Przedstawiamy zarządzanie zewnętrzną powierzchnią ataku Bitdefender EASM
Jeśli chcesz skutecznie zadbać o bezpieczeństwo swojej firmy, powinieneś spojrzeć na nią z perspektywy cyberprzestępcy. Gdzie są jej najsłabsze punkty i miejsca, w których byś zaatakował? Zrozumienie tych zagadnień wiąże się to z identyfikacją wszystkich firmowych zasobów dostępnych w Internecie, w tym witryn internetowych, interfejsów API, aplikacji w chmurze, domen i innych powiązanych elementów infrastruktury sieciowej. W tym zadaniu pomoże ci rozwiązanie GravityZone External Attack Surface Management (EASM).
Identyfikacja nieznanych, zapomnianych, nieaktualnych lub nieprawidłowo skonfigurowanych zasobów ma kluczowe znaczenie w kontekście cyberbezpieczeństwa każdej organizacji. Brak zarządzania tymi odsłoniętymi sektorami sprawia, że firma staje się podatna na ataki. Na to właśnie czekają cyberprzestępcy, którzy nie zawahają się przed tym, żeby je wykorzystać.
Klasyczne rozwiązania zarządzania ryzykiem punktów końcowych i skanery podatności, zapewniają widoczność tylko dla znanych zasobów. Nieznane, błędnie sklasyfikowane lub nigdy nieudokumentowane pozostają w szarej strefie i nie są widoczne przez systemy ochronne. Właśnie dlatego warto rozważyć wprowadzenie rozwiązania polegającego na proaktywnym identyfikowaniu i łagodzeniu zewnętrznej powierzchni ataku. Dzięki temu zagrożenie zostanie zażegnane, zanim zwróci uwagę cyberprzestępców.
Zarządzanie zewnętrzną powierzchnią ataku
Nowy moduł Bitdefender GravityZone Business Security External Attack Surface Management (EASM) został zaprojektowany tak, aby umożliwić zespołom ds. bezpieczeństwa stałe analizowanie zasobów zewnętrznych, ich usług i potencjalnych luk w zabezpieczeniach. Bitdefender EASM jest kompatybilny z wieloma typami zasobów, w tym adresy IPv4 i IPv6, bloków IP, adresów e-mail i domen.
Po wstępnym przeskanowaniu systemu Bitdefender EASM zapewnia kompleksowe wykrywanie zasobów, wykrywanie wszystkich publicznie ujawnionych adresów IP, wygasających lub wygasłych certyfikatów, podatnych usług publicznych, otwartych portów i wielu innych ukrytych zasobów.
Warto zauważyć, że EASM jest narzędziem, które zaprojektowano w celu zapewnienia ciągłej widoczności i proaktywnej obrony, a nie ofensywnych operacji bezpieczeństwa, takich jak testy penetracyjne. Red teaming stosuje się, w celu zidentyfikowania słabości wewnątrz organizacji. Natomiast Bitdefender EASM ma za zadanie zapewnienie aktywnej ochrony Twoich zasobów zewnętrznych.
Przegląd możliwości EASM
Bitdefender EASM odciąża zespoły ds. cyberbezpieczeństwa, hostując wszystkie usługi skanowania i udostępniając je w przystępny i czytelny sposób. Jest to usługa bezagentowa, która może skanować dowolny typ zasobów, nawet te, które z reguły nie są zarządzane. Schemat Bitdefender EASM opiera się na trzech głównych sekcjach: pulpit EASM, zasoby EASM i artefakty EASM.
Panel EASM
Panel EASM jest dostępny w sekcji Monitoring na karcie ASM Dashboard. Funkcja ta umożliwia rozpoczęcie własnej konfiguracji skanowania. Dzięki temu możesz wybrać, które zasoby chcesz przeskanować z listy różnych zasobów, w tym domeny, poczty e-mail, IPv4 i IPv6. Skanowanie może zostać wykonane natychmiast lub zgodnie z wcześniej określonym harmonogramem. Szczegółowe informacje na temat konfiguracji skanowania EASM można znaleźć w Centrum pomocy technicznej Bitdefender.
Moduł ten oferuje wizualną reprezentację wszystkich analizowanych aktywów w firmowej sieci, wraz z powiązanymi lukami i danymi wyników skanowania. Uzyskane informacje są prezentowane w jasno zdefiniowanych sekcjach i łatwo konfigurowalnych widżetach. W tej sekcji możesz znaleźć takie informacje, jak:
Zasoby, które zostały niedawno wysłane do skanowania: Lista pięciu ostatnio zeskanowanych zasobów.
Łączna liczba zasobów: Całkowita liczba wszystkich wykrytych zasobów, w tym domen, adresów IPv4 i IPv6 oraz adresów e-mail.
Artefakty: Całkowita liczba wykrytych artefaktów, takich jak numery ASN, certyfikaty, bloki IP, rekordy DNS i inne usługi.
