Zarządzanie powierzchnią ataku (ASM) to proces odkrywania, oceny i łagodzenia zagrożeń dla ekosystemu IT organizacji.
Spis treści
Zarządzanie powierzchnią ataku (ASM) to podejście do cyberbezpieczeństwa, które ma na celu pomóc organizacjom w lepszej obronie ich danych i systemów poprzez zwiększenie widoczności zagrożeń. Chodzi o to, aby wiedzieć, gdzie istnieją ryzyka, zrozumieć ich względną powagę i podjąć działania w celu zamknięcia luk w zabezpieczeniach związanych z ludźmi, procesami i technologią.
ASM to tradycyjne podejście do cyberbezpieczeństwa, które obejmuje odkrywanie i monitorowanie zasobów. Analizuje potencjalne zagrożenia z perspektywy atakującego: jako możliwości naruszenia obrony organizacji i wyrządzenia szkód finansowych, operacyjnych lub reputacyjnych.
Aby zrozumieć Zarządzanie Powierzchnią Ataku (ASM), najpierw trzeba wiedzieć, co oznacza termin powierzchnia ataku.
Jaka jest powierzchnia ataku?
Powierzchnia ataku to suma wszystkich sposobów, w jakie atakujący może uzyskać dostęp do sieci, danych lub zasobów IT organizacji. Składa się z trzech części:
- Cyfrowa powierzchnia ataku obejmuje cały sprzęt, oprogramowanie i dane, do których można uzyskać zewnętrzny dostęp, nawet jeśli są chronione przez szyfrowanie, protokoły uwierzytelniania, firewalle lub inne środki.
- Fizyczna powierzchnia ataku obejmuje cały sprzęt i urządzenia, które mogą zostać skradzione lub z którymi można fizycznie wejść w interakcję, aby spowodować naruszenie.
- Społeczna lub ludzka powierzchnia ataku odnosi się do wszystkich osób w organizacji, które mają dostęp do systemów i danych, które mogą zostać oszukane, szantażowane lub w inny sposób zmanipulowane (na przykład poprzez schemat inżynierii społecznej, taki jak phishing, aby spowodować naruszenie).
Przed czym chroni ASM?
ASM pomaga organizacjom bronić się przed szerokim zakresem zagrożeń, znanych również jako 'wektory ataku'. Obejmują one, ale nie ograniczają się do:
Cyberataki
Ransomware, wirusy i inne złośliwe oprogramowanie mogą być wstrzykiwane do systemów korporacyjnych, umożliwiając atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejmowanie urządzeń i uszkadzanie aktywów oraz danych.
Problemy z kodowaniem i błędne konfiguracje
Błędne konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępu, protokoły itp., zostawiają 'drzwi' otwarte dla atakujących i są częstą przyczyną naruszeń.
Schematy phishingowe
Obejmują one oszukańcze e-maile, wiadomości tekstowe, wiadomości głosowe (a nawet, dzisiaj, z deepfake'ami generowanymi przez AI, rozmowy wideo), które oszukują użytkowników i skłaniają ich do podjęcia działań, które kompromitują cyberbezpieczeństwo. Może to obejmować udostępnianie poufnych informacji, klikanie w linki prowadzące do złośliwego oprogramowania, uwalnianie funduszy, które nie powinny być wypłacane i więcej. AI pomogła uczynić phishing trudniejszym do wykrycia i bardziej ukierunkowanym.
Słabe hasła i szyfrowanie
Łatwe do odgadnięcia hasła - czy to dlatego, że są oczywiste, zbyt proste lub używane wielokrotnie dla wielu kont - mogą dać złym aktorom dostęp do zasobów cyfrowych organizacji. Skradzione dane uwierzytelniające również są bardzo poszukiwane wśród cyberprzestępców z podobnych powodów. Szyfrowanie ma na celu ukrycie informacji, aby tylko autoryzowane osoby mogły je odczytać. Jeśli nie jest wystarczająco silne, hakerzy mogą wyodrębnić dane, które następnie mogą wykorzystać do przeprowadzenia ataków na większą skalę.
