В сфере кибербезопасности поверхностью атаки называют полный набор уязвимостей, точек доступа и векторов атак, которые могут быть использованы для получения несанкционированного доступа к системам и данным организации.
Поверхность атаки — это объекты, атакуемые злоумышленниками для преодоления защиты организации с целью нарушить работу систем, украсть данные, запросить выкуп или осуществить другие преступные намерения. Это область требует повышенного внимания со стороны специалистов по кибербезопасности.
Поверхность атаки включает в себя любую уязвимость, точку входа или метод, которