Co to jest zarządzanie obszarem podatnym na ataki? Kompletny przewodnik po ASM

Zarządzanie obszarem podatnym na ataki (ASM) to ciągłe monitorowanie i korygowanie oraz zmniejszanie wszystkich zagrożeń bezpieczeństwa na obszarze ataków organizacji. Ostatecznym celem usługi ASM jest zminimalizowanie powierzchni ataku w celu zmniejszenia liczby opcji, które hakerzy mają do przełamania obwodu sieci.

Krótko mówiąc, usługa ASM ma na celu skompresowanie wszystkiego, co znajduje się poza zaporą, co osoby atakujące mogą i odkryją podczas badania krajobrazu zagrożeń dla organizacji podatnych na ataki.

W 2018 roku firma Gartner wezwała liderów ds. bezpieczeństwa do rozpoczęcia zmniejszania, monitorowania i zarządzania powierzchnią ataków w ramach holistycznego programu zarządzania ryzykiem cyberbezpieczeństwa. Obecnie zarządzanie powierzchnią ataku jest najwyższym priorytetem dla dyrektorów ds. informatyki, dyrektorów ds. technicznych, dyrektorów ds. bezpieczeństwa i zespołów ds. bezpieczeństwa.

Dowiedz się, jak funkcja UpGuard usprawnia zarządzanie obszarem podatnym na ataki >

Co to jest obszar podatny na ataki?

Obszar ataku to cały sprzęt, oprogramowanie, SaaS i zasoby w chmurze, które są dostępne z Internetu, które przetwarzają lub przechowują dane. Pomyśl o tym jako o całkowitej liczbie wektorów ataku, które cyberprzestępcy mogą wykorzystać do manipulowania siecią lub systemem w celu wydobycia danych. Obszar podatny na ataki obejmuje:

• Znane zasoby: spisane i zarządzane zasoby, takie jak firmowa witryna internetowa, serwery i działające na nich zależności
• Nieznane zasoby: takie jak niezatwierdzone zasoby IT lub oddzielona infrastruktura IT, która została uruchomiona poza zakresem kompetencji zespołu ds. zabezpieczeń, takie jak zapomniane witryny internetowe programowania lub witryny marketingowe
• Nieuczciwe zasoby: złośliwa infrastruktura stworzona przez cyberprzestępców lub hakerów, taka jak złośliwe oprogramowanie, domeny z typosquatt lub witryna internetowa lub aplikacja mobilna, która podszywa się pod Twoją domenę.
• Dostawcy: Obszar podatny na ataki nie kończy się na organizacji — dostawcy zewnętrzni i dostawcy innych firm wprowadzają znaczne ryzyko związane z innymi firmami i ryzyko związane z innymi firmami. Nawet mali dostawcy mogą prowadzić do dużych naruszeń danych, tak jak dostawca HVAC, który ostatecznie doprowadził do ujawnienia przez Target danych kart kredytowych i danych osobowych ponad 110 milionów konsumentów.

Każdego dnia w Internecie pojawiają się miliony takich zasobów, które są całkowicie poza zasięgiem usług zapory sieciowej i ochrony punktów końcowych. Inne nazwy obejmują zewnętrzną powierzchnię ataku i cyfrową powierzchnię ataku.

Dlaczego zmniejszanie powierzchni ataku nie jest solidnym rozwiązaniem

Często zdarza się, że organizacje podchodzą do poprawy bezpieczeństwa informacji poprzez zmniejszenie:

• Ilość uruchomionego kodu
• Punkty wejścia dostępne dla niezaufanych użytkowników, np. kontrola dostępu, kontrola dostępu oparta na rolach i zasada najniższych uprawnień
• Liczba uruchomionych aplikacji internetowych, aplikacji mobilnych i usług dostępnych w Internecie

Chociaż zmniejsza to obszar ataków w organizacji, nie zapobiega awariom kontroli zabezpieczeń.

