Ваша поверхность атаки - это сумма возможностей в вашей сети, которые киберпреступник может атаковать и использовать. Чтобы свести к минимуму кибер-риск, вам необходимо понимать поверхность атаки и управлять ею.
Ваша поверхность атаки
Поверхность атаки организации часто описывается как сумма способов взлома организации. Это самоограничивающая точка зрения. Предполагается, что набор известных векторов атак представляет собой полный список уязвимостей, которые киберпреступники могут попытаться использовать.
Лучшее определение состоит в том, что ваша поверхность атаки представляет собой сумму всех ИТ-активов, открытых для злоумышленников. Независимо от того, есть ли у них известные уязвимости или нет, любой незащищенный ИТ-объект - от серверов до API - должен рассматриваться как часть поверхности вашей атаки. Новая уязвимость, которая ставит под угрозу один из ваших активов, может быть обнаружена в любое время.
Все, что подвергается кибер-риску, что в основном соответствует внешнему миру, является потенциальной целью. Ваша поверхность атаки - это общая целевая область, которую вы предоставляете киберпреступникам. Излишне говорить, что чем меньше общая целевая площадь, тем лучше. Но, не будучи полностью вне сети, организация не может не иметь поверхности атаки в той или иной форме.
Если вы собираетесь застрять на поверхности атаки, единственный разумный способ действий - это понять ее, попытаться рационализировать и свести к минимуму, а также максимально защитить то, что осталось.
Отображение поверхности атаки
Пандемия COVID-19 в 2020 году привела к внезапной миграции многих сотрудников с офисной работы на домашнюю. Назвать это «миграцией», возможно, будет любезно. Во многих случаях то, что происходило, больше походило на покидание корабля. В любом случае, это был пример непредвиденных и драматических изменений в сфере ИТ.
При нормальных обстоятельствах нетривиальные изменения теоретически планируются заблаговременно и осуществляются контролируемым и обдуманным образом. Переход от одного важного бизнес-приложения к другому или переход от локальных к облачным вычислениям - вот примеры того, что обычно подразумевается под «миграцией».
Не говоря уже о различиях в исполнении, в обоих случаях вы изменили поверхность атаки. Как запланированные, так и вынужденные изменения подвергают риску различные ИТ-активы. Но они вполне могут устранить или снизить риски в других областях.
Нелегко все это визуализировать и оценить влияние изменений. Для многосайтовых организаций проблема еще сложнее. Один из способов справиться с этим - отобразить ваши ИТ-активы, включая программное обеспечение, на одной оси графика, а угрозы и уязвимости - на другой. Для каждой уязвимости, относящейся к активу, поместите маркер в месте их пересечения. Результирующий график представляет собой приблизительную поверхность вашей атаки.
Доступны пакеты программного обеспечения, которые помогут определить поверхность атаки. Автоматизация процесса гарантирует, что вы не забудете о полубездействующих устаревших системах, программном обеспечении или API-интерфейсах, которые можно легко упустить из виду. Эти пакеты особенно полезны при выявлении «халтурных» инициатив и других теневых ИТ, которые не были поставлены и развернуты вашей ИТ-командой. Программное обеспечение для управления поверхностью атаки (ASM) также обеспечивает функции мониторинга и оповещения.
Проект Open Web Application Security Project (OWASP) создал детектор поверхности атаки с открытым исходным кодом, предназначенный для выявления конечных точек, параметров и типов данных параметров веб-приложения. Он работает как плагин для популярных платформ тестирования безопасности OWASP ZAP и PortSwigger Burp Suite.
Инструменты, подобные этим, сосредоточены на цифровых аспектах вашей поверхности атаки. Они не учитывают ни физическую безопасность вашего помещения, ни осведомленность вашего персонала о кибербезопасности. Меры физической безопасности и доступа контролируют, кто может попасть в ваше здание и куда они могут пойти, оказавшись внутри. Обучение по вопросам кибербезопасности позволяет вашим сотрудникам применять передовые методы кибербезопасности, распознавать фишинговые атаки, методы социальной инженерии и, как правило, побуждает их ошибаться в сторону осторожности.
Независимо от того, объединяете ли вы их вместе со своей службой цифровых атак в одну поверхность uber-атаки или нет, физический доступ и обучение осведомленности о кибербезопасности нельзя ни игнорировать, ни относиться к ним как к гражданам второго сорта. Все они являются частью вашего общего управления безопасностью. Просто имейте в виду, что большинство программного обеспечения ASM дает преимущества только при рассмотрении вашей цифровой поверхности атаки.
Рационализировать и контролировать поверхность атаки
Вооружившись информацией из вашего ручного аудита поверхности атаки или отчетами из вашего программного обеспечения ASM, вы можете критически проанализировать атрибуты вашей поверхности атаки. Что именно делает его таким размером и насколько он уязвим?
Активы должны быть сгруппированы в соответствии с их критичностью и чувствительностью. Они имеют решающее значение, если они могут значительно негативно повлиять на работу вашей организации. если они были скомпрометированы. Они чувствительны, если они имеют дело с личными данными или любой частной информацией компании.
Все ли активы требуются в их текущей форме? Можно ли объединить некоторые из них, повысив безопасность и сократив расходы? Нужно ли закрывать теневые ИТ-проекты или переводить их в корпоративную собственность? Является ли топология вашей сети оптимальной для нужд вашей организации на сегодняшний день с точки зрения функциональности, производительности и безопасности? Есть ли у всех административных или других привилегированных учетных записей надежное экономическое обоснование?
После того, как вы задали все вопросы, поднятые в ходе аудита, и согласовали ответы, почти наверняка потребуются корректирующие работы, чтобы закрыть уязвимости и обезопасить сеть. Как только это будет завершено, выполните повторное сканирование или повторный аудит вашей сети, чтобы установить базовый уровень вашей поверхности атаки, а затем отслеживайте изменения.
Действующая информация
Системы управления поверхностью атаки предоставляют - в разной степени - панель управления, показывающую в режиме реального времени состояние активов, составляющих поверхность атаки. Оповещения уведомляют вас о дополнениях или изменениях, влияющих на поверхность атаки. Критичность и конфиденциальность ваших ИТ-ресурсов будут определять их приоритетность. Убедитесь, что высокоприоритетные активы отображаются на панели управления на видном месте или, по крайней мере, к ним применены наиболее полные механизмы оповещения.
Понимание вашей поверхности атаки, рационализация, ее защита и мониторинг - все это важные шаги, но они ничего не значат, если вы не собираетесь реагировать на информацию, которую предоставляет ваше программное обеспечение ASM. Это может быть так же просто, как установка исправлений или расследование необъяснимых событий.
У вас уже есть тщательный процесс управления исправлениями и расписание для обработки запланированных выпусков исправлений и внеочередных экстренных исправлений. Если ваш ASM сообщает, что конечная точка с уязвимостями была подключена к сети, ваша команда может решить, следует ли удалить ее из сети или обновить ее до последней версии. Обработка исключений из вашего обычного режима установки исправлений значительно упрощает процесс выявления выбросов.
Развивайся, чтобы выжить
Управление поверхностью атаки становится приоритетом для многих организаций. Количество и типы устройств, подключенных к сетям, растут и меняются. Одним из примеров является ночное переключение на домашнюю работу. Взрывной рост устройств Интернета вещей, а также гибридных или облачных вычислений - это другие.
Поверхность атаки развивается быстрее, чем когда-либо. Вот почему упреждающее управление и мониторинг являются обязательными.