Zarządzanie powierzchnią ataku (ASM) to wykrywanie, ocena i ograniczanie zagrożeń w ekosystemie IT organizacji.
Spis treści
Zarządzanie powierzchnią ataku (ASM) to podejście do cyberbezpieczeństwa, którego celem jest pomoc organizacjom w skuteczniejszej ochronie ich danych i systemów poprzez zwiększanie widoczności zagrożeń. Chodzi o to, aby wiedzieć, gdzie istnieją zagrożenia, zrozumieć ich względną powagę i podjąć działania w celu wyeliminowania luk w zabezpieczeniach związanych z ludźmi, procesami i technologią.
ASM to tradycyjne podejście do cyberbezpieczeństwa, które obejmuje wykrywanie i monitorowanie zasobów. Przygląda się potencjalnym zagrożeniom tak, jak postrzegałby je atakujący: jako możliwości naruszenia zabezpieczeń organizacji i spowodowania szkód finansowych, operacyjnych lub wizerunkowych.
Aby zrozumieć Zarządzanie Powierzchnią Ataku (ASM), najpierw trzeba wiedzieć, co oznacza termin powierzchnia ataku.
Jaka jest powierzchnia ataku?
Powierzchnia ataku to suma wszystkich sposobów, w jakie atakujący może uzyskać dostęp do sieci, danych lub zasobów IT organizacji. Składa się z trzech części:
- Cyfrowa powierzchnia ataku to cały sprzęt, oprogramowanie i dane, do których można uzyskać dostęp z zewnątrz, nawet jeśli są chronione przez szyfrowanie, protokoły uwierzytelniania, zapory sieciowe lub inne środki.
- Fizyczna powierzchnia ataku obejmuje cały sprzęt fizyczny i urządzenia, które mogą zostać skradzione lub z którymi można się kontaktować fizycznie, aby spowodować naruszenie bezpieczeństwa lub naruszenie bezpieczeństwa.
- Społeczna lub ludzka powierzchnia ataku odnosi się do wszystkich osób w organizacji, które mają dostęp do systemów i danych, które mogą zostać oszukane, szantażowane lub w inny sposób zmanipulowane (na przykład poprzez schemat inżynierii społecznej, taki jak phishing, aby spowodować naruszenie).
Przed czym chroni ASM?
ASM pomaga organizacjom bronić się przed wieloma zagrożeniami, znanymi również jako „wektory ataku”. Obejmują one między innymi:
Cyberataki
Ransomware, wirusy i inne złośliwe oprogramowanie mogą być wstrzykiwane do systemów korporacyjnych, umożliwiając atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejmowanie urządzeń i uszkadzanie aktywów oraz danych.
Problemy z kodowaniem i błędne konfiguracje
Nieprawidłowe konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępu, protokoły i tym podobne, pozostawiają otwarte drzwi atakującym i są częstą przyczyną naruszeń.
Schematy phishingowe
Obejmują one oszukańcze wiadomości e-mail, SMS-y, wiadomości głosowe (a obecnie nawet rozmowy wideo z wykorzystaniem deepfake'ów generowanych przez sztuczną inteligencję), które wprowadzają użytkowników w błąd i skłaniają ich do podjęcia działań zagrażających cyberbezpieczeństwu. Może to być udostępnianie poufnych informacji, klikanie łączy prowadzących do złośliwego oprogramowania, zwalnianie funduszy, których nie należy wypłacać, i wiele więcej. Sztuczna inteligencja sprawiła, że phishing był trudniejszy do wykrycia i bardziej ukierunkowany.
Słabe hasła i szyfrowanie
Łatwe do odgadnięcia hasła — ponieważ są oczywiste, zbyt proste lub są ponownie używane dla wielu kont — mogą zapewnić przestępcom dostęp do zasobów cyfrowych organizacji. Z podobnych powodów wśród cyberprzestępców występuje również duży popyt na skradzione dane uwierzytelniające. Szyfrowanie ma na celu ukrycie informacji, aby tylko upoważnione osoby mogły je odczytać. Jeśli nie jest wystarczająco silna, hakerzy mogą wyodrębnić dane, które mogą wykorzystać do wywołania ataków na większą skalę.
Shadow IT
Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub objętego sankcjami środowiska IT, są uważane za „Shadow IT” i mogą tworzyć luki w zabezpieczeniach, ponieważ zespół ds. cyberbezpieczeństwa o nich nie wie. Obejmują one aplikacje, przenośne urządzenia pamięci masowej, osobiste telefony i tablety itp.
Jak działa ASM?
ASM składa się z trzech głównych faz: wykrywania, oceny i łagodzenia skutków. Ponieważ powierzchnia ataku ciągle się zmienia, wszystkie trzy muszą być wykonywane w sposób ciągły.
Wykrywanie
Faza wykrycia definiuje powierzchnię ataku i wszystkie zasoby, które go zawierają. Celem wykrywania jest zidentyfikowanie wszystkich znanych i nieznanych urządzeń, oprogramowania, systemów i punktów dostępu, które tworzą powierzchnię ataku — nawet aplikacji z obszaru shadow IT, połączonych technologii innych firm i technologii, które nie były częścią poprzednich inwentaryzacji. Chociaż wiele rozwiązań oferuje odkrycie w ramach rozwiązania ASM, musisz zachować czujność. Poszukiwanie rozwiązania, które integruje zgodność z przepisami i kwantyfikację ryzyka cybernetycznego, aby zapewnić pełny obraz ryzyka poza odkryciem zasobów, aby wykazać prawdziwą ekspozycję. Ciągły proces wykrywania pomaga odkryć, jak powierzchnia ataku może zmieniać się z czasem.
Ocena
Po odkryciu zagrożenia zespoły ds. bezpieczeństwa oceniają każdy zasób pod kątem potencjalnych luk w zabezpieczeniach — od błędów konfiguracji i kodowania po czynniki społeczne/ludzkie, takie jak podatność na phishing lub ataki typu Business Email Compromise (BEC). Każde ryzyko jest oceniane punktowo, co pozwala zespołom ds. bezpieczeństwa ustalić priorytety tych, którymi należy się zająć w pierwszej kolejności.
Ocena ryzyka jest zazwyczaj oparta na poziomie ryzyka, prawdopodobieństwie ataku, potencjalnych szkodach i trudnościach w naprawie. Idealnie byłoby również uwzględnić globalne analizy zagrożeń, które luki w zabezpieczeniach są wykorzystywane najczęściej i najłatwiej.
Przykład: Jeśli oprogramowanie zapewnia dostęp do poufnych danych, jest podłączone do Internetu i ma znaną lukę w zabezpieczeniach, która została już wykorzystana przez rzeczywistych atakujących, jego aktualizacja będzie prawdopodobnie priorytetem.
Po ocenieniu wszystkich zagrożeń suma jest obliczana w celu uzyskania ogólnej oceny ryzyka w przedsiębiorstwie. Pozwala to organizacji na porównywanie i monitorowanie profilu ryzyka w czasie.
Łagodzenie
Łagodzenie zagrożeń polega na podejmowaniu działań mających na celu wyeliminowanie wykrytych luk w zabezpieczeniach. Może to oznaczać uruchamianie aktualizacji oprogramowania lub instalowanie poprawek, konfigurowanie zabezpieczeń i sprzętu lub wdrażanie ram ochrony, takich jak zero trust. Może to również obejmować pozbycie się starych systemów i oprogramowania. Tak czy inaczej, ważne jest, aby mieć odpowiednie rozwiązanie, które pomoże Ci ograniczyć ryzyko w skalowalny sposób.
Zarządzanie powierzchnią ataku w porównaniu z zewnętrznym zarządzaniem powierzchnią ataku (EASM)
Zarządzanie zewnętrzną powierzchnią ataku (EASM) koncentruje się w szczególności na lukach w zabezpieczeniach i zagrożeniach związanych z urządzeniami i systemami skierowanymi na zewnątrz, w tym podłączonymi do Internetu. Wewnętrzna powierzchnia ataku, która może obejmować sprzęt lokalny i zasoby partycjonowane, nie jest objęta programem EASM.
Dlaczego ASM ma znaczenie?
ASM stała się niezwykle ważna, ponieważ środowiska IT w przedsiębiorstwach są bardziej dynamiczne i wzajemnie ze sobą połączone niż kiedykolwiek wcześniej, co sprawia, że powierzchnia ataku jest większa i bardziej zróżnicowana. Tradycyjne metody wykrywania i monitorowania zasobów oraz rozwiązania „punktowe” cyberbezpieczeństwa nie zapewniają pełnej widoczności, inteligencji ani wymaganej ochrony. Natomiast ASM pozwala zespołom ds. bezpieczeństwa zmniejszyć liczbę ścieżek do ekosystemu IT przedsiębiorstwa i uzyskać wgląd w czasie rzeczywistym w pojawiające się luki i wektory ataku.
Rodzaje Attack Surface Management
Zarządzanie powierzchnią ataku (ASM) dzieli się na różne typy, które obejmują różne aspekty cyfrowego środowiska organizacji. Obejmują one ASM zewnętrzne, ASM wewnętrzne, ASM zasobów cybernetycznych i ASM otwartego źródła. Każdy typ odgrywa kluczową rolę w monitorowaniu i łagodzeniu ryzyk, oferując organizacjom kompleksowe podejście do ochrony ich zasobów cyfrowych.
Zewnętrzne Zarządzanie Powierzchnią Ataku
ASM zewnętrzne koncentruje się na wewnętrznych zasobach biznesowych, które są narażone na publiczny internet, takich jak aplikacje internetowe, zasoby oparte na chmurze, adresy IP i nazwy domen, które mogą być wykorzystane przez atakujących. Te usługi dostępne publicznie są często celem atakujących, którzy szukają luk w zabezpieczeniach lub błędnych konfiguracji.
Wewnętrzne Zarządzanie Powierzchnią Ataku
ASM wewnętrzne zajmuje się ryzykami wewnątrz prywatnej sieci organizacji, w tym urządzeniami, aplikacjami i systemami, które nie są publicznie dostępne, ale mogą być wykorzystane, jeśli atakujący uzyskają dostęp. Jest to szczególnie istotne w walce z zaawansowanymi trwałymi zagrożeniami (APT) i zagrożeniami wewnętrznymi, które często obejmują ruch boczny i eskalację uprawnień w sieci. Systemy dziedziczone lub słabo zabezpieczone serwery wewnętrzne mogą stanowić luki, które atakujący wykorzystują po uzyskaniu dostępu do sieci.
Zarządzanie Powierzchnią Ataku Zasobów Cybernetycznych
ASM zasobów cybernetycznych koncentruje się na zarządzaniu i zabezpieczaniu indywidualnych zasobów w organizacji, w tym punktów końcowych, kont użytkowników, instancji w chmurze i urządzeń mobilnych. Jest to szczególnie krytyczne w dzisiejszych hybrydowych środowiskach pracy, gdzie zasoby są rozproszone między infrastrukturami lokalnymi i opartymi na chmurze. Organizacje działające w środowiskach multi-cloud często mają zróżnicowane zasoby, takie jak kontenery, maszyny wirtualne i API.
Zarządzanie Powierzchnią Ataku Otwartego Źródła
ASM otwartego źródła koncentruje się na zarządzaniu ryzykami związanymi z technologiami otwartego źródła i publicznie dostępnymi informacjami. Chociaż oprogramowanie otwartego źródła jest szeroko stosowane, wprowadza luki z powodu swojej przejrzystości i zależności od wkładów społeczności. Dodatkowo, atakujący często wykorzystują dane ujawnione, takie jak wyciekłe dane uwierzytelniające, klucze API lub wrażliwe pliki konfiguracyjne znalezione w otwartych repozytoriach, takich jak Github.
Attack Surface Management vs. Cyber Risk Management
Zarządzanie powierzchnią ataku (ASM) jest istotnym elementem zarządzania ryzykiem cybernetycznym, a razem pomagają organizacjom poprawić świadomość sytuacyjną w zakresie cyberbezpieczeństwa - proaktywnie identyfikując, priorytetyzując i łagodząc zagrożenia.
Zarządzanie ryzykiem cybernetycznym to ogólne podejście do cyberbezpieczeństwa, które wykracza poza ASM, koncentrując się na poznawaniu i łagodzeniu ryzyk w całym przedsiębiorstwie. Dobry framework zarządzania ryzykiem cybernetycznym pomaga określić, które ryzyka są najbardziej istotne, wspierając 'podejmowanie decyzji opartych na ryzyku', aby zmniejszyć ogólną ekspozycję na zagrożenia. To pozwala zespołom ds. bezpieczeństwa wzmocnić obronę, zminimalizować luki i informować procesy zarządzania ryzykiem i planowania strategicznego organizacji.
Jakie są zalety ASM?
Dobre zarządzanie powierzchnią ataku zapewnia wiele korzyści dla organizacji, począwszy od wzmocnienia ogólnego poziomu bezpieczeństwa poprzez zapewnienie większej widoczności całego środowiska IT i powierzchni ataku. To z kolei pomaga zmniejszyć ryzyko, a także jest wspierane przez ciągłe monitorowanie i ponowną ocenę, aby utrzymać niski poziom ryzyka.
Daje to spokój ducha zespołowi ds. bezpieczeństwa, oferując znaczące korzyści dla całej firmy. Widoczność powierzchni ataku zapewnia większą przejrzystość i kontrolę nad zasobami, zmniejszając ryzyko cyberataków i zwiększając oszczędności. Gdy zespoły ds. bezpieczeństwa mogą działać szybciej i skuteczniej, organizacje mogą być lepiej przygotowane do zapewnienia ciągłości działalności. Ponieważ gdy ataki są identyfikowane i łagodzone wcześniej, ryzyko poważnych zakłóceń jest mniejsze.
Jak możemy wdrożyć ASM?
ASM wymaga rozwiązania do zarządzania ryzykiem cybernetycznym zintegrowanego z platformą cyberbezpieczeństwa, która wykorzystuje proaktywne podejście do przeprowadzania faz wykrywania, oceny i łagodzenia ryzyka.
Szczególnie ważny jest wybór platformy o silnych funkcjach bezpieczeństwa, takich jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), wykrywanie i reagowanie w punktach końcowych (EDR) oraz rozszerzone wykrywanie i reagowanie (XDR). W szczególności XDR dostarcza niezbędnych danych i analiz na temat działania bieżących zabezpieczeń powierzchni ataku. Dzięki tym spostrzeżeniom faza oceny ryzyka jest dokładniejsza.
ASM i zgodność
ASM odgrywa istotną rolę w spełnianiu wymogów regulacyjnych i zgodności, wykraczając poza samo wzmacnianie zabezpieczeń cybernetycznych. Ramy takie jak NIST Cybersecurity Framework, ISO/IEC 27001, RODO, HIPAA oraz PCI DSS podkreślają znaczenie widoczności zasobów, zarządzania podatnościami oraz ciągłego monitorowania kluczowych funkcji wspieranych przez ASM. Poprzez identyfikację narażonych zasobów i eliminację potencjalnych luk w zabezpieczeniach, ASM pomaga organizacjom utrzymać zgodność z kluczowymi kontrolami, skrócić czas przygotowania do audytów oraz uniknąć kosztownych kar za brak zgodności.
Dla firm działających w sektorach regulowanych ASM nie jest jedynie wzmocnieniem bezpieczeństwa, lecz narzędziem umożliwiającym zgodność, wspierającym odporność operacyjną i odpowiedzialność prawną.
Gdzie mogę uzyskać pomoc w zarządzaniu powierzchnią ataku?
Zarządzanie powierzchnią ataku nie wystarcza w dzisiejszym wymagającym krajobrazie ryzyka. Organizacje potrzebują zdolności do zarządzania ekspozycją na ryzyko cybernetyczne, aby proaktywnie przewidywać, monitorować i łagodzić zagrożenia.
Trend Vision One™ oferuje rozwiązania do zarządzania ryzykiem cybernetycznym i powierzchnią ataku, które są zaprojektowane, aby pomóc organizacjom w zabezpieczaniu ich cyfrowych zasobów. Nasze rozwiązania obejmują zaawansowane technologie, takie jak SIEM, EDR i XDR, które integrują się, aby dostarczyć pełny obraz ryzyka i pomóc w proaktywnym zarządzaniu zagrożeniami.
Trend Vision One™ Cyber Risk Exposure Management (CREM) może pomóc w zarządzaniu powierzchnią ataku i nie tylko.
Często zadawane pytania (FAQ)
Co to jest zarządzanie powierzchnią ataku?
Zarządzanie powierzchnią ataku polega na identyfikacji, monitorowaniu i redukcji punktów wejścia podatnych na cyberataki.
Jaka jest różnica między ASM a EASM?
ASM obejmuje zasoby wewnętrzne i zewnętrzne, a EASM koncentruje się na systemach wystawionych na zagrożenia internetowe.
Co to jest framework zarządzania powierzchnią ataku?
Framework obejmuje wykrywanie zasobów, ocenę ryzyka, ciągłe monitorowanie, usuwanie luk i raportowanie dla silnej ochrony.
Co to jest monitorowanie powierzchni ataku?
Monitorowanie powierzchni ataku śledzi zasoby, wykrywa podatności i ostrzega przed ich wykorzystaniem przez cyberprzestępców.
Jakie są wymagania zarządzania powierzchnią ataku?
Wymagania obejmują inwentaryzację zasobów, automatyczne skanowanie, zarządzanie lukami, monitoring w czasie rzeczywistym i zgodność z normami.
Jaki jest przykład powierzchni ataku?
- Przykłady to aplikacje webowe, API, usługi chmurowe, urządzenia IoT i punkty sieciowe podatne na ataki.