiden vergessen.
  • Marketing & Vendor-Controlled Microsites, Landing Pages, Marketing-Kampagnen, die außerhalb des Haupt-IT-Perimeters veröffentlicht wurden.
  • Test / Staging exponiert Test- oder Staging-Umgebungen, die versehentlich im Internet veröffentlicht wurden (oft ohne Authentifizierung).
  • Marken-Akquisitionen Zum Brand-Protection erworbene Domains · oft nicht gewartet · Vektor für Typosquatting.
Kategorie 04

Cloud Misconfiguration

S3 · Azure Blob · GCS · Kubernetes · Docker · CI/CD

Cloud Misconfigurations gehören heute zu den häufigsten Ursachen für Data Breaches. Discovery öffentlicher Buckets, exponierter API-Server, Container Registries, Secrets in öffentlichen Repositories.

  • S3 / Azure Blob / GCS Öffentliche Buckets in eigenem Besitz oder bei Lieferanten · Content-Sampling zur Einschätzung der Sensibilität (PII, Code, Backups).
  • Kubernetes API exposed Öffentlich zugängliche kube-apiserver, etcd, kubelet · einer der am häufigsten ausgenutzten Vektoren 2024-2026.
  • Docker Registry & Helm Exponierte Container Registries · ermöglichen Image-Pull · oft mit Credentials in Environment Variables.
  • CI/CD Pipelines exponiert Jenkins, GitLab CI, GitHub Actions Runner öffentlich zugänglich · oft mit Zugriff auf Code und Secrets.
  • Cloudflare Worker · Vercel · Netlify Öffentliche Serverless-Deployments · oft mit Secrets in Environment, API Keys im Client-Side-Code.
Kategorie 05

Credential & Secret Leak

GitHub · Pastebin · Infostealer · Environment Leak

Secrets (API Keys, Passwörter, Zertifikate, .env) landen in öffentlichen Repositories, Paste Sites, Infostealer Dumps. Kontinuierliche Discovery, um Leaks vor der Ausnutzung zu identifizieren.

  • GitHub / GitLab Leaks Kontinuierliches Scanning öffentlicher Repos nach Secrets mit Kundenbezug (API Keys, AWS Credentials, .env, Private Keys).
  • Paste Sites & Gists Pastebin, GhostBin, Gist, RentryCo · Monitoring auf Code- oder Credential-Leaks.
  • Infostealer Dump Correlation Korrelation mit den im Dark-Web-Monitoring (Capability 05) indizierten Infostealer-Logs für exponierte Unternehmens-Credentials.
  • Environment Variable Leak Detection von Endpoints, die versehentlich Environment Variables exponieren (z.B. /env, /debug, /actuator).
  • Mobile App Reverse-Engineering Analyse der Mobile Apps des Unternehmens · Extraktion von API Keys, privaten Endpoints, Certificate-Pinning-Bypass.
Unter den meist-getrackten

Sieben Expositionen, die den Unterschied machen.

Ein Auszug der für das reale Risiko 2024-2026 relevantesten Expositionen · jede korreliert mit den Akteurs-Gruppen, die sie aktiv ausnutzen.

VPN/Edge exposed · 2024-2026 · top

Citrix NetScaler exposed

CVE-2023-3519 · CVE-2024-8534 · CVE Chains
Typ
Edge Device · VPN/Load Balancer
Coverage
Banner Version · Build · Admin Panel · Session Injection

Top-Vektor für Intrusion 2024-2026. Kontinuierliches Tracking exponierter Citrix-NetScaler/ADC-Versionen · Alert bei Versionen, die für aktiv ausgenutzte CVEs durch Black Basta, LockBit, RansomHub anfällig sind. Admin Panel exposed = critical.

KEV-listedTop Exploit 2024-26Mass ExploitationPre-Ransomware
Risk · Critical Exposition prüfen →
VPN/Edge · 2023-aktiv · KEV

Ivanti Connect Secure

CVE-2023-46805 · CVE-2024-21887 · CVE-2024-22024
Typ
Edge Device · SSL VPN
Coverage
Version Detection · Auth Bypass · Template Injection

Die Mass Exploitation 2024 forderte Opfer in allen Sektoren. Tracking anfälliger Versionen, Build-IDs, Admin-Panel-Konfigurationen.

