Zarządzanie powierzchnią ataku (ASM) to wykrywanie, ocena i ograniczanie zagrożeń w ekosystemie IT organizacji.
Zarządzanie powierzchnią ataku (ASM) to podejście do cyberbezpieczeństwa, którego celem jest pomoc organizacjom w skuteczniejszej ochronie ich danych i systemów poprzez zwiększanie widoczności zagrożeń. Chodzi o to, aby wiedzieć, gdzie istnieją zagrożenia, zrozumieć ich względną powagę i podjąć działania w celu wyeliminowania luk w zabezpieczeniach związanych z ludźmi, procesami i technologią.
ASM to tradycyjne podejście do cyberbezpieczeństwa, które obejmuje wykrywanie i monitorowanie zasobów. Przygląda się potencjalnym zagrożeniom tak, jak postrzegałby je atakujący: jako możliwości naruszenia zabezpieczeń organizacji i spowodowania szkód finansowych, operacyjnych lub wizerunkowych.
Jaka jest powierzchnia ataku?
Powierzchnia ataku to suma wszystkich sposobów uzyskania dostępu do sieci, danych lub zasobów IT organizacji. Składa się z trzech części:
- Cyfrowa powierzchnia ataku to cały sprzęt, oprogramowanie i dane, do których można uzyskać dostęp z zewnątrz, nawet jeśli są chronione przez szyfrowanie, protokoły uwierzytelniania, zapory sieciowe lub inne środki.
- Fizyczna powierzchnia ataku obejmuje cały sprzęt fizyczny i urządzenia, które mogą zostać skradzione lub z którymi można się kontaktować fizycznie, aby spowodować naruszenie bezpieczeństwa lub naruszenie bezpieczeństwa.
- Społeczna lub ludzka powierzchnia ataku odnosi się do wszystkich osób w organizacji z dostępem do systemów i danych, które mogą zostać oszukane, zaszantażowane lub w inny sposób zmanipulowane (na przykład za pomocą schematu inżynierii społecznej, takiego jak phishing) w celu naruszenia bezpieczeństwa lub naruszenia.
Zarządzanie powierzchnią ataku a zarządzanie ryzykiem cybernetycznym
Zarządzanie powierzchnią ataku (ASM) jest podstawowym elementem zarządzania ryzykiem cybernetycznym, a razem pomagają organizacjom zwiększyć świadomość sytuacyjną w zakresie cyberbezpieczeństwa — aktywnie identyfikując, ustalając priorytety i minimalizując zagrożenia.
Zarządzanie ryzykiem cybernetycznym to zaawansowane podejście do cyberbezpieczeństwa, które wykracza poza ASM, koncentrując się na znajomości i ograniczaniu ryzyka w całej firmie. Dobre ramy zarządzania ryzykiem cybernetycznym pomagają określić, które zagrożenia są najbardziej istotne, wspierając „podejmowanie decyzji w oparciu o ryzyko” w celu zmniejszenia ogólnego narażenia na zagrożenia. Pozwala to zespołom ds. bezpieczeństwa wzmocnić mechanizmy obronne, zminimalizować luki w zabezpieczeniach i poinformować o ogólnych procesach zarządzania ryzykiem i planowania strategicznego organizacji.
Zarządzanie powierzchnią ataku w porównaniu z zewnętrznym zarządzaniem powierzchnią ataku (EASM)
Zarządzanie zewnętrzną powierzchnią ataku (EASM) koncentruje się w szczególności na lukach w zabezpieczeniach i zagrożeniach związanych z urządzeniami i systemami skierowanymi na zewnątrz, w tym podłączonymi do Internetu. Wewnętrzna powierzchnia ataku, która może obejmować sprzęt lokalny i zasoby partycjonowane, nie jest objęta programem EASM.
Dlaczego ASM ma znaczenie?
ASM stała się niezwykle ważna, ponieważ środowiska IT w przedsiębiorstwach są bardziej dynamiczne i wzajemnie ze sobą połączone niż kiedykolwiek wcześniej, co sprawia, że powierzchnia ataku jest większa i bardziej zróżnicowana. Tradycyjne metody wykrywania i monitorowania zasobów oraz rozwiązania „punktowe” cyberbezpieczeństwa nie zapewniają pełnej widoczności, inteligencji ani wymaganej ochrony. Natomiast ASM pozwala zespołom ds. bezpieczeństwa zmniejszyć liczbę ścieżek do ekosystemu IT przedsiębiorstwa i uzyskać wgląd w czasie rzeczywistym w pojawiające się luki i wektory ataku.
