Zarządzanie zewnętrzną powierzchnią ataku (EASM) to podejście do cyberbezpieczeństwa skoncentrowane na identyfikacji, monitorowaniu i ograniczaniu ryzyka związanego z danymi, systemami i technologiami, które są połączone ze światem zewnętrznym.
Czym jest zarządzanie powierzchniami ataków zewnętrznych (EASM)?
Powierzchnia ataku organizacji to cały zestaw luk w zabezpieczeniach, punktów dostępu i wektorów ataku, które przestępcy mogą wykorzystać do uzyskania nieuprawnionego dostępu do systemów i danych. To właśnie przestępcy atakują, gdy chcą zakłócić działanie systemów, wykraść dane, wymusić okup lub podjąć jakiekolwiek inne złośliwe działania.
Każda organizacja ma zarówno wewnętrzną, jak i zewnętrzną powierzchnię ataku. Wewnętrzna powierzchnia ataku obejmuje wszystko, co tworzy środowisko sieci wewnętrznej: infrastrukturę, urządzenia, aplikacje, użytkowników i wiele więcej.
Jak sama nazwa wskazuje, zewnętrzna powierzchnia ataku to cała technologia, z którą styka się świat zewnętrzny, za pośrednictwem Internetu, usług chmurowych, łączności mobilnej i tym podobnych. Obejmuje również połączenia z zewnętrznymi dostawcami, partnerami, dostawcami i pracownikami zdalnymi.
Zarządzanie zewnętrzną powierzchnią ataku (EASM) to proces ochrony tych zewnętrznych zasobów, zasobów i technologii. Przyciąga to szczególną uwagę, ponieważ wiele zagrożeń pochodzi od organizacji zewnętrznych, a w szczególności zewnętrzna powierzchnia ataku jest bardziej dynamiczna i złożona niż kiedykolwiek wcześniej. Organizacja, która może aktywnie zarządzać swoją zewnętrzną powierzchnią ataku, może radykalnie wzmocnić swoje zabezpieczenia.
Zarządzanie zewnętrzną powierzchnią ataku w porównaniu z zarządzaniem powierzchnią ataku
Zarządzanie powierzchnią ataku (ASM) to zbiorczy termin obejmujący całą powierzchnię ataku, wewnętrzną i zewnętrzną. Zarządzanie powierzchnią ataków zewnętrznych koncentruje się wyłącznie na zagrożeniach zewnętrznych. Oba rodzaje zarządzania powierzchnią ataku mają trzy wymiary — cyfrowe, fizyczne i społeczne/ludzkie — i wymagają ciągłego, trzyetapowego procesu wykrywania, oceny i łagodzenia skutków.
Dlaczego EASM ma znaczenie?
EASM staje się coraz ważniejsza w miarę łączenia i otwierania sieci. Minęły już czasy, kiedy bramy i zapory sieciowe były w stanie niezawodnie zapobiegać przestępcom, a ich wsparciem były rutynowe testy podatności i penetracji. Obecnie sieci mają mniej „twardych granic” do ochrony w tradycyjny sposób, tworząc liczne nowe możliwości dla cyberprzestępców, aby uzyskać dostęp do systemów i danych oraz wyrządzić szkody.
Jednocześnie dział IT przedsiębiorstwa został zdecentralizowany. Jednostki biznesowe i indywidualni użytkownicy mogą korzystać z zasobów chmurowych bez pomocy działu IT. Aplikacje i usługi Shadow IT są coraz powszechniejsze, a wielu pracowników korzysta z urządzeń osobistych w sieciach firmowych lub do celów służbowych.
Wszystko to oznacza, że zewnętrzna powierzchnia ataku ma więcej luk w zabezpieczeniach niż kiedykolwiek wcześniej i wymaga uzgodnionego, kompleksowego podejścia do zarządzania ryzykiem cybernetycznym. EASM zapewnia pełną powierzchnię ataku zewnętrznego, umożliwiając ciągłe monitorowanie i ograniczanie ryzyka. Dzięki temu zespoły ds. cyberbezpieczeństwa mogą zrozumieć, gdzie ich organizacje są najbardziej zagrożone i podjąć działania w tej kwestii.
Przed czym chroni EASM?
Większość wektorów ataku (metod przeprowadzania cyberataku) atakuje zewnętrzną powierzchnię ataku. Powszechne są programy typu ransomware i phishing, a także próby kradzieży prywatnych lub wartościowych danych lub zakłócania systemów operacyjnych. EASM pomaga zespołom ds. bezpieczeństwa zmniejszyć zewnętrzną powierzchnię ataku, dzięki czemu takie wektory mają mniej możliwości włamania się do środowiska przedsiębiorstwa.