KEV-listedMass exploitedAPT + Cybercrime
Risk · Critical Exposition prüfen →
VPN · 2024-aktiv · KEV

Fortinet FortiOS exposed

CVE-2024-21762 · CVE-2024-23113 · CVE Chains
Typ
Firewall · SSL VPN
Coverage
Build · Admin Panel · Vulnerable CVE Chain

CVE Chains, die aktiv von Akira, BlackBasta und APT-Gruppen ausgenutzt werden. Tracking exponierter FortiOS/FortiGate mit anfälligen Versionen oder öffentlichen Admin-Konfigurationen.

KEV-listedVPN ExploitationAkira Target
Risk · Critical Exposition prüfen →
File Transfer · 2023-aktiv

MOVEit Transfer exposed

Cl0p Mass Exploitation Pattern · CVE-2023-34362
Typ
File Transfer · SQL Injection
Coverage
Version Detection · Admin Path · Public URL

Vektor der Cl0p Mass Exploitation 2023 · hat Hunderte von Organisationen getroffen. Tracking von MOVEit-Transfer-Instanzen, die noch öffentlich exponiert sind.

Cl0p TargetSQL InjectionMass exploited
Risk · High Exposition prüfen →
Cloud Misconfig · ongoing

Public S3 / Azure Blob

AWS S3 / Azure Blob / GCS Storage
Typ
Cloud Storage Misconfiguration
Coverage
Bucket Discovery · Public Access · Content Sampling

Kontinuierliches Tracking öffentlich zugänglicher Cloud-Buckets im Besitz des Kunden oder verwaltet von Lieferanten. Content-Sampling (kein Download) zur Einschätzung der Sensibilität.

CloudData ExposureSupplier Risk
Risk · High Exposition prüfen →
CMS · 2024-aktiv

WordPress vulnerable Plugin

WordPress + Plugin (Elementor, WPBakery, Yoast, …)
Typ
CMS · Plugin Chain Exploitation
Coverage
Plugin Version · bekannte anfällige CVE · Admin Path

Kontinuierliches Tracking von WordPress-Sites im Besitz oder unter Kontrolle des Kunden (Marketing, Brand Site). Anfällige Plugins sind häufig Vektor für Defacement, SEO Poisoning, Malvertising.

WordPressPlugin ChainDefacement Risk
Risk · Medium Exposition prüfen →
Hypervisor · 2024-aktiv

VMware vCenter / ESXi

CVE-2024-38812 · CVE-2024-37085 · Auth Bypass
Typ
Hypervisor · Management Plane exposed
Coverage
Version Detection · Auth Bypass Paths

Öffentlich exponierte Hypervisor sind privilegierter Vektor für Ransomware (LockBit, RansomHub, Akira verfügen über dedizierte ESXi-Encryptor). Real-time Tracking.

ESXi EncryptorCritical ExposurePre-Ransomware
Risk · Critical Exposition prüfen →
Severity · Methodik

Berechnete Prioritäten · nicht reiner CVSS.

Jede Exposition erhält eine Severity, berechnet als Funktion von CVSS · KEV-listed · EPSS · aktiven Akteuren · Asset-Kritikalität. Keine Zahl von 0 bis 10, sondern eine Patching-Priority-Entscheidung.

Critical

Sofortiges Patching

CVE in CISA KEV, aktiv ausgenutzt von Gruppen mit Fokus auf Ihren Sektor · auf einem exponierten kritischen Asset (VPN, Citrix, Hypervisor, File Transfer). Sofortiger Alert.

High

Webhook Alert

KEV-listed CVE, aber noch nicht gegen Ihren Sektor beobachtet · ODER exponiertes kritisches Asset mit schwacher Konfiguration · ODER EPSS Score > 50%. Webhook-Alert.