Przed czym chroni ASM?
ASM pomaga organizacjom bronić się przed wieloma zagrożeniami, znanymi również jako „wektory ataku”. Obejmują one między innymi:
- Cyberataki: Oprogramowanie ransomware, wirusy i inne złośliwe oprogramowanie można wstrzykiwać do systemów korporacyjnych, umożliwiając atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejęcie urządzeń oraz uszkodzenie zasobów i danych.
- Problemy z kodowaniem i błędy konfiguracji: Błędne konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępowe, protokoły i tym podobne, pozostawiają otwarte „drzwi” dla atakujących i są częstą przyczyną naruszeń.
- Schematy phishingowe: Należą do nich fałszywe wiadomości e-mail, wiadomości tekstowe, wiadomości głosowe (a nawet dzisiaj, z wygenerowanymi przez sztuczną inteligencję plikami Deepfake i połączeniami wideo), które oszukują użytkowników i zachęcają ich do podjęcia działań zagrażających cyberbezpieczeństwu. Może to być udostępnianie poufnych informacji, klikanie łączy prowadzących do złośliwego oprogramowania, zwalnianie funduszy, których nie należy wypłacać, i wiele więcej. Sztuczna inteligencja sprawiła, że phishing był trudniejszy do wykrycia i bardziej ukierunkowany.
- Przestarzałe technologie i aplikacje: Oprogramowanie, oprogramowanie układowe i systemy operacyjne urządzeń muszą być prawidłowo kodowane i aktualizowane pod kątem znanych luk w zabezpieczeniach i zagrożeń, w przeciwnym razie mogą zapewnić atakującym sposób na naruszenie bezpieczeństwa organizacji. Stare urządzenia, które nadal są częścią środowiska IT, ale nie są konserwowane lub aktywnie używane, mogą również zapewnić wygodne punkty dostępu dla atakujących, ponieważ często nie są monitorowane.
- Słabe hasła i szyfrowanie: Łatwe do odgadnięcia hasła — ponieważ są oczywiste, zbyt proste lub są ponownie używane na wielu kontach — mogą zapewnić przestępcom dostęp do zasobów cyfrowych organizacji. Z podobnych powodów wśród cyberprzestępców występuje również duży popyt na skradzione dane uwierzytelniające. Szyfrowanie ma na celu ukrycie informacji, aby tylko upoważnione osoby mogły je odczytać. Jeśli nie jest wystarczająco silna, hakerzy mogą wyodrębnić dane, które mogą wykorzystać do wywołania ataków na większą skalę.
- Shadow IT: Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub objętego sankcjami środowiska IT, są uznawane za ‘shadow IT’ i mogą tworzyć luki w zabezpieczeniach, ponieważ zespół ds. cyberbezpieczeństwa ich nie zna. Obejmują one aplikacje, przenośne urządzenia pamięci masowej, osobiste telefony i tablety itp.
Jak działa ASM?
ASM składa się z trzech głównych faz: wykrywania, oceny i łagodzenia skutków. Ponieważ powierzchnia ataku ciągle się zmienia, wszystkie trzy muszą być wykonywane w sposób ciągły.
Wykrywanie
Faza wykrycia definiuje powierzchnię ataku i wszystkie zasoby, które go zawierają. Celem wykrywania jest zidentyfikowanie wszystkich znanych i nieznanych urządzeń, oprogramowania, systemów i punktów dostępu, które tworzą powierzchnię ataku — nawet aplikacji z obszaru shadow IT, połączonych technologii innych firm i technologii, które nie były częścią poprzednich inwentaryzacji. Chociaż wiele rozwiązań oferuje odkrycie w ramach rozwiązania ASM, musisz zachować czujność. Poszukiwanie rozwiązania, które integruje zgodność z przepisami i kwantyfikację ryzyka cybernetycznego, aby zapewnić pełny obraz ryzyka poza odkryciem zasobów, aby wykazać prawdziwą ekspozycję. Ciągły proces wykrywania pomaga odkryć, jak powierzchnia ataku może zmieniać się z czasem.
Ocena
Po odkryciu zagrożenia zespoły ds. bezpieczeństwa oceniają każdy zasób pod kątem potencjalnych luk w zabezpieczeniach — od błędów konfiguracji i kodowania po czynniki społeczne/ludzkie, takie jak podatność na phishing lub ataki typu Business Email Compromise (BEC). Każde ryzyko jest oceniane, dzięki czemu zespoły ds. bezpieczeństwa mogą priorytetyzować te, które wymagają natychmiastowego rozwiązania.