Jeśli osoba atakująca znajdzie lukę w zabezpieczeniach lub lukę w pozostałych zasobach internetowych przed Tobą, nadal może wyrządzić szkody, instalując złośliwe oprogramowanie i oprogramowanie wymuszające okup lub powodując naruszenia danych.

Dlatego wiele organizacji inwestuje w narzędzia, które zapewniają analizę powierzchni ataku w czasie rzeczywistym i zarządzanie lukami w zabezpieczeniach, takie jak UpGuard BreachSight.

Jeśli potrzebujesz pomysłów na zmniejszenie obszaru podatnego na ataki, zapoznaj się z tą listą przykładów zmniejszania obszaru podatnego na ataki.

Dlaczego zarządzanie obszarem podatnym na ataki jest ważne?

Zarządzanie obszarem podatnym na ataki jest ważne, ponieważ pomaga zapobiegać zagrożeniom cybernetycznym i potencjalnym atakom wynikającym z:

• Starsze zasoby, IoT i niezatwierdzone zasoby IT
• Błędy i pominięcia ludzkie, takie jak phishing i wycieki danych
• Podatne na ataki i nieaktualne oprogramowanie
• Nieznane oprogramowanie typu open source (OSS)
• Ataki na dużą skalę na Twoją branżę
• Ukierunkowane cyberataki na Twoją organizację
• Naruszenie praw własności intelektualnej
• IT odziedziczone po działalności M&A
• Zasoby zarządzane przez dostawcę

Dowiedz się, jak wybrać najlepsze oprogramowanie do widoczności powierzchni ataku >

Terminowa identyfikacja zasobów cyfrowych ma fundamentalne znaczenie dla solidnej analizy zagrożeń i może znacznie zmniejszyć ryzyko naruszeń i wycieków danych. Wystarczy, że atakujący przeprowadzi udany cyberatak na wrażliwy punkt lub lukę w zabezpieczeniach w organizacji lub ekosystemie IT, aby zagrozić całej firmie lub łańcuchowi dostaw.

Aby zapoznać się ze zwięzłym omówieniem procesu zarządzania obszarem podatnym na ataki, obejrzyj poniższy film:

Poznaj funkcje zarządzania powierzchnią ataku UpGuard dzięki tej samodzielnej prezentacji produktu >

Jakie są składniki niezawodnego rozwiązania do zarządzania zewnętrznym obszarem podatnym na ataki?

Nowoczesne rozwiązanie do zarządzania zewnętrzną powierzchnią ataku składa się z pięciu części:

1. Odnajdywanie zasobów
2. Inwentaryzacja i klasyfikacja
3. Ocena ryzyka i oceny bezpieczeństwa
4. Ciągłe monitorowanie bezpieczeństwa
5. Korygowania

Poznaj najważniejsze funkcje oprogramowania do zarządzania zewnętrznym obszarem podatnym na ataki >

Odnajdywanie zasobów

Początkowym etapem każdego rozwiązania do zarządzania obszarem podatnym na ataki jest wykrycie wszystkich zasobów cyfrowych dostępnych w Internecie, które zawierają lub przetwarzają poufne dane, takie jak dane osobowe, PHI i tajemnice handlowe.

Twoja organizacja i inne firmy, takie jak dostawcy usług w chmurze, IaaS i SaaS, partnerzy biznesowi, dostawcy lub zewnętrzni wykonawcy, mogą być właścicielami lub operatorami tych wewnętrznych lub zewnętrznych zasobów.

Oto niewyczerpująca lista zasobów cyfrowych, które powinny zostać zidentyfikowane i zmapowane przez rozwiązanie do zarządzania obszarem podatnym na ataki:

• Aplikacje internetowe, usługi i interfejsy API
• Aplikacje mobilne i ich backendy
• Pamięć masowa w chmurze i urządzenia sieciowe
• Nazwy domen, certyfikaty SSL i adresy IP
• IoT i połączone urządzenia
• Publiczne repozytoria kodu, takie jak GitHub, BitBucket i GitLab
• Serwery poczty e-mail

W zależności od dostawcy proces wykrywania może obejmować zarówno ręczne wprowadzanie domen i adresów IP, jak i automatyczne skanowanie oparte na danych wywiadowczych typu open source i przeszukiwaniu ciemnej sieci.