Shadow IT
Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub zatwierdzonego środowiska IT, są uważane za 'shadow IT' i mogą tworzyć luki w zabezpieczeniach właśnie dlatego, że zespół ds. cyberbezpieczeństwa o nich nie wie. Obejmują one aplikacje, przenośne urządzenia pamięci, osobiste telefony i tablety i podobne.
Jak działa ASM?
ASM ma trzy główne fazy: odkrywanie, ocenę i łagodzenie. Ponieważ powierzchnia ataku stale się zmienia, wszystkie trzy muszą być realizowane ciągle.
Odkrywanie
Faza odkrywania definiuje powierzchnię ataku i wszystkie zasoby, które ją tworzą. Celem odkrywania jest zidentyfikowanie wszystkich znanych i nieznanych urządzeń, oprogramowania, systemów i punktów dostępu, które składają się na powierzchnię ataku - nawet w tym aplikacje shadow IT, połączone technologie stron trzecich i technologie, które nie były częścią poprzednich inwentarzy. Chociaż wiele rozwiązań oferuje odkrywanie jako część swojej rozwiązania ASM, trzeba być rozważnym. Szukaj rozwiązania, które integruje zgodność i kwantyfikację ryzyka cybernetycznego, aby upewnić się, że uzyskujesz pełny obraz ryzyka poza odkrywaniem zasobów, aby pokazać prawdziwą ekspozycję. Ciągły proces odkrywania pomaga ujawnić, jak powierzchnia ataku może się zmieniać z czasem.
Ocena
Po odkryciu, zespoły ds. bezpieczeństwa oceniają każdy zasób pod kątem potencjalnych luk w zabezpieczeniach - wszystko, od błędnych konfiguracji i błędów kodowania po czynniki społeczne/ludzkie, takie jak podatność na schematy phishingowe lub ataki BEC (Business Email Compromise). Każde ryzyko jest oceniane, co pozwala zespołom ds. bezpieczeństwa na priorytetyzację tych, które trzeba najpilniej rozwiązać.
Ocena ryzyka jest zazwyczaj oparta na poziomie ryzyka, prawdopodobieństwie ataku, potencjalnych szkodach i trudności w naprawie. Idealnie uwzględni również globalną inteligencję zagrożeń dotyczącą tego, które luki są najczęściej i najłatwiej wykorzystywane.
Przykład: Jeśli oprogramowanie daje dostęp do poufnych danych, jest połączone z Internetem i ma znaną lukę, która już była wykorzystywana przez atakujących w rzeczywistym świecie, załatanie jej prawdopodobnie będzie najwyższym priorytetem.
Po ocenieniu wszystkich ryzyk, suma jest obliczana, aby dostarczyć ogólną ocenę ryzyka przedsiębiorstwa. To pozwala organizacji na porównanie i monitorowanie swojego profilu ryzyka w czasie.
Łagodzenie
Łagodzenie polega na podjęciu działań w celu rozwiązania wykrytych luk w zabezpieczeniach. Może to oznaczać uruchamianie aktualizacji oprogramowania lub instalowanie poprawek, konfigurowanie kontroli bezpieczeństwa i sprzętu, lub wdrażanie ram ochronnych, takich jak zero trust. Może to również obejmować pozbywanie się starych systemów i oprogramowania. W każdym przypadku, kluczowe jest, aby mieć odpowiednie rozwiązanie, które pomoże w skalowalnym podejściu do łagodzenia.
Zarządzanie powierzchnią ataku w porównaniu z zewnętrznym zarządzaniem powierzchnią ataku (EASM)
Zarządzanie zewnętrzną powierzchnią ataku (EASM) koncentruje się w szczególności na lukach w zabezpieczeniach i zagrożeniach związanych z urządzeniami i systemami skierowanymi na zewnątrz, w tym podłączonymi do Internetu. Wewnętrzna powierzchnia ataku, która może obejmować sprzęt lokalny i zasoby partycjonowane, nie jest objęta programem EASM.
Dlaczego ASM ma znaczenie?
ASM stała się niezwykle ważna, ponieważ środowiska IT w przedsiębiorstwach są bardziej dynamiczne i wzajemnie ze sobą połączone niż kiedykolwiek wcześniej, co sprawia, że powierzchnia ataku jest większa i bardziej zróżnicowana. Tradycyjne metody wykrywania i monitorowania zasobów oraz rozwiązania „punktowe” cyberbezpieczeństwa nie zapewniają pełnej widoczności, inteligencji ani wymaganej ochrony. Natomiast ASM pozwala zespołom ds. bezpieczeństwa zmniejszyć liczbę ścieżek do ekosystemu IT przedsiębiorstwa i uzyskać wgląd w czasie rzeczywistym w pojawiające się luki i wektory ataku.
Przed czym chroni ASM?
ASM pomaga organizacjom bronić się przed wieloma zagrożeniami, znanymi również jako „wektory ataku”. Obejmują one między innymi:
- Cyberataki:Oprogramowanie ransomware, wirusy i inne złośliwe oprogramowanie można wstrzykiwać do systemów korporacyjnych, co umożliwia atakującym dostęp do sieci i zasobów, eksfiltrację danych, przejęcie urządzeń oraz uszkodzenie zasobów i danych.
- Problemy z kodowaniem i błędy konfiguracji:Nieprawidłowe konfiguracje technologii sieciowych i chmurowych, takich jak porty, punkty dostępu, protokoły i tym podobne, pozostawiają otwarte drzwi atakującym i są częstą przyczyną naruszeń.
- Schematy phishingowe:Obejmują one oszukańcze wiadomości e-mail, SMS-y, wiadomości głosowe (a obecnie nawet rozmowy wideo z wykorzystaniem deepfake'ów generowanych przez sztuczną inteligencję), które wprowadzają użytkowników w błąd i skłaniają ich do podjęcia działań zagrażających cyberbezpieczeństwu. Może to być udostępnianie poufnych informacji, klikanie łączy prowadzących do złośliwego oprogramowania, zwalnianie funduszy, których nie należy wypłacać, i wiele więcej. Sztuczna inteligencja sprawiła, że phishing był trudniejszy do wykrycia i bardziej ukierunkowany.
- Przestarzałe technologie i aplikacje:Oprogramowanie, oprogramowanie układowe i systemy operacyjne urządzeń muszą być poprawnie zakodowane i zabezpieczone przed znanymi lukami i zagrożeniami, w przeciwnym razie mogą stanowić dla atakujących sposób na włamanie się do organizacji. Stare urządzenia, które nadal są częścią środowiska IT, ale nie są konserwowane lub aktywnie używane, mogą również zapewnić wygodne punkty dostępu dla atakujących, ponieważ często nie są monitorowane.
- Słabe hasła i szyfrowanie:Łatwe do odgadnięcia hasła — ponieważ są oczywiste, zbyt proste lub są ponownie używane dla wielu kont — mogą zapewnić przestępcom dostęp do zasobów cyfrowych organizacji. Z podobnych powodów wśród cyberprzestępców występuje również duży popyt na skradzione dane uwierzytelniające. Szyfrowanie ma na celu ukrycie informacji, aby tylko upoważnione osoby mogły je odczytać. Jeśli nie jest wystarczająco silna, hakerzy mogą wyodrębnić dane, które mogą wykorzystać do wywołania ataków na większą skalę.
- Shadow IT:Narzędzia używane przez pracowników organizacji, które nie są częścią znanego lub objętego sankcjami środowiska IT, są uważane za „Shadow IT” i mogą tworzyć luki w zabezpieczeniach, ponieważ zespół ds. cyberbezpieczeństwa o nich nie wie. Obejmują one aplikacje, przenośne urządzenia pamięci masowej, osobiste telefony i tablety itp.