Ocena ryzyka jest zazwyczaj oparta na poziomie ryzyka, prawdopodobieństwie ataku, potencjalnych szkodach i trudnościach w naprawie. Idealnie byłoby również uwzględnić globalne analizy zagrożeń, które luki w zabezpieczeniach są wykorzystywane najczęściej i najłatwiej.
Przykład: Jeśli oprogramowanie daje dostęp do wrażliwych danych, jest podłączone do Internetu i ma znaną lukę w zabezpieczeniach, która została już wykorzystana przez prawdziwych atakujących, jej wprowadzenie będzie prawdopodobnie najwyższym priorytetem.
Po ocenieniu wszystkich zagrożeń suma jest obliczana w celu uzyskania ogólnej oceny ryzyka w przedsiębiorstwie. Pozwala to organizacji na porównywanie i monitorowanie profilu ryzyka w czasie.
Łagodzenie skutków
Łagodzenie zagrożeń polega na podejmowaniu działań mających na celu wyeliminowanie wykrytych luk w zabezpieczeniach. Może to oznaczać uruchamianie aktualizacji oprogramowania lub instalowanie poprawek, konfigurowanie zabezpieczeń i sprzętu lub wdrażanie ram ochrony, takich jak zero trust. Może to również obejmować pozbycie się starych systemów i oprogramowania. Tak czy inaczej, ważne jest, aby mieć odpowiednie rozwiązanie, które pomoże Ci ograniczyć ryzyko w skalowalny sposób.
Jakie są zalety ASM?
Dobre zarządzanie powierzchnią ataku zapewnia wiele korzyści dla organizacji, począwszy od wzmocnienia ogólnego poziomu bezpieczeństwa poprzez zapewnienie większej widoczności całego środowiska IT i powierzchni ataku. To z kolei pomaga zmniejszyć ryzyko, a także jest wspierane przez ciągłe monitorowanie i ponowną ocenę, aby utrzymać niski poziom ryzyka.
Daje to spokój ducha zespołowi ds. bezpieczeństwa, oferując znaczące korzyści dla całej firmy. Widoczność powierzchni ataku zapewnia większą przejrzystość i kontrolę nad zasobami, zmniejszając ryzyko cyberataków i zwiększając oszczędności. Gdy zespoły ds. bezpieczeństwa mogą działać szybciej i skuteczniej, organizacje mogą być lepiej przygotowane do zapewnienia ciągłości działalności. Ponieważ gdy ataki są identyfikowane i łagodzone wcześniej, ryzyko poważnych zakłóceń jest mniejsze.
Jak możemy wdrożyć ASM?
ASM wymaga rozwiązania do zarządzania ryzykiem cybernetycznym zintegrowanego z platformą cyberbezpieczeństwa, która wykorzystuje proaktywne podejście do przeprowadzania faz wykrywania, oceny i łagodzenia ryzyka.
Szczególnie ważny jest wybór platformy o silnych funkcjach bezpieczeństwa, takich jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), wykrywanie i reagowanie w punktach końcowych (EDR) oraz rozszerzone wykrywanie i reagowanie (XDR). W szczególności XDR dostarcza niezbędnych danych i analiz na temat działania bieżących zabezpieczeń powierzchni ataku. Dzięki tym spostrzeżeniom faza oceny ryzyka jest dokładniejsza.
Gdzie mogę uzyskać pomoc w zarządzaniu powierzchnią ataku?
Zarządzanie powierzchnią ataku nie wystarczy w dzisiejszym wymagającym krajobrazie ryzyka. Organizacje potrzebują możliwości zarządzania ryzykiem cybernetycznym do proaktywnego przewidywania, odkrywania, oceny i łagodzenia ryzyka w celu znacznego ograniczenia wpływu cyberbezpieczeństwa na środowisko.
Trend Vision One™ oferuje rozwiązanie do zarządzania narażeniem na ryzyko cybernetyczne (CREM), które wykorzystuje rewolucyjne podejście, łącząc kluczowe funkcje, takie jak zewnętrzne zarządzanie powierzchnią ataku (EASM), zarządzanie powierzchnią ataku cybernetycznego (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawami bezpieczeństwa w chmurze, danych, tożsamości, API, Al, zgodność i aplikacje SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu.
Dowiedz się więcej o tym, jak zarządzanie narażeniem na ryzyko cybernetyczne może pomóc Ci w zarządzaniu powierzchnią ataku i nie tylko.