W UpGuard codziennie przeprowadzamy ten proces odkrywania za pomocą zaufanych metod komercyjnych, open source i zastrzeżonych. Dzięki temu możemy odkryć wszelkie zasoby internetowe, które zostały uruchomione.

To, co odróżnia UpGuard od innych dostawców, to nasza niezrównana zdolność do wykrywania wyciekłych danych uwierzytelniających i ujawnionych danych, zanim wpadną w niepowołane ręce.

Na przykład wykryliśmy dane ujawnione w repozytorium GitHub przez inżyniera AWS w ciągu 30 minut. Zgłosiliśmy to do AWS i jeszcze tego samego dnia repozytorium zostało zabezpieczone. To repozytorium zawierało osobiste dokumenty tożsamości i poświadczenia systemowe, w tym hasła, pary kluczy AWS i klucze prywatne.

Udało nam się to zrobić, ponieważ aktywnie odkrywaliśmy uwidocznione zestawy danych w otwartej i głębokiej sieci, przeszukując otwarte zasobniki S3, publiczne repozytoria Github oraz niezabezpieczone serwery RSync i FTP.

Nasz silnik wykrywania wycieków danych stale wyszukuje słowa kluczowe dostarczone przez naszych klientów i jest stale udoskonalany przez nasz zespół analityków, wykorzystując wiedzę i techniki zebrane podczas wieloletnich badań nad naruszeniami danych.

Nie wierz nam na słowo. The New York Times, Bloomberg, Washington Post, Forbes i TechCrunch przedstawiły nasze badania dotyczące bezpieczeństwa.

Inwentaryzacja i klasyfikacja

Po odnalezieniu zasobów nadszedł właściwy czas, aby rozpocząć inwentaryzację i klasyfikację zasobów cyfrowych, znaną również jako inwentaryzacja zasobów IT. Ta część ćwiczenia obejmuje wysyłkę i etykietowanie zasobów na podstawie ich typu, charakterystyki technicznej, właściwości, krytyczności biznesowej, wymagań zgodności lub właściciela.

Ważne jest, aby mieć osobę lub zespół, który jest odpowiedzialny za regularną konserwację, aktualizacje i ochronę zasobów.

Dzięki UpGuard BreachSight automatycznie wykryjemy całą Twoją zewnętrzną infrastrukturę IT.

W ramach platformy możesz dodać tyle osób, ile potrzeba, oraz oznaczyć i uporządkować zasoby według dowolnej właściwości, takiej jak własność, zasób, parametry techniczne, krytyczne dla firmy, wymagania dotyczące zgodności lub właściciel.

Będziesz także mógł generować raporty dotyczące określonych części infrastruktury, aby zobaczyć, gdzie występują zagrożenia bezpieczeństwa i kto jest odpowiedzialny za ich usunięcie. Dane te mogą być łatwo dostępne przez nasze API i zintegrowane z innymi systemami.

Aby zarządzać ryzykiem związanym z osobami trzecimi, możesz użyć narzędzia UpGuard Vendor Risk, aby automatycznie wykrywać zewnętrzne zasoby internetowe dostawców i stron trzecich oraz odpowiednio je oznaczać.

Dowiedz się, jak komunikować ASM z Zarządem >

Ocena ryzyka i oceny bezpieczeństwa

Dowiedz się, jak UpGuard oblicza oceny bezpieczeństwa >

Zarządzanie obszarem podatnym na ataki byłoby niemożliwe bez praktycznej oceny ryzyka i ocen zabezpieczeń. Wiele organizacji ma tysiące, jeśli nie miliony, zmiennych zasobów cyfrowych.

Bez oprogramowania do oceny bezpieczeństwa może być trudno zrozumieć, jakie problemy z bezpieczeństwem mają poszczególne zasoby i czy ujawniają one informacje, które mogą skutkować naruszeniami danych, wyciekami danych lub innymi cyberatakami.

