Czym jest powierzchnia ataku?

W dziedzinie cyberbezpieczeństwa „powierzchnia ataku” to cały zestaw luk w zabezpieczeniach, punktów dostępu i wektorów ataku, które można wykorzystać do uzyskania nieuprawnionego dostępu do systemów i danych organizacji.

Czym jest powierzchnia ataku?

Powierzchnia ataku jest celem złych aktorów, którzy chcą naruszyć obronę organizacji w celu zakłócenia działania systemów, kradzieży danych, wyłudzenia okupu lub podjęcia innego rodzaju złośliwych działań. To sprawia, że jest to kluczowy obszar zainteresowania specjalistów od cyberbezpieczeństwa.

Powierzchnia ataku obejmuje każdą lukę w zabezpieczeniach, punkt dostępu lub metodę, które można wykorzystać do włamania się do sieci lub środowiska IT — dowolnego sprzętu lub oprogramowania, lokalnie, w Internecie lub w chmurze.

W większości organizacji powierzchnia ataku składa się z trzech części: cyfrowej powierzchni ataku, fizycznej oraz społecznej lub ludzkiej powierzchni ataku. Tradycyjne podejście do zarządzania powierzchnią ataku już nie wystarcza. Wszystkie te powierzchnie muszą być stale i proaktywnie monitorowane poprzez wykorzystanie zarządzania narażeniem na ryzyko cybernetyczne, aby można było jak najszybciej wykryć i powstrzymać zagrożenia.

Oprócz ochrony powierzchni ataku większość zespołów ds. cyberbezpieczeństwa stara się również jak najdrobniej ją chronić, ograniczając możliwości włamania się cyberprzestępców i wyrządzenia im krzywdy. Może to być trudne, ponieważ systemy i środowiska IT wielu organizacji są bardziej połączone i otwarte niż kiedykolwiek wcześniej.

Dowiedz się więcej o zarządzaniu powierzchnią ataku.

Powierzchnia ataku a wektor ataku

Wektory ataku to jeden z aspektów ogólnej powierzchni ataku. Są to techniki wykorzystywane przez przestępców do nielegalnego dostępu do danych i systemów. Wiele wektorów może być użytych na wielu elementach powierzchni ataku, na przykład:

compared-attack-surfaces

Co powinniśmy wiedzieć o powierzchni ataku?

Jak wspomniano wcześniej, tradycyjne zarządzanie powierzchnią ataku nie wystarczy. Organizacje i ich zespoły ds. cyberbezpieczeństwa potrzebują rozwiązania do zarządzania ryzykiem cybernetycznym, aby uzyskać jasny, pełny obraz całej powierzchni ataku. Każda analiza powierzchni ataku powinna obejmować wszystko, od sprzętu sieciowego, serwerów w chmurze i urządzeń Internetu rzeczy (IoT) po konta użytkowników, uprawnienia dostępu i wiele więcej.

Ważne jest również, aby organizacje wiedziały, gdzie przechowywane są wszystkie ich dane, zwłaszcza dane o krytycznym znaczeniu dla działalności, prywatne, poufne, sklasyfikowane lub wrażliwe.

Stworzenie takiego obrazu i jego aktualizacja wymaga dokładnego mapowania cyfrowych, fizycznych i społecznych (ludzkich) części powierzchni ataku, które są śledzone wraz z upływem czasu.

Jakie są główne zagrożenia związane z powierzchnią ataku?

Każda z różnych części powierzchni ataku (cyfrowa, fizyczna, społeczna) ma własne zagrożenia, które broniący muszą znać i którymi muszą zarządzać. Zagrożenia te, w tym określone wektory ataku, stale się zmieniają wraz z rozwojem technologii i zagrożeń. Poniżej znajduje się kilka przykładów.

Zagrożenia związane z powierzchnią ataku cyfrowego

cyfrowe

Każda sieć lub zasób danych, do których można uzyskać dostęp z zewnątrz — nawet jeśli są chronione przez szyfrowanie, uwierzytelnianie, zapory sieciowe lub inne środki — jest częścią cyfrowej powierzchni ataku i jest podatna na:

