Zarządzanie powierzchnią ataku (ASM) to proces odkrywania, oceny i łagodzenia zagrożeń dla ekosystemu IT organizacji.
Attack Surface Management Definicja
Zarządzanie powierzchnią ataku (ASM) to podejście do cyberbezpieczeństwa, które ma na celu pomóc organizacjom w lepszej obronie ich danych i systemów poprzez zwiększenie widoczności zagrożeń. Chodzi o to, aby wiedzieć, gdzie istnieją ryzyka, zrozumieć ich względną powagę i podjąć działania w celu zamknięcia luk w zabezpieczeniach związanych z ludźmi, procesami i technologią.
ASM to tradycyjne podejście do cyberbezpieczeństwa, które obejmuje odkrywanie i monitorowanie zasobów. Analizuje potencjalne zagrożenia z perspektywy atakującego: jako możliwości naruszenia obrony organizacji i wyrządzenia szkód finansowych, operacyjnych lub reputacyjnych.
Aby zrozumieć Zarządzanie Powierzchnią Ataku (ASM), najpierw trzeba wiedzieć, co oznacza termin powierzchnia ataku.
Powierzchnia ataku to suma wszystkich sposobów, w jakie atakujący może uzyskać dostęp do sieci, danych lub zasobów IT organizacji. Składa się z trzech części:
Cyfrowa powierzchnia ataku obejmuje cały sprzęt, oprogramowanie i dane, do których można uzyskać zewnętrzny dostęp, nawet jeśli są chronione przez szyfrowanie, protokoły uwierzytelniania, firewalle lub inne środki.
Fizyczna powierzchnia ataku obejmuje cały sprzęt i urządzenia, które mogą zostać skradzione lub z którymi można fizycznie wejść w interakcję, aby spowodować naruszenie.
Społeczna lub ludzka powierzchnia ataku odnosi się do wszystkich osób w organizacji, które mają dostęp do systemów i danych, które mogą zostać oszukane, szantażowane lub w inny sposób zmanipulowane (na przykład poprzez schemat inżynierii społecznej, taki jak phishing, aby spowodować naruszenie).
Przed czym chroni ASM?
ASM pomaga organizacjom bronić się przed szerokim zakresem zagrożeń, znanych również jako 'wektory ataku'. Obejmują one, ale nie ograniczają się do:
Cyberataki
Ransomware, wirusy i inne złośliwe oprogramowanie mogą być wstrzykiwane do systemów korporacyjnych, umożliwiając atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejmowanie urządzeń i uszkadzanie aktywów oraz danych.
Problemy z kodowaniem i błędne konfiguracje
Błędne konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępu, protokoły itp., zostawiają 'drzwi' otwarte dla atakujących i są częstą przyczyną naruszeń.
Schematy phishingowe
Obejmują one oszukańcze e-maile, wiadomości tekstowe, wiadomości głosowe (a nawet, dzisiaj, z deepfake'ami generowanymi przez AI, rozmowy wideo), które oszukują użytkowników i skłaniają ich do podjęcia działań, które kompromitują cyberbezpieczeństwo. Może to obejmować udostępnianie poufnych informacji, klikanie w linki prowadzące do złośliwego oprogramowania, uwalnianie funduszy, które nie powinny być wypłacane i więcej. AI pomogła uczynić phishing trudniejszym do wykrycia i bardziej ukierunkowanym.
Słabe hasła i szyfrowanie
Łatwe do odgadnięcia hasła - czy to dlatego, że są oczywiste, zbyt proste lub używane wielokrotnie dla wielu kont - mogą dać złym aktorom dostęp do zasobów cyfrowych organizacji. Skradzione dane uwierzytelniające również są bardzo poszukiwane wśród cyberprzestępców z podobnych powodów. Szyfrowanie ma na celu ukrycie informacji, aby tylko autoryzowane osoby mogły je odczytać. Jeśli nie jest wystarczająco silne, hakerzy mogą wyodrębnić dane, które następnie mogą wykorzystać do przeprowadzenia ataków na większą skalę.