Medium

Weekly Digest

Publizierte CVE, aber nicht KEV-listed · niedriger EPSS Score · nicht kritisches Asset · Exposition mit geringem Impact. Enthalten im Weekly Digest.

Info

Nur Dashboard

Discovery eines neuen Assets · nicht-kritische Änderung (z.B. neue Marketing-Subdomain) · informational only. Verfügbar im Dashboard, generiert keinen Alert.

Der Output

Wie das EASM geliefert wird.

Vier Kanäle nach Rolle: Dashboard für den CISO, Webhook-Alerts für das SOC, Weekly Report für das Management, manuelle Validation für Critical-Fälle.

01

EASM Dashboard

Web-Konsole mit Echtzeit-Sicht auf alle erkannten Assets, Expositionen, priorisierte CVEs, Deltas der letzten 24h. Filtering nach Kritikalität, Kategorie, Business Unit.

02

Critical Alert Webhook

Sofortiger Push bei Critical-Expositionen (neue KEV auf Ihrem Stack, kritisches Asset exponiert, Secret Leak) via Webhook, E-Mail, SMS. SLA < 15 Minuten.

03

Weekly Risk Report

Wöchentlicher Report per E-Mail für den CISO: Asset-Deltas, neue Expositionen, neue relevante KEVs, Zusammenfassung nach BU, priorisierte Remediation-Empfehlungen.

04

Pentest-aided Validation

Für kritische Expositionen manuelle Validierung durch die Fortgale-Analysten (manuelles Testing der Ausnutzbarkeit, keine automatisierte Exploitation) · Unterstützung beim Patching.

Technische Ehrlichkeit

Wann es nicht sinnvoll ist, EASM zu aktivieren.

Wenn die externe Angriffsfläche minimal ist · keine öffentlichen IPv4, kein SaaS, keine verteilte Cloud, keine häufigen M&A, keine externen Entwickler · deckt klassisches internes VM den Großteil des Risikos. EASM ist gerechtfertigt, wenn nicht integrierte Perimeter existieren.

EASM wird kritisch, wenn: verteilte Cloud (Multi-Cloud, Multi-Tenant, Multi-Region), häufige M&A, breites Supplier-Ökosystem, ungesteuertes Shadow IT, sichtbare Marke (E-Commerce, B2C-Anwendungen), Sektor im Visier von Mass-Exploitation-Kampagnen (Fertigung, Finanzen, Gesundheitswesen).

Sie sind unsicher? Sprechen Sie mit uns. Wenn Sie es nicht brauchen, sagen wir es Ihnen.

Integration

EASM als erweitertes Radar der Verteidigung.

Die erkannten Expositionen fließen in Detection, Threat Intelligence und Remediation-Roadmap ein · sie bleiben nicht in einem PDF-Report.

SOC · Detection

Expositionen → SOC-Regeln

Kritisches Asset exponiert = verstärkte Monitoring-Regel im SOC · überwachte Access Patterns, priorisierter Anomalous Traffic Alert.

SOC entdecken →
MDR · Priorisierung

KEV → MDR-Priorität

Das MDR nutzt die KEV-aware EASM-Liste zur Priorisierung der Untersuchungen · weniger Zeitverlust bei theoretischen CVEs, Fokus auf tatsächlich exponierte Assets.

MDR entdecken →
CTI · Capability 02

Kombiniert mit dem Feed

Der STIX/TAXII-Feed erhält einen zusätzlichen Layer: IOCs der Akteure, die Ihre spezifischen Expositionen ausnutzen, nicht generische IOCs.

TI Feed entdecken →
CTI · Schwester-Capability

Die anderen 6 CTI-Capabilities

Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · Deep & Dark Web · Brand Intelligence. ASM ist Capability 06 von 7.

Alle anzeigen →
Für den Vorstand

Drei Slides · die reale Angriffsfläche.

EASM produziert Daten, die der CISO dem Vorstand vorlegen kann, um Investitionen und Remediation-Prioritäten zu begründen · in Business-Sprache.