  • Cyberataki: Oprogramowanie ransomware, wirusy i inne złośliwe oprogramowanie można wstrzykiwać do systemów korporacyjnych, umożliwiając atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejęcie urządzeń oraz uszkodzenie zasobów i danych.
  • Problemy z kodowaniem i błędy konfiguracji: Błędne konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępu i protokoły, pozostawiają „drzwi” otwarte dla atakujących i są częstą przyczyną naruszeń.
  • Eksponowane technologie: Każda technologia połączona z publicznym Internetem jest dostępna dla hakerów i podatna na ataki. Może to obejmować aplikacje internetowe, serwery sieciowe, serwery i aplikacje chmurowe oraz wiele innych.
  • Przestarzałe technologie i aplikacje: Oprogramowanie, oprogramowanie układowe i systemy operacyjne urządzeń muszą być prawidłowo kodowane i aktualizowane pod kątem znanych luk w zabezpieczeniach i zagrożeń, w przeciwnym razie mogą zapewnić atakującym sposób na naruszenie bezpieczeństwa organizacji. Stare urządzenia, które nadal są częścią środowiska IT, ale nie są konserwowane lub aktywnie używane, mogą również zapewnić wygodne punkty dostępu dla atakujących, ponieważ często nie są monitorowane.
  • Shadow IT: Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub usankcjonowanego środowiska IT, są uważane za „shadow IT” i mogą tworzyć luki w zabezpieczeniach właśnie dlatego, że zespół ds. cyberbezpieczeństwa o nich nie wie.  Obejmują one aplikacje, przenośne urządzenia pamięci masowej, osobiste telefony i tablety i nie tylko.
  • Słabe hasła i szyfrowanie: Łatwe do odgadnięcia hasła — ponieważ są oczywiste, zbyt proste lub są ponownie używane na wielu kontach — mogą zapewnić przestępcom dostęp do zasobów cyfrowych organizacji. Z podobnych powodów wśród cyberprzestępców występuje również duży popyt na skradzione dane uwierzytelniające. Szyfrowanie ma na celu ukrycie informacji, aby tylko upoważnione osoby mogły je odczytać. Jeśli nie jest wystarczająco silna, hakerzy mogą wyodrębnić dane, które mogą wykorzystać do wywołania ataków na większą skalę.

Zagrożenia fizyczne związane z powierzchnią ataku

fizyczne

Fizyczna powierzchnia ataku obejmuje technologie, które osoby fizyczne posiadają (takie jak laptopy) lub które są dostępne tylko w określonych lokalizacjach i obiektach. Dwa duże zagrożenia związane z fizyczną powierzchnią ataku to:

  • Włamania i kradzieże urządzeń: Laptopy i inne urządzenia są rutynowo kradzione z samochodów, z miejsc publicznych, gdy są pozostawiane bez nadzoru, a nawet podczas włamania do biur i innych budynków. Po tym, jak przestępcy będą mieć te urządzenia, będą mogli z nich korzystać i korzystać z przechowywanych na nich danych uwierzytelniających, aby dostać się do sieci firmowej lub uzyskać dostęp do innych zasobów.
  • Baiting: W przypadku ataków wabiących, przestępcy pozostawiają przenośne urządzenia pamięci masowej, takie jak USB, leżące w miejscach publicznych, mając nadzieję, że ktoś podłączy urządzenie do komputera, aby zobaczyć, co się na nim znajduje. Te pamięci USB są wyposażone w złośliwe oprogramowanie, które następnie wczytuje się do systemu użytkownika i zaczyna atakować.

Ryzyko związane z powierzchnią ataku o charakterze społecznym lub ludzkim

społeczny

Ludzie często nazywani są „pierwszą linią obrony” w dziedzinie cyberbezpieczeństwa. Dzieje się tak dlatego, że ich działania mogą bezpośrednio pomóc wzmocnić lub osłabić powierzchnię ataku. Cyberataki ukierunkowane na ludzkie zachowania nazywane są atakami socjotechnicznymi. Społeczna lub ludzka powierzchnia ataku jest zasadniczo równa liczbie użytkowników, których zachowanie w cyberprzestrzeni może celowo lub nieumyślnie zaszkodzić organizacji.

Częste zagrożenia obejmują:

  • Schematy phishingowe: Obejmują one wiadomości e-mail, wiadomości tekstowe, wiadomości głosowe (a nawet dzisiaj, dzięki wygenerowanym przez sztuczną inteligencję głębokiemu fałszerstwu, rozmowy wideo), które oszukują użytkowników i zachęcają ich do podjęcia działań zagrażających cyberbezpieczeństwu. Może to być udostępnianie poufnych informacji, klikanie łączy prowadzących do złośliwego oprogramowania, zwalnianie funduszy, których nie należy wypłacać, i wiele więcej. Sztuczna inteligencja sprawiła, że phishing był trudniejszy do wykrycia i bardziej ukierunkowany.
  • Złośliwi insiderzy: Pracownicy z urazą wobec swojej organizacji, szantażujący lub przekupujący przez przestępców mogą korzystać ze swoich legalnych upoważnień i dostępu do wydobycia danych firmy, udostępniać dane uwierzytelniające, instalować złośliwe oprogramowanie, niszczyć systemy firmy lub wykonywać inne szkodliwe działania.

Jak możemy zmniejszyć powierzchnię ataku?