Dlatego tak ważne jest, aby zasoby cyfrowe były stale wykrywane, skanowane i oceniane, aby można było zrozumieć, jakie zagrożenia należy ograniczyć i ustalić priorytety.

Oceny zabezpieczeń to oparta na danych, obiektywna i dynamiczna miara stanu zabezpieczeń organizacji.

W przeciwieństwie do tradycyjnych technik oceny ryzyka, takich jak testy penetracyjne, kwestionariusze bezpieczeństwa lub wizyty na miejscu, oceny bezpieczeństwa są uzyskiwane na podstawie obiektywnych, weryfikowalnych zewnętrznie informacji.

UpGuard to jedna z najpopularniejszych i najbardziej zaufanych platform oceny bezpieczeństwa. Generujemy nasze oceny za pomocą zastrzeżonych algorytmów, które pobierają i analizują zaufane zestawy danych komercyjnych i open source w celu zebrania danych, które mogą ilościowo ocenić ryzyko cyberbezpieczeństwa w sposób nieinwazyjny.

Dzięki UpGuard ocena bezpieczeństwa organizacji może wynosić od 0 do 950 i składa się ze średniej ważonej oceny ryzyka wszystkich zasobów zewnętrznych, takich jak aplikacje internetowe, adresy IP i witryny marketingowe.

Im niższa ocena, tym poważniejsze ryzyko, na które są narażeni. I odwrotnie, im wyższa ocena, tym lepsze są ich praktyki bezpieczeństwa i tym mniej udane będą cyberataki.

Aby nasze oceny bezpieczeństwa były aktualne, ponownie obliczamy wyniki za każdym razem, gdy strona internetowa jest skanowana lub przesyłany jest kwestionariusz bezpieczeństwa. Oznacza to, że ocena bezpieczeństwa organizacji będzie aktualizowana wiele razy dziennie, ponieważ większość stron internetowych jest skanowana codziennie.

Dowiedz się, jak UpGuard oblicza oceny bezpieczeństwa >

Ciągłe monitorowanie bezpieczeństwa

Ciągłe monitorowanie bezpieczeństwa jest jednym z najważniejszych elementów rozwiązania do zarządzania atakami. Coraz powszechniejsze stosowanie oprogramowania typu open source, SaaS, IaaS i outsourcingu oznacza, że błędna konfiguracja i zarządzanie lukami w zabezpieczeniach są bardziej skomplikowane niż kiedykolwiek.

Każde dobre oprogramowanie do zarządzania powierzchnią ataku będzie monitorować Twoje zasoby 24 godziny na dobę, 7 dni w tygodniu pod kątem nowo wykrytych luk w zabezpieczeniach, słabych punktów, błędnej konfiguracji i problemów ze zgodnością.

UpGuard BreachSight zautomatyzuje wykrywanie znanych luk w zabezpieczeniach i zapewni oceny w oprogramowaniu zewnętrznym. Te informacje mogą być ujawniane przez nagłówki HTTP lub zawartość witryny internetowej.

Dowiedz się, jak wybrać zewnętrzne narzędzie do monitorowania obszaru ataków >

Korzystamy z Common Vulnerability Scoring System (CVSS), opublikowanego standardu opracowanego w celu uchwycenia głównych cech luki w zabezpieczeniach w celu uzyskania wyniku liczbowego od 0 do 10 odzwierciedlającego jej wagę.

Ten wynik liczbowy jest również tłumaczony na reprezentację jakościową (niska, średnia, wysoka i krytyczna), aby pomóc w prawidłowej ocenie i ustaleniu priorytetów luki w zabezpieczeniach.

Oprócz luk w zabezpieczeniach przeprowadzamy setki indywidualnych testów błędnej konfiguracji, aby określić:

• Podatność na ataki typu man-in-the-middle
• Niezabezpieczone certyfikaty SSL/TLS
• Ustawienia SPF, DKIM i DMARC
• Ścisłe zabezpieczenia transportu HTTP (HSTS)
• Ryzyko podszywania się pod pocztę e-mail i wyłudzania informacji
• Podatność na złośliwe oprogramowanie
• Bezpieczeństwo sieci
• Niepotrzebne otwarte porty administracyjne, bazy danych, aplikacji, poczty e-mail i udostępniania plików
• Narażenie na znane naruszenia danych i wycieki danych
• Oprogramowanie zawierające luki w zabezpieczeniach
• Dostępność HTTP
• Bezpieczna konfiguracja plików cookie

W przeciwieństwie do innych dostawców, kontrole te są przeprowadzane codziennie i mogą być aktualizowane na żądanie za pośrednictwem naszej platformy lub naszego interfejsu API.

Środki zaradcze i łagodzące

Organizacje mogą rozpocząć procesy korygowania i ograniczania ryzyka od poprzednich kroków na podstawie kolejności lub priorytetu i poziomu ryzyka określonego podczas oceniania ryzyka. Wewnętrzne zespoły IT mogą korzystać z narzędzia ASM w celu określenia przepływu pracy w celu skorygowania zagrożeń, takich jak zapewnienie kontroli korygowania, instalowanie poprawek oprogramowania, implementowanie szyfrowania danych, debugowanie kodów systemowych i aktualizowanie konfiguracji systemu.

Działania naprawcze mogą również obejmować zautomatyzowane rozwiązania, aby zapewnić, że niektóre zagrożenia są regularnie aktualizowane, a nieznane zasoby są stale wykrywane, wycofując osierocone domeny, a nawet skanując zasoby innych firm pod kątem zagrożeń i słabych punktów. Ponadto proces ASM zapewnia organizacjom regularny przegląd wewnętrznych procesów i zasad IT oraz określanie, czy potrzebują dodatkowych zabezpieczeń swoich danych i zasobów.

Jeśli całkowite usunięcie nie jest możliwe, firma musi podjąć próbę ograniczenia zagrożenia, ograniczając jego wpływ, zakres i skuteczność. Firmy mogą to osiągnąć, egzekwując najlepsze praktyki w zakresie bezpieczeństwa, operacje bezpieczeństwa i przeglądy programów oraz pełną transformację cyfrową swoich obecnych priorytetów w zakresie cyberbezpieczeństwa.

Ważne jest, aby zrozumieć, że współczesny krajobraz zagrożeń wykracza poza legalne korporacyjne zasoby IT i może obejmować złośliwe lub nieuczciwe zasoby wdrożone przez cyberprzestępców, konkurencję lub po prostu zapomniane zasoby. Może to obejmować witryny typu spear phishing, podszywanie się pod pocztę e-mail, awarie OPSEC w mediach społecznościowych, takich jak LinkedIn, oprogramowanie ransomware, nazwy domen typu cyber squatted lub typosquatted, systemy lokalne lub wiele innych zagrożeń cybernetycznych.

W coraz większym stopniu obejmuje to dane wrażliwe, dane osobowe, chronione informacje zdrowotne, dane biometryczne, psychografię, bezpieczeństwo w chmurze, hasła, urządzenia IoT i tajemnice handlowe, które wyciekły do ciemnej sieci w wyniku wcześniejszych naruszeń danych lub obecnych wycieków danych.

Dowiedz się więcej o najlepszych rozwiązaniach do zarządzania powierzchnią ataku dostępnych na rynku >

Obejrzyj ten film, aby zapoznać się z omówieniem funkcji żądania korygowania UpGuard.

UpGuard pomaga organizacjom poprawić wydajność programu zarządzania powierzchnią ataku poprzez wykrywanie istniejących i potencjalnych wektorów ataków, co zwiększa ryzyko naruszenia danych.

Dzięki zaawansowanym funkcjom, takim jak priorytetyzacja ryzyka cybernetycznego i kwestionariusze bezpieczeństwa mapujące do popularnych struktur, UpGuard pomaga zespołom ds. bezpieczeństwa ustanowić. Program ASM pozostaje skuteczny pomimo zmian w nowoczesnym krajobrazie powierzchni ataku.