14 предметов первой необходимости безопасности, которые вам понадобятся в вашем доме в 2023 году
Jul 02, 2023Ресторан стоимостью 1 юань закрывается после того, как при проверке были обнаружены жуки, мыши и тараканы; Еще 4 привлечены к ответственности за нарушения
Jun 01, 202330 продуктов, которые рецензенты считают очень удобными
Oct 03, 202330 продуктов, которые рецензенты считают очень удобными
Jun 06, 202330 вещей из Walmart, которые заставят вас проводить больше времени на кухне
Jun 03, 2023Что отличает хорошее решение ASM
В этом интервью Help Net Security Патрис Оффре, технический директор Onyphe, объясняет, как традиционный подход к безопасности на основе периметра устаревает. Он предлагает организациям переопределить свою концепцию поверхности атаки и обсуждает упреждающие меры, которые они могут предпринять для улучшения своего решения по управлению поверхностью атаки (ASM).
Во-первых, давайте определим ASM. Этот термин был придуман Gartner где-то в 2020 году. Это новый инструмент в арсенале защитной кибербезопасности организаций. ASM должен помочь организациям лучше видеть свои активы, доступные в Интернете, а также помочь им идентифицировать неизвестные. С тех пор в категории ASM появилось множество решений, но не все они одинаковы. Хорошее решение ASM должно включать обнаружение поверхности атаки (ASD), то есть возможность находить неизвестные активы. Мы работаем в категориях ASD и ASM уже 6 лет, еще до того, как эти термины появились.
В 2023 году организации не смогут исправлять все быстро и постоянно. ASM должен позволить ИТ-командам сосредоточиться на наиболее важных угрозах: тех, которые используются киберпреступниками для проникновения в сети и установки программ-вымогателей. Благодаря отчетам об угрозах мы знаем, что подавляющее большинство вторжений происходит из-за доступных в Интернете служб протокола удаленного рабочего стола (RDP), устройств VPN и критических уязвимостей (CVE). В отчете Palo Alto Unit 42 за 2022 год подчеркивается, что на эти три первоначальных вектора доступа приходится 46% вторжений в сети Интернет.
С точки зрения управления поверхностью внешних атак, по крайней мере, компаниям следует сосредоточиться на этих трех векторах.
Поверхность атаки организации может включать в себя все технологии, лежащие в основе ее бизнес-процессов и данных, включая аутсорсинговую инфраструктуру и приложения. Вот почему РАС так важен и является предпосылкой эффективного АСМ. Более того, мы утверждаем, что для многих организаций ASM — это простая часть, и задача состоит в том, чтобы иметь полную инвентаризацию своих уязвимых активов. Вот тут-то и приходит на помощь решение ASD.
Еще одним ключевым преимуществом ASD является то, что он может предоставить традиционному сканеру уязвимостей список IP-адресов или полных доменных имен (FQDN) в качестве дополнения к решениям ASM.
Кроме того, следует запретить устаревший подход к инвентаризации активов на основе интеллектуальной собственности. Сегодня вам необходимо принять доменный подход к инвентаризации активов. Почему так? Просто потому, что в условиях эфемерной облачной инфраструктуры IP-адреса могут меняться, тогда как доменные имена должны оставаться неизменными с течением времени, при этом постоянно добавляются новые домены. Как мы можем следить за изменениями и новыми доменами? Хорошее решение ASD должно собирать данные из нескольких источников, таких как DNS, журналы прозрачности сертификатов (CTL), сканирование по IP-адресам в Интернете и, что еще более важно, сканирование по URL-адресам. Последнее имеет решающее значение, поскольку все больше и больше компаний защищают свои веб-сайты с помощью решений CDN, таких как Cloudflare. Если вы сканируете только IP-адреса Clouflare, вы не сможете получить информацию о своих реальных веб-хостах, которые могут иметь скрытые проблемы с безопасностью.
Используя все эти источники информации, организация может начать с одного доменного имени, ориентироваться на ключевые слова и известных поставщиков услуг, а затем последовательно создавать инвентаризацию всех открытых активов. Затем вы должны использовать правильные инструменты для поиска IP-адресов, привязанных ко всем вашим доменам и другим сводным данным, например, полю организации в сертификатах TLS или HTTP-трекерам, таким как Google Analytics и метапикселям, найденным на веб-сайтах. Этот список шаблонов становится вашим инвентарем активов, и вы должны регулярно обновлять его, чтобы находить новые открытые ресурсы.
Хорошее решение ASM должно быть независимым от IP, но при этом иметь возможность поиска по сетевым блокам организаций с их диапазонами IP-адресов или центров обработки данных.
Внутренний ASM проще: у вас уже должен быть список ваших IP-адресов или сетевых блоков. Сканирование ваших диапазонов следует проводить регулярно, что и делается на протяжении десятилетий.