EASM wyposaża również organizacje w narzędzia do przestrzegania przepisów i regulacji dotyczących prywatności i ochrony danych, zapewniając lepszy wgląd w zewnętrzną powierzchnię ataku i umożliwiając zespołom ds. bezpieczeństwa zapobieganie naruszeniom lub ich ograniczanie.
Przykłady zewnętrznych elementów powierzchni ataku
Każdy system lub usługa z dostępem do Internetu może być częścią zewnętrznej powierzchni ataku. Każda organizacja będzie dysponować własną kombinacją urządzeń i technologii, które są skierowane na zewnątrz i potencjalnie narażone. Do często spotykanych należą:
- Aplikacje internetowe: Każda firma z witryną handlu elektronicznego lub systemem rezerwacji korzysta z aplikacji internetowej (aplikacji internetowej). To sprawia, że aplikacje internetowe są dużą częścią zewnętrznych powierzchni ataku wielu organizacji, dostępnych dla każdego, kto ma połączenie z Internetem. Jeśli aplikacja internetowa jest źle skonfigurowana lub słabo zabezpieczona, przestępca może wykorzystać te luki do wdrożenia malware, kradzieży danych lub uzyskania dostępu do systemów korporacyjnych podłączonych do aplikacji internetowej.
- Usługi chmurowe: Usługi chmurowe i zwirtualizowana infrastruktura zapewniają organizacjom dostęp do wygodnych, elastycznych i wysoce skalowalnych zasobów obliczeniowych. Jednak ponieważ organizacja potrzebuje zewnętrznego połączenia sieciowego, aby z niego korzystać, jest narażona i potencjalnie podatna na ataki. Podobnie jak w przypadku aplikacji internetowych, gdy infrastruktura chmury jest nieprawidłowo skonfigurowana, hakerzy mogą wykorzystać te słabości.
- Systemy zdalnego dostępu: Ekspansja pracy zdalnej i hybrydowej w trakcie pandemii i od jej czasu wymaga od pracowników dostępu do firmowych systemów i danych z sieci domowych lub potencjalnie niezabezpieczonych sieci w drodze. Technologie wykorzystywane do zabezpieczania tych połączeń, takie jak wirtualne sieci prywatne (VPN), są już celem atakujących jako ścieżki do korporacyjnych środowisk IT.
- Internet of Things (IoT) devices: Wiele firm i budynków obsługuje teraz Internet rzeczy we wszystkim, od kontroli środowiska po systemy bezpieczeństwa, w tym w domach i biurach domowych pracowników. Urządzenia te stanowią również coraz większą część zewnętrznej powierzchni ataku.
Innym obszarem narażenia zewnętrznego, który organizacje muszą uwzględnić w swoich strategiach EASM, są relacje z dostawcami zewnętrznymi. Wiele firm polega na usługach komercyjnych, finansowych i technicznych podmiotów zewnętrznych, takich jak dostawcy usług zarządzanych (MSP) dla partnerów IT i przetwarzania płatności. Każda łączność między tymi stronami trzecimi a zasobami informatycznymi organizacji może być potencjalnym celem atakujących.
Jak działa EASM?
Podobnie jak ogólne zarządzanie powierzchnią ataku (ASM), EASM obejmuje ciągły i powtarzający się proces wykrywania, oceny i łagodzenia skutków.
Odkrycie
Platforma cyberbezpieczeństwa z funkcjami zewnętrznego zarządzania powierzchnią ataku powinna być w stanie zidentyfikować wszystkie zasoby skierowane na zewnątrz, w tym te, które mogą nie być uwzględnione w istniejących inwentarzach. Zasoby i elementy skanowane w ramach procesu wykrywania obejmują usługi chmurowe, aplikacje internetowe, adresy IP, domeny i inne. Rozwiązanie EASM może również wykrywać cienie do aplikacji IT w chmurze, które reprezentują całkowite luki w cyberbezpieczeństwie („nieznane nieznane”).
Ocena
Po odkryciu tego faktu można wykorzystać rozwiązanie EASM do oceny zagrożeń zewnętrznych powierzchni ataku. Zazwyczaj obejmuje to szukanie błędnych konfiguracji, niezaktualizowanego oprogramowania, przestarzałych systemów, znanych i potencjalnych luk w zabezpieczeniach i nie tylko. Po zidentyfikowaniu w ten sposób luk w zabezpieczeniach mogą one być traktowane priorytetowo w zależności od ich względnego poziomu ryzyka (znanego jako ocena ryzyka). Daje to organizacji możliwość określenia, które zagrożenia są najbardziej pilne lub istotne, aby można było odpowiednio przydzielić zasoby do reagowania.