Shadow IT
Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub zatwierdzonego środowiska IT, są uważane za 'shadow IT' i mogą tworzyć luki w zabezpieczeniach właśnie dlatego, że zespół ds. cyberbezpieczeństwa o nich nie wie. Obejmują one aplikacje, przenośne urządzenia pamięci, osobiste telefony i tablety i podobne.
Jak działa ASM?
ASM ma trzy główne fazy: odkrywanie, ocenę i łagodzenie. Ponieważ powierzchnia ataku stale się zmienia, wszystkie trzy muszą być realizowane ciągle.
Odkrywanie
Faza odkrywania definiuje powierzchnię ataku i wszystkie zasoby, które ją tworzą. Celem odkrywania jest zidentyfikowanie wszystkich znanych i nieznanych urządzeń, oprogramowania, systemów i punktów dostępu, które składają się na powierzchnię ataku - nawet w tym aplikacje shadow IT, połączone technologie stron trzecich i technologie, które nie były częścią poprzednich inwentarzy. Chociaż wiele rozwiązań oferuje odkrywanie jako część swojej rozwiązania ASM, trzeba być rozważnym. Szukaj rozwiązania, które integruje zgodność i kwantyfikację ryzyka cybernetycznego, aby upewnić się, że uzyskujesz pełny obraz ryzyka poza odkrywaniem zasobów, aby pokazać prawdziwą ekspozycję. Ciągły proces odkrywania pomaga ujawnić, jak powierzchnia ataku może się zmieniać z czasem.
Ocena
Po odkryciu, zespoły ds. bezpieczeństwa oceniają każdy zasób pod kątem potencjalnych luk w zabezpieczeniach - wszystko, od błędnych konfiguracji i błędów kodowania po czynniki społeczne/ludzkie, takie jak podatność na schematy phishingowe lub ataki BEC (Business Email Compromise). Każde ryzyko jest oceniane, co pozwala zespołom ds. bezpieczeństwa na priorytetyzację tych, które trzeba najpilniej rozwiązać.
Ocena ryzyka jest zazwyczaj oparta na poziomie ryzyka, prawdopodobieństwie ataku, potencjalnych szkodach i trudności w naprawie. Idealnie uwzględni również globalną inteligencję zagrożeń dotyczącą tego, które luki są najczęściej i najłatwiej wykorzystywane.
Przykład: Jeśli oprogramowanie daje dostęp do poufnych danych, jest połączone z Internetem i ma znaną lukę, która już była wykorzystywana przez atakujących w rzeczywistym świecie, załatanie jej prawdopodobnie będzie najwyższym priorytetem.
Po ocenieniu wszystkich ryzyk, suma jest obliczana, aby dostarczyć ogólną ocenę ryzyka przedsiębiorstwa. To pozwala organizacji na porównanie i monitorowanie swojego profilu ryzyka w czasie.
Łagodzenie
Łagodzenie polega na podjęciu działań w celu rozwiązania wykrytych luk w zabezpieczeniach. Może to oznaczać uruchamianie aktualizacji oprogramowania lub instalowanie poprawek, konfigurowanie kontroli bezpieczeństwa i sprzętu, lub wdrażanie ram ochronnych, takich jak zero trust. Może to również obejmować pozbywanie się starych systemów i oprogramowania. W każdym przypadku, kluczowe jest, aby mieć odpowiednie rozwiązanie, które pomoże w skalowalnym podejściu do łagodzenia.
Dlaczego ASM jest ważne?
Istnieją dwa główne powody, dla których zarządzanie powierzchnią ataku jest potrzebne:
Środowisko IT organizacji musi być chronione
Cyfryzacja wszelkiego rodzaju pracy postępuje szybko w ostatnich latach z powodu zmian w środowisku biznesowym wywołanych promowaniem transformacji cyfrowej i zmianami w sposobie pracy, takimi jak praca zdalna. W rezultacie środowisko IT staje się bardziej złożone niż kiedykolwiek wcześniej z powodu wprowadzenia nowych technologii, takich jak używanie urządzeń VPN i usług w chmurze, oraz używanie urządzeń IoT.