01 · Die Angriffsfläche

Wie viele internet-facing Assets Sie tatsächlich haben (vs. wie viele im CMDB) · wie viel Shadow IT entdeckt wurde · wie viele M&A-Assets nicht integriert sind.

02 · Die Exposition

Wie viele actively-exploited CVEs Sie betreffen · wie viele kritische Assets öffentlich exponiert sind · wie viele Secrets in den letzten 12 Monaten geleakt wurden.

03 · Die Remediation

Wie viele Vorfälle dank Pre-Warning vermieden wurden · wie viele Assets entfernt/geschützt wurden · geschätzte vermiedene Kosten vs. Service-Kosten.

Das Pack «3 Vorstands-Slides» ist in den EASM Premium Deliverables enthalten · auf Anfrage verfügbar.

FAQ

Häufige Fragen zum EASM.

Was ist EASM und worin unterscheidet es sich vom klassischen Vulnerability Management?

EASM (External Attack Surface Management) ist Outside-in-Discovery: Es erfasst die externe Angriffsfläche der Organisation so, wie ein Angreifer sie sehen würde, ohne Agents oder interne Integrationen. Klassisches VM ist inside-out: Es scannt, was das CMDB bereits kennt. EASM findet, was das CMDB nicht weiß (Shadow IT, Assets nach M&A, externe Entwickler, Assets ehemaliger Mitarbeiter).

Wie integriert Fortgale Threat Intelligence in das EASM?

Erkannte Schwachstellen werden mit CISA KEV (Known Exploited Vulnerabilities), EPSS Score und den von der Fortgale CTI getrackten aktiven Akteuren korreliert. Beispiel: Eine "kritische" Citrix-NetScaler-CVE mit CVSS 9.8 ohne beobachtete Exploitation hat eine niedrigere Priorität als eine "high" Fortinet-CVE, die aktiv von Ransomware-Gruppen ausgenutzt wird.

Erkennt EASM Cloud-Assets (S3, Azure, GCP)?

Ja. Discovery von öffentlichen S3-Buckets, Azure Blob Storage und GCP Storage, öffentlichen Kubernetes-API-Servern, Docker Registries, Secrets in öffentlichen Repositories (GitHub, GitLab), nicht authentifizierten SaaS-API-Endpoints. Coverage erstreckt sich auch auf Cloudflare Worker, Vercel und Netlify Deployments.

Ist eine Integration auf Kundenseite erforderlich?

Nein. EASM ist vollständig Outside-in: Es arbeitet aus öffentlichen Quellen (Certificate Transparency, Passive DNS, Internet Scan, OSINT) ohne Agents, ohne Credentials, ohne Zugriff auf interne Systeme. Typisches Onboarding: Root-Domain, Liste bekannter Subdomains, Liste der IP-Ranges, Liste von Namen und Marken. Den Rest findet Fortgale.

Wie oft wird die Angriffsfläche neu gescannt?

Vollständige Discovery: 24 Stunden. Kritische Assets (z.B. VPN, Citrix, MOVEit): alle 4-6 Stunden. Real-time Alerts auf signifikante Deltas: neu exponierte Assets, ablaufende Zertifikate, geänderte Banner-Versionen, neue actively-exploited CVE, die den Kunden-Stack betrifft.

Wann ist die Aktivierung von EASM NICHT sinnvoll?

Wenn die externe Angriffsfläche minimal ist (keine öffentlichen IPv4, kein SaaS, keine Cloud, kein E-Commerce, keine exponierten Führungskräfte), reicht klassisches internes VM aus. Wenn Sie jedoch verteilte Cloud-Umgebungen, häufige M&A, ein breites Supplier-Ökosystem, ungesteuertes Shadow IT haben · liefert EASM innerhalb von 1-2 Wochen unmittelbaren Wert.

Mit ASM starten

Was exponieren Sie heute, ohne es zu wissen?

Fordern Sie ein kostenloses 30-Tage-Assessment an · vollständiger Scan der externen Angriffsfläche, KEV-aware Priorisierung, Report mit den real erkannten Expositionen. Ohne Verpflichtung.

Antwortzeit: < 1 Werktag.