Żadna organizacja nie jest w stanie całkowicie wyeliminować powierzchni ataku, ale można go ograniczyć i zminimalizować. Po zmapowaniu powierzchni ataku zespoły ds. cyberbezpieczeństwa mogą wdrożyć zarządzanie ryzykiem cybernetycznym w celu ciągłego monitorowania wszelkich zmian i proaktywnego przewidywania potencjalnych pojawiających się zagrożeń. Może to ujawnić możliwości ograniczenia obszarów podatności i narażenia, w tym:

  • Usprawnienie środowiska, wycofanie z eksploatacji wszelkiego przestarzałego lub niewykorzystanego oprogramowania i urządzeń oraz ograniczenie liczby punktów końcowych.
  • Podział sieci i dodawanie zapór sieciowych i innych barier utrudniających atakującym poruszanie się po zdobyciu dostępu.
  • Wykorzystanie wyników analizy powierzchni ataku do wykrywania i usuwania luk i słabych punktów, na przykład poprzez obowiązywanie silniejszych haseł, eliminowanie przestarzałego oprogramowania i aplikacji, ograniczanie shadow IT, wdrażanie ukierunkowanych zasad i mechanizmów kontroli bezpieczeństwa itp.
  • Wzmocnienie środków bezpieczeństwa poprzez stosowanie najlepszych praktyk, w tym uwierzytelniania dwuskładnikowego lub wieloskładnikowego i podejścia zero-trust. Brak zaufania sprawia, że dostęp do konkretnych danych, aplikacji i zasobów jest ograniczony tylko wtedy, gdy jest to potrzebne. Podejscie zero-trust radykalnie ogranicza to, kto może korzystać z jakich zasobów technologicznych, kiedy i jak długo. Chroni to zarówno aktywa, jak i sprawia, że w przypadku naruszenia staje się to bardziej oczywiste.
  • Zwiększanie cyberświadomości pracowników poprzez szkolenia, testy i okresowe odświeżanie. Tematy szkolenia mogą obejmować higienę haseł, przestrzeganie zasad firmy, zachowanie czujności na ryzyko phishingu i innych ataków socjotechnicznych oraz działania, które należy podjąć w przypadku obaw, że bezpieczeństwo może być zagrożone.

Czym jest zarządzanie powierzchnią ataku?

Zarządzanie powierzchnią ataku (ASM) to tradycyjne podejście do cyberbezpieczeństwa, którego celem jest pomoc organizacjom w skuteczniejszej ochronie ich danych i systemów. Chodzi o to, aby wiedzieć, gdzie istnieją zagrożenia, zrozumieć ich względną powagę i podjąć działania w celu wyeliminowania luk w zabezpieczeniach związanych z ludźmi, procesami i technologią. ASM umożliwia zespołom ds. bezpieczeństwa zmniejszenie liczby ścieżek do ekosystemu IT przedsiębiorstwa i uzyskanie informacji o pojawiających się lukach w zabezpieczeniach i wektorach ataku.

ASM stała się niezwykle ważna, ponieważ środowiska IT w przedsiębiorstwach są bardziej dynamiczne i wzajemnie ze sobą połączone niż kiedykolwiek wcześniej, co sprawia, że powierzchnia ataku jest większa i bardziej zróżnicowana. Tradycyjne rozwiązanie ASM, które oferuje metody wykrywania i monitorowania zasobów oraz jednofunkcyjne rozwiązania „punktowe” cyberbezpieczeństwa, nie może zapewnić pełnej widoczności, inteligencji ani wymaganej ochrony. Dzisiejszy krajobraz wymaga ciągłego monitorowania punktów wejścia i ustalania priorytetów działań łagodzących w oparciu o wpływ. Takie podejście pomaga przełożyć ryzyko na warunki biznesowe i przewidywać zagrożenia, umożliwiając proaktywną neutralizację ryzyka zanim się zmaterializuje

Czy rząd odgrywa rolę w zarządzaniu powierzchnią ataku?

Władze wielu jurysdykcji opracowały przepisy prawne, regulacje i polityki publiczne, aby określić oczekiwania dotyczące tego, jak organizacje powinny dbać o bezpieczeństwo swoich środowisk cyfrowych. Obejmują one takie platformy, jak ramy Cyber Risk Scoring Framework amerykańskiego Narodowego Instytutu Standardów i Technologii, które służą do oceny i zarządzania własną powierzchnią ataku.

Dobra współpraca między branżą a rządem w zakresie cyberbezpieczeństwa przyczynia się do wzmocnienia ogólnej ochrony cybernetycznej i promuje wymianę najlepszych praktyk skutecznego zarządzania powierzchnią ataku.

Kto może pomóc nam zarządzać powierzchnią ataku?

Samo zarządzanie powierzchnią ataku nie wystarczy. Dzisiejszy krajobraz ryzyka wymaga możliwości zarządzania ryzykiem cybernetycznym, aby aktywnie przewidywać, odkrywać, oceniać i łagodzić ryzyko i znacznie zmniejszać jego wpływ na środowisko.

Trend Vision One™ oferuje rozwiązanie do zarządzania narażeniem na ryzyko cybernetyczne (CREM), które wykorzystuje rewolucyjne podejście poprzez połączenie kluczowych funkcji, takich jak zarządzanie powierzchnią zewnętrznego ataku (EASM), zarządzanie powierzchnią ataku cybernetycznego (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawami bezpieczeństwa — w chmurze, danych, tożsamości, API, AI, zgodności i SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu.

Dowiedz się więcej o zarządzaniu narażeniem na ryzyko cybernetyczne,  aby wyjść poza zarządzanie powierzchnią ataku.