Rodzaje Attack Surface Management
Zarządzanie powierzchnią ataku (ASM) dzieli się na różne typy, które obejmują różne aspekty cyfrowego środowiska organizacji. Obejmują one ASM zewnętrzne, ASM wewnętrzne, ASM zasobów cybernetycznych i ASM otwartego źródła. Każdy typ odgrywa kluczową rolę w monitorowaniu i łagodzeniu ryzyk, oferując organizacjom kompleksowe podejście do ochrony ich zasobów cyfrowych.
Zewnętrzne Zarządzanie Powierzchnią Ataku
ASM zewnętrzne koncentruje się na wewnętrznych zasobach biznesowych, które są narażone na publiczny internet, takich jak aplikacje internetowe, zasoby oparte na chmurze, adresy IP i nazwy domen, które mogą być wykorzystane przez atakujących. Te usługi dostępne publicznie są często celem atakujących, którzy szukają luk w zabezpieczeniach lub błędnych konfiguracji.
Wewnętrzne Zarządzanie Powierzchnią Ataku
ASM wewnętrzne zajmuje się ryzykami wewnątrz prywatnej sieci organizacji, w tym urządzeniami, aplikacjami i systemami, które nie są publicznie dostępne, ale mogą być wykorzystane, jeśli atakujący uzyskają dostęp. Jest to szczególnie istotne w walce z zaawansowanymi trwałymi zagrożeniami (APT) i zagrożeniami wewnętrznymi, które często obejmują ruch boczny i eskalację uprawnień w sieci. Systemy dziedziczone lub słabo zabezpieczone serwery wewnętrzne mogą stanowić luki, które atakujący wykorzystują po uzyskaniu dostępu do sieci.
Zarządzanie Powierzchnią Ataku Zasobów Cybernetycznych
ASM zasobów cybernetycznych koncentruje się na zarządzaniu i zabezpieczaniu indywidualnych zasobów w organizacji, w tym punktów końcowych, kont użytkowników, instancji w chmurze i urządzeń mobilnych. Jest to szczególnie krytyczne w dzisiejszych hybrydowych środowiskach pracy, gdzie zasoby są rozproszone między infrastrukturami lokalnymi i opartymi na chmurze. Organizacje działające w środowiskach multi-cloud często mają zróżnicowane zasoby, takie jak kontenery, maszyny wirtualne i API.
Zarządzanie Powierzchnią Ataku Otwartego Źródła
ASM otwartego źródła koncentruje się na zarządzaniu ryzykami związanymi z technologiami otwartego źródła i publicznie dostępnymi informacjami. Chociaż oprogramowanie otwartego źródła jest szeroko stosowane, wprowadza luki z powodu swojej przejrzystości i zależności od wkładów społeczności. Dodatkowo, atakujący często wykorzystują dane ujawnione, takie jak wyciekłe dane uwierzytelniające, klucze API lub wrażliwe pliki konfiguracyjne znalezione w otwartych repozytoriach, takich jak Github.
Attack Surface Management vs. Cyber Risk Management
Zarządzanie powierzchnią ataku (ASM) jest istotnym elementem zarządzania ryzykiem cybernetycznym, a razem pomagają organizacjom poprawić świadomość sytuacyjną w zakresie cyberbezpieczeństwa - proaktywnie identyfikując, priorytetyzując i łagodząc zagrożenia.
Zarządzanie ryzykiem cybernetycznym to ogólne podejście do cyberbezpieczeństwa, które wykracza poza ASM, koncentrując się na poznawaniu i łagodzeniu ryzyk w całym przedsiębiorstwie. Dobry framework zarządzania ryzykiem cybernetycznym pomaga określić, które ryzyka są najbardziej istotne, wspierając 'podejmowanie decyzji opartych na ryzyku', aby zmniejszyć ogólną ekspozycję na zagrożenia. To pozwala zespołom ds. bezpieczeństwa wzmocnić obronę, zminimalizować luki i informować procesy zarządzania ryzykiem i planowania strategicznego organizacji.