Łagodzenie skutków
Łagodzenie może obejmować wycofanie ze eksploatacji starego sprzętu, aktualizację i aktualizację oprogramowania, naprawę błędów konfiguracji, zarządzanie aplikacjami Shadow IT i wiele więcej. W ramach trwającego procesu EASM zewnętrzna powierzchnia ataku musi być stale monitorowana, aby w miarę zmian środowiska IT i krajobrazu zagrożeń organizacja mogła być proaktywna i utrzymywać silną postawę bezpieczeństwa.
Jakie są zalety EASM?
EASM zapewnia organizacjom szereg powiązanych korzyści:
- Widoczność: EASM zapewnia organizacjom kompleksowy obraz swoich zewnętrznych zasobów technologicznych, odkrywając wcześniej nieznane luki w zabezpieczeniach, aby umożliwić silniejszą i pełniejszą ochronę przed cyberatakami.
- Skuteczność: EASM przyczynia się do szybszej i bardziej precyzyjnej reakcji na incydenty dzięki szybszemu wykrywaniu zagrożeń i pełniejszemu obrazowi środowiska IT, co umożliwia szybsze i bardziej kompleksowe ograniczanie zagrożeń.
- Zgodność z przepisami: Organizacje z wielu sektorów są zobowiązane do przestrzegania ram prawnych i regulacyjnych w zakresie ochrony danych i prywatności. EASM wspiera zgodność z przepisami w ramach dobrego ogólnego podejścia do zarządzania ryzykiem cybernetycznym.
Wszystkie te elementy razem zapewniają lepszą ogólną postawę bezpieczeństwa opartą na analizie danych w czasie rzeczywistym i ukierunkowanych reakcjach na cyberbezpieczeństwo.
Jak EASM radzi sobie z zarządzaniem ryzykiem cybernetycznym?
Zarządzanie ryzykiem cybernetycznym to sposób na poprawę świadomości sytuacyjnej organizacji w zakresie cyberbezpieczeństwa — identyfikowanie, ustalanie priorytetów i ograniczanie zagrożeń. EASM to tylko niewielka część ogólnej struktury zarządzania ryzykiem cybernetycznym.
Ogólnie rzecz biorąc, zarządzanie ryzykiem cybernetycznym ma na celu pomóc organizacjom w bardziej proaktywnym identyfikowaniu zagrożeń i zarządzaniu nimi dzięki dostosowanym środkom bezpieczeństwa i mechanizmom kontroli dostosowanym do konkretnych potrzeb, kontekstu branży i środowiska zagrożeń danej firmy. Jej celem jest umożliwienie wglądu w zagrożenia w czasie rzeczywistym poprzez ciągłe monitorowanie i ciągłe oceny oraz zapewnienie, że wszyscy pracownicy mają takie samo proaktywne nastawienie do cyberbezpieczeństwa.
Fazy zarządzania ryzykiem cybernetycznym są takie same jak w przypadku EASM: wykrywanie, ocena i ograniczanie ryzyka.
Kompletne rozwiązanie do zarządzania ryzykiem cybernetycznym będzie obejmować ASM, EASM, zarządzanie powierzchnią ataku cybernetycznego (CAASM), |zarządzanie ryzykiem podatności na zagrożenia, postawę bezpieczeństwa, kwantyfikację ryzyka zgodności i ocenę ryzyka, a także zasady, procedury i inne elementy związane z zarządzaniem, aby zapewnić jasne cele i spójne działania następcze.
Gdzie mogę uzyskać pomoc z EASM?
EASM jest ważnym elementem ASM, ale aby zbudować prawdziwą odporność na ryzyko, organizacje potrzebują szerokiego wachlarza najnowocześniejszych możliwości narażania na ryzyko cybernetyczne, takich jak EASM, zarządzanie powierzchnią ataków cybernetycznych (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie stanem bezpieczeństwa. Trend Vision One oferuje rozwiązanie do zarządzania ryzykiem cybernetycznym, które łączy wszystkie te funkcje, aby umożliwić ciągłe monitorowanie punktów dostępu, ustalanie priorytetów działań łagodzących w oparciu o wpływ, przekładanie ryzyka na warunki finansowe i przewidywanie przyszłych zagrożeń w celu neutralizacji ryzyka, zanim się pojawią.
Zarządzanie ryzykiem cybernetycznym może pomóc Ci wyjść poza zwykłe zarządzanie powierzchnią ataku.