Z drugiej strony, wiele organizacji nie nadąża za szybkimi zmianami i rosnącą złożonością własnych środowisk IT i związanych z nimi ryzyk, a środki bezpieczeństwa są odkładane na później. W rezultacie, z perspektywy cyberprzestępców, liczba celów do ataków rośnie.
Sofistykacja metod ataków cybernetycznych
Metody używane w atakach cybernetycznych i innych przestępstwach stają się coraz bardziej wyrafinowane, aby zwiększyć skuteczność ataków. W przeszłości głównym typem ataku cybernetycznego był typ 'scatter-and-gather', w którym złośliwe programy były wysyłane do dużej liczby nieokreślonych odbiorców za pomocą e-maila lub innych środków. Jednak nowoczesne ataki cybernetyczne stają się coraz bardziej wyrafinowane, z rosnącą liczbą 'ataków celowanych', które wykorzystują luki w VPN i RDP, a także skradzione informacje uwierzytelniające, aby przeniknąć do sieci organizacji docelowej, a następnie przeprowadzać wewnętrzne działania, takie jak eskalacja uprawnień, ruch boczny i kradzież informacji.
W rezultacie organizacje muszą brać pod uwagę nie tylko cyfrowe zasoby publicznie dostępne, ale także cyfrowe zasoby wewnątrz samej organizacji i wdrażać odpowiednie środki bezpieczeństwa.
Rodzaje Attack Surface Management
Zarządzanie powierzchnią ataku (ASM) dzieli się na różne typy, które obejmują różne aspekty cyfrowego środowiska organizacji. Obejmują one ASM zewnętrzne, ASM wewnętrzne, ASM zasobów cybernetycznych i ASM otwartego źródła. Każdy typ odgrywa kluczową rolę w monitorowaniu i łagodzeniu ryzyk, oferując organizacjom kompleksowe podejście do ochrony ich zasobów cyfrowych.
Zewnętrzne Zarządzanie Powierzchnią Ataku
ASM zewnętrzne koncentruje się na wewnętrznych zasobach biznesowych, które są narażone na publiczny internet, takich jak aplikacje internetowe, zasoby oparte na chmurze, adresy IP i nazwy domen, które mogą być wykorzystane przez atakujących. Te usługi dostępne publicznie są często celem atakujących, którzy szukają luk w zabezpieczeniach lub błędnych konfiguracji.
Wewnętrzne Zarządzanie Powierzchnią Ataku
ASM wewnętrzne zajmuje się ryzykami wewnątrz prywatnej sieci organizacji, w tym urządzeniami, aplikacjami i systemami, które nie są publicznie dostępne, ale mogą być wykorzystane, jeśli atakujący uzyskają dostęp. Jest to szczególnie istotne w walce z zaawansowanymi trwałymi zagrożeniami (APT) i zagrożeniami wewnętrznymi, które często obejmują ruch boczny i eskalację uprawnień w sieci. Systemy dziedziczone lub słabo zabezpieczone serwery wewnętrzne mogą stanowić luki, które atakujący wykorzystują po uzyskaniu dostępu do sieci.
Zarządzanie Powierzchnią Ataku Zasobów Cybernetycznych
ASM zasobów cybernetycznych koncentruje się na zarządzaniu i zabezpieczaniu indywidualnych zasobów w organizacji, w tym punktów końcowych, kont użytkowników, instancji w chmurze i urządzeń mobilnych. Jest to szczególnie krytyczne w dzisiejszych hybrydowych środowiskach pracy, gdzie zasoby są rozproszone między infrastrukturami lokalnymi i opartymi na chmurze. Organizacje działające w środowiskach multi-cloud często mają zróżnicowane zasoby, takie jak kontenery, maszyny wirtualne i API.
Zarządzanie Powierzchnią Ataku Otwartego Źródła
ASM otwartego źródła koncentruje się na zarządzaniu ryzykami związanymi z technologiami otwartego źródła i publicznie dostępnymi informacjami. Chociaż oprogramowanie otwartego źródła jest szeroko stosowane, wprowadza luki z powodu swojej przejrzystości i zależności od wkładów społeczności. Dodatkowo, atakujący często wykorzystują dane ujawnione, takie jak wyciekłe dane uwierzytelniające, klucze API lub wrażliwe pliki konfiguracyjne znalezione w otwartych repozytoriach, takich jak Github.