Tygodniowy raport związany z nowymi aktywami: Tygodniowy raport przedstawiający nowo odkryte aktywa.
Tygodniowy raport bezpieczeństwa: Tygodniowe podsumowanie nowo odkrytych luk w zabezpieczeniach, oferujące informacje na temat pojawiających się zagrożeń bezpieczeństwa.
Raporty ASN: Wizualna reprezentacja odkrytych zasobów numerów systemów autonomicznych (ASN), pogrupowanych według lokalizacji i wyświetlanych na interaktywnej mapie.
Lista serwerów podatnych na transfery strefowe: Serwery zidentyfikowane jako podatne na transfery strefowe. Opcja ta wskazuje potencjalne luki w zabezpieczeniach.
Najbardziej narażone elementy infrastruktury sieciowej: Najniebezpieczniejsze usługi z największą liczbą luk w zabezpieczeniach. Ta opcja pozwala na priorytetowe traktowanie działań naprawczych w stosunku do usług najbardziej narażonych.
Najpopularniejsze usługi według zdefiniowanego protokołu: Usługi są kategoryzowane według protokołu, z którego korzystają, zapewniając przegląd najczęściej używanych usług w sieci.
Wygaśnięcia certyfikatów: Przegląd certyfikatów, zorganizowanych według statusu wygaśnięcia. Zaliczają się do nich, te które są aktywne, te które wygasną w ciągu 30 dni i wygasłe.
Rekordy DNS: Tabela rekordów DNS oferująca informacje na temat rozmieszczenia i typów rekordów w firmowej infrastrukturze.
Najważniejsze krytyczne luki w zabezpieczeniach: Lista najgroźniejszych luk w zabezpieczeniach, które mają wpływ na zasoby typu usługowego, ułatwiające natychmiastowe ustalenie priorytetów.
Najczęściej otwierane porty: Lista najczęściej otwieranych portów w zasobach typu usługowego, które mają kluczowe znaczenie dla identyfikacji potencjalnych zagrożeń bezpieczeństwa.
Aktywa i artefakty EASM
W sekcji Zarządzanie ryzykiem możesz znaleźć sekcje Aktywa EASM i Artefakty EASM, które zapewniają wysoce konfigurowalne siatki wyświetlające listy wszystkich odkrytych aktywów i ich powiązanych artefaktów. Te oddzielne widoki pozwalają Ci skupić się na konkretnych szczegółach najbardziej istotnych dla Twojej organizacji.
Siatki te umożliwiają także elastyczne zarządzanie wynikami poprzez przypisywanie wybranych zasobów do konkretnego konta, modyfikowanie ich priorytetu, zmianę statusu dochodzenia i dodawanie własnych notatek.
Aktywa EASM
Sekcja EASM Assets zawiera kompletną listę wszystkich odkrytych zasobów zewnętrznych, które mogą stanowić powierzchnię potencjalnych ataków. Sekcja ta obejmuje podstawowe typy zasobów, takie jak domeny, adresy IPv4, IPv6 i adresy e-mail.
W przypadku zasobów EASM możesz dostosowywać, zapisywać i przełączać się między różnymi widokami, aby spersonalizować swoje doświadczenie w zależności od Twoich potrzeb. Widok „All assets” oferuje pełny obraz, dostarczając skorelowane informacje, takie jak: nazwa zasobu, typ zasobu, status zasobu, powiązane zasoby i artefakty, status dochodzenia, informacje o tym, czy zasób został przypisany do konta oraz priorytet i notatki. W zależności od rodzaju wyświetlanego zasobu wyświetlane będą różne informacje.
Artefakty EASM
W sekcji Artefakty EASM możesz odnaleźć konkretne komponenty i wskaźniki, które zostały odkryte w komponentach Twojej organizacji. Te artefakty dostarczają ważnych informacji o problemach, podatnościach i błędnych konfiguracjach, oferując kluczowy kontekst i szczegóły dotyczące zewnętrznej powierzchni ataku Twojej organizacji. W tym miejscu odnajdziesz informacje związane z ASN, certyfikatami, blokami IP, rekordami DNS oraz innymi usługami.
Podobnie jak w przypadku aktywów, w tej sekcji także istnieje możliwość personalizowania widoku w sekcji artefakty EASM. Widok Wszystkie artefakty zawiera kompleksowy pakiet informacji, w tym nazwę artefaktu, typ artefaktu, powiązane zasoby, status dochodzenia, informacje o tym, czy zasób został przypisany do konta, priorytet i dodatkowe uwagi.
Powiadomienia EASM
Bycie informowanym o zmianach na zewnętrznej powierzchni ataku jest kluczowe dla odpowiednio szybkiej reakcji w razie cyberataku. Niezależnie od tego, czy Twój zespół ds. cyberbezpieczeństwa preferuje skanowanie ręczne, czy automatyczne, powiadomienia Bitdefender EASM poinformują Cię od razu po wykryciu jakichkolwiek nieprawidłowości.
