Что отличает хорошее решение ASM

Jun 13, 2023

В этом интервью Help Net Security Патрис Оффре, технический директор Onyphe, объясняет, как традиционный подход к безопасности на основе периметра устаревает. Он предлагает организациям переопределить свою концепцию поверхности атаки и обсуждает упреждающие меры, которые они могут предпринять для улучшения своего решения по управлению поверхностью атаки (ASM).

Во-первых, давайте определим ASM. Этот термин был придуман Gartner где-то в 2020 году. Это новый инструмент в арсенале защитной кибербезопасности организаций. ASM должен помочь организациям лучше видеть свои активы, доступные в Интернете, а также помочь им идентифицировать неизвестные. С тех пор в категории ASM появилось множество решений, но не все они одинаковы. Хорошее решение ASM должно включать обнаружение поверхности атаки (ASD), то есть возможность находить неизвестные активы. Мы работаем в категориях ASD и ASM уже 6 лет, еще до того, как эти термины появились.

В 2023 году организации не смогут исправлять все быстро и постоянно. ASM должен позволить ИТ-командам сосредоточиться на наиболее важных угрозах: тех, которые используются киберпреступниками для проникновения в сети и установки программ-вымогателей. Благодаря отчетам об угрозах мы знаем, что подавляющее большинство вторжений происходит из-за доступных в Интернете служб протокола удаленного рабочего стола (RDP), устройств VPN и критических уязвимостей (CVE). В отчете Palo Alto Unit 42 за 2022 год подчеркивается, что на эти три первоначальных вектора доступа приходится 46% вторжений в сети Интернет.

С точки зрения управления поверхностью внешних атак, по крайней мере, компаниям следует сосредоточиться на этих трех векторах.

Поверхность атаки организации может включать в себя все технологии, лежащие в основе ее бизнес-процессов и данных, включая аутсорсинговую инфраструктуру и приложения. Вот почему РАС так важен и является предпосылкой эффективного АСМ. Более того, мы утверждаем, что для многих организаций ASM — это простая часть, и задача состоит в том, чтобы иметь полную инвентаризацию своих уязвимых активов. Вот тут-то и приходит на помощь решение ASD.

Еще одним ключевым преимуществом ASD является то, что он может предоставить традиционному сканеру уязвимостей список IP-адресов или полных доменных имен (FQDN) в качестве дополнения к решениям ASM.

Кроме того, следует запретить устаревший подход к инвентаризации активов на основе интеллектуальной собственности. Сегодня вам необходимо принять доменный подход к инвентаризации активов. Почему так? Просто потому, что в условиях эфемерной облачной инфраструктуры IP-адреса могут меняться, тогда как доменные имена должны оставаться неизменными с течением времени, при этом постоянно добавляются новые домены. Как мы можем следить за изменениями и новыми доменами? Хорошее решение ASD должно собирать данные из нескольких источников, таких как DNS, журналы прозрачности сертификатов (CTL), сканирование по IP-адресам в Интернете и, что еще более важно, сканирование по URL-адресам. Последнее имеет решающее значение, поскольку все больше и больше компаний защищают свои веб-сайты с помощью решений CDN, таких как Cloudflare. Если вы сканируете только IP-адреса Clouflare, вы не сможете получить информацию о своих реальных веб-хостах, которые могут иметь скрытые проблемы с безопасностью.

Используя все эти источники информации, организация может начать с одного доменного имени, ориентироваться на ключевые слова и известных поставщиков услуг, а затем последовательно создавать инвентаризацию всех открытых активов. Затем вы должны использовать правильные инструменты для поиска IP-адресов, привязанных ко всем вашим доменам и другим сводным данным, например, полю организации в сертификатах TLS или HTTP-трекерам, таким как Google Analytics и метапикселям, найденным на веб-сайтах. Этот список шаблонов становится вашим инвентарем активов, и вы должны регулярно обновлять его, чтобы находить новые открытые ресурсы.

Хорошее решение ASM должно быть независимым от IP, но при этом иметь возможность поиска по сетевым блокам организаций с их диапазонами IP-адресов или центров обработки данных.

Внутренний ASM проще: у вас уже должен быть список ваших IP-адресов или сетевых блоков. Сканирование ваших диапазонов следует проводить регулярно, что и делается на протяжении десятилетий.