Attack Surface Management vs. Cyber Risk Management
Zarządzanie powierzchnią ataku (ASM) jest istotnym elementem zarządzania ryzykiem cybernetycznym, a razem pomagają organizacjom poprawić świadomość sytuacyjną w zakresie cyberbezpieczeństwa - proaktywnie identyfikując, priorytetyzując i łagodząc zagrożenia.
Zarządzanie ryzykiem cybernetycznym to ogólne podejście do cyberbezpieczeństwa, które wykracza poza ASM, koncentrując się na poznawaniu i łagodzeniu ryzyk w całym przedsiębiorstwie. Dobry framework zarządzania ryzykiem cybernetycznym pomaga określić, które ryzyka są najbardziej istotne, wspierając 'podejmowanie decyzji opartych na ryzyku', aby zmniejszyć ogólną ekspozycję na zagrożenia. To pozwala zespołom ds. bezpieczeństwa wzmocnić obronę, zminimalizować luki i informować procesy zarządzania ryzykiem i planowania strategicznego organizacji.
Jakie są korzyści z ASM?
Dobre zarządzanie powierzchnią ataku zapewnia szeroki zakres korzyści dla organizacji, zaczynając od wzmocnienia ogólnej postawy bezpieczeństwa poprzez zwiększenie widoczności całego środowiska IT i powierzchni ataku. To z kolei pomaga zmniejszyć ryzyko, wspierane przez ciągłe monitorowanie i ponowną ocenę, aby utrzymać niski poziom ryzyka.
To daje spokój zespołowi ds. bezpieczeństwa, a jednocześnie oferuje znaczące korzyści dla całego biznesu. Posiadanie widoczności powierzchni ataku pozwala na większą przejrzystość i kontrolę nad zasobami, zmniejszając ryzyko cyberataków i zwiększając oszczędności kosztów. Kiedy zespoły ds. bezpieczeństwa mogą działać szybciej i skuteczniej, organizacje są lepiej przygotowane do zapewnienia ciągłości biznesowej. Ponieważ gdy ataki są identyfikowane i łagodzone wcześniej, istnieje mniejsze ryzyko znaczących zakłóceń.
Jak możemy wdrożyć ASM?
ASM wymaga rozwiązania do zarządzania ekspozycją na ryzyko cybernetyczne, które jest zintegrowane z platformą cyberbezpieczeństwa, która przyjmuje proaktywne podejście do realizacji faz odkrywania, oceny i łagodzenia.
Wybór platformy z silnymi możliwościami operacji bezpieczeństwa, takimi jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), wykrywanie i reagowanie na punkty końcowe (EDR) oraz rozszerzone wykrywanie i reagowanie (XDR) jest szczególnie ważny. XDR w szczególności dostarcza niezbędnych danych i analiz na temat tego, jak działają obecne zabezpieczenia powierzchni ataku. Te informacje pomagają uczynić fazę oceny ryzyka bardziej dokładną.
Gdzie mogę uzyskać pomoc w zarządzaniu powierzchnią ataku?
Zarządzanie powierzchnią ataku nie wystarcza w dzisiejszym wymagającym krajobrazie ryzyka. Organizacje potrzebują zdolności do zarządzania ekspozycją na ryzyko cybernetyczne, aby proaktywnie przewidywać, monitorować i łagodzić zagrożenia.
Trend Micro oferuje rozwiązania do zarządzania ryzykiem cybernetycznym i powierzchnią ataku, które są zaprojektowane, aby pomóc organizacjom w zabezpieczaniu ich cyfrowych zasobów. Nasze rozwiązania obejmują zaawansowane technologie, takie jak SIEM, EDR i XDR, które integrują się, aby dostarczyć pełny obraz ryzyka i pomóc w proaktywnym zarządzaniu zagrożeniami.
Trend Vision One™ Cyber Risk Exposure Management (CREM) może pomóc w zarządzaniu powierzchnią ataku i nie tylko.