Pulpit Bitdefender GravityZone został zaprojektowany w taki sposób, aby wyraźnie wskazywał na nowe odkrycia. Nowo zidentyfikowane aktywa są wyróżnione w sekcji Nowe aktywa, co pozwala na szybkie przeglądanie i ustalanie priorytetów zarządzania nimi. Dzięki temu, Twój zespół nie przegapi żadnych krytycznych informacji, które mogłyby zagrozić bezpieczeństwu organizacji.
W jaki sposób Bitdefender EASM podejmuje działania w razie incydentu?
Oprócz zapewnienia kompleksowej widoczności, Moduł EASM został zaprojektowany w celu umożliwienia zespołom ds. bezpieczeństwa szybkiego przejścia do natychmiastowego zneutralizowania zagrożenia. Raporty i dane uzyskane z modułu EASM można bezpośrednio wykorzystać na innych platformach Bitdefender GravityZone w celu usprawnienia procesu naprawczego. Poniżej wymienimy trzy najważniejsze funkcje, które zapewnia EASM.
Przejście do reagowania na incydenty: Z interfejsu EASM możesz płynnie przejść bezpośrednio do sekcji incydentów na podstawie zidentyfikowanych adresów IP i adresów e-mail. Dzięki temu w razie zidentyfikowania problemu bezpieczeństwa możesz podjąć natychmiastową reakcję i zneutralizować niebezpieczeństwo.
Dynamic Risk Scoring: Funkcja, dzięki której będziesz mógł sprawdzić wskaźnik zagrożenia dla Twojej firmy. Bitdefender EASM przygotowuje raport bezpieczeństwa, zamieszcza w nim najważniejsze niebezpieczeństwa i generuje ocenę zagrożenia.
Analiza luk w infrastrukturze firmy: Podczas badania usług w ramach EASM możesz bezpośrednio przejść z panelu szczegółów usług do zakładki Zasoby w Zarządzaniu ryzykiem. Umożliwia to natychmiastowe wyświetlenie wszystkich istotnych zasobów powiązanych z lukami w bezpieczeństwie CVE (Common Vulnerabilities and Exposures).
Przykład działania Bitdefender EASM
W tej sekcji przedstawimy przykład działania Bitdefender EASM. Przyjmijmy, że istnieje pewna firma z publiczną domeną. Używając łatwo dostępnych narzędzi do rozpoznania internetowego, dzienników CT i publicznych rekordów DNS, cyberprzestepcy mogą łatwo znaleźć krytyczne informacje o tej domenie. Wśród niebezpiecznych informacji są publiczne adresy IP, szczegóły certyfikatów, otwarte porty, zidentyfikowane dodatkowe usługi, a także informacje o potencjalnych lukach bezpieczeństwa. Taki natłok danych może sprawić, że cyberprzestępcy bardzo łatwo złamią zabezpieczenia danej firmy.
Inżynierowie Bitdefender opracowali EASM właśnie do zapobiegania takim sytuacjom. Poprzez ciągłe skanowanie i katalogowanie tych zewnętrznych zasobów i ich powiązanych luk, EASM pozwala każdej organizacji proaktywnie identyfikować i zarządzać zewnętrzną powierzchnią ataku.
Gdy EASM zidentyfikuje usługę ze znaną luką w zabezpieczeniach, np. przestarzały serwer WWW, administrator sieci może natychmiast przejść z panelu szczegółów usług do zakładki Zasoby w Zarządzaniu ryzykiem. Dzięki temu uzyska wstępnie przefiltrowany widok konkretnego CVE. Na podstawie informacji w nim zawartych będzie mógł rozpocząć proces łagodzenia takiego zagrożenia, jeszcze zanim wykorzysta je cyberprzestępca.
Jeśli adres IP lub adres e-mail powiązany z zasobem zostanie oznaczony podczas incydentu, moduł Bitdefender EASM umożliwia płynne przejście do sekcji incydentu. To natychmiastowe łącze zapewnia szybki kontekst dla szybszego badania i ograniczania zagrożeń związanych z zewnętrzną powierzchnią ataku.
Kluczowe wnioski związane z nowym modułem Bitdefender EASM
W aktualnym krajobrazie zagrożeń w sieci, cyberprzestępcy czyhają na jakikolwiek, nawet najmniejszy błąd w konfiguracji bezpieczeństwa organizacji. Nowy moduł Bitdefender External Attack Surface Management zapewnia kluczową widoczność i praktyczne dane niezbędne do szybkiego identyfikowania, oceniania cyberincydentów oraz znacznego zmniejszenia wektoru ataku. Przekształcając surowe dane w praktyczne informacje, EASM umożliwia zespołom ds. cyberbezpieczeństwa wyprzedzanie zagrożeń i wzmacnianie zabezpieczeń organizacji.