Jakie są korzyści z ASM?
Dobre zarządzanie powierzchnią ataku zapewnia szeroki zakres korzyści dla organizacji, zaczynając od wzmocnienia ogólnej postawy bezpieczeństwa poprzez zwiększenie widoczności całego środowiska IT i powierzchni ataku. To z kolei pomaga zmniejszyć ryzyko, wspierane przez ciągłe monitorowanie i ponowną ocenę, aby utrzymać niski poziom ryzyka.
To daje spokój zespołowi ds. bezpieczeństwa, a jednocześnie oferuje znaczące korzyści dla całego biznesu. Posiadanie widoczności powierzchni ataku pozwala na większą przejrzystość i kontrolę nad zasobami, zmniejszając ryzyko cyberataków i zwiększając oszczędności kosztów. Kiedy zespoły ds. bezpieczeństwa mogą działać szybciej i skuteczniej, organizacje są lepiej przygotowane do zapewnienia ciągłości biznesowej. Ponieważ gdy ataki są identyfikowane i łagodzone wcześniej, istnieje mniejsze ryzyko znaczących zakłóceń.
Jak możemy wdrożyć ASM?
ASM wymaga rozwiązania do zarządzania ekspozycją na ryzyko cybernetyczne, które jest zintegrowane z platformą cyberbezpieczeństwa, która przyjmuje proaktywne podejście do realizacji faz odkrywania, oceny i łagodzenia.
Wybór platformy z silnymi możliwościami operacji bezpieczeństwa, takimi jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), wykrywanie i reagowanie na punkty końcowe (EDR) oraz rozszerzone wykrywanie i reagowanie (XDR) jest szczególnie ważny. XDR w szczególności dostarcza niezbędnych danych i analiz na temat tego, jak działają obecne zabezpieczenia powierzchni ataku. Te informacje pomagają uczynić fazę oceny ryzyka bardziej dokładną.
ASM i zgodność
ASM odgrywa istotną rolę w spełnianiu wymogów regulacyjnych i zgodności, wykraczając poza samo wzmacnianie zabezpieczeń cybernetycznych. Ramy takie jak NIST Cybersecurity Framework, ISO/IEC 27001, RODO, HIPAA oraz PCI DSS podkreślają znaczenie widoczności zasobów, zarządzania podatnościami oraz ciągłego monitorowania kluczowych funkcji wspieranych przez ASM. Poprzez identyfikację narażonych zasobów i eliminację potencjalnych luk w zabezpieczeniach, ASM pomaga organizacjom utrzymać zgodność z kluczowymi kontrolami, skrócić czas przygotowania do audytów oraz uniknąć kosztownych kar za brak zgodności.
Dla firm działających w sektorach regulowanych ASM nie jest jedynie wzmocnieniem bezpieczeństwa, lecz narzędziem umożliwiającym zgodność, wspierającym odporność operacyjną i odpowiedzialność prawną.
Gdzie mogę uzyskać pomoc w zarządzaniu powierzchnią ataku?
Zarządzanie powierzchnią ataku nie wystarcza w dzisiejszym wymagającym krajobrazie ryzyka. Organizacje potrzebują zdolności do zarządzania ekspozycją na ryzyko cybernetyczne, aby proaktywnie przewidywać, monitorować i łagodzić zagrożenia.
Trend Micro oferuje rozwiązania do zarządzania ryzykiem cybernetycznym i powierzchnią ataku, które są zaprojektowane, aby pomóc organizacjom w zabezpieczaniu ich cyfrowych zasobów. Nasze rozwiązania obejmują zaawansowane technologie, takie jak SIEM, EDR i XDR, które integrują się, aby dostarczyć pełny obraz ryzyka i pomóc w proaktywnym zarządzaniu zagrożeniami.
Trend Vision One™ Cyber Risk Exposure Management (CREM) może pomóc w zarządzaniu powierzchnią ataku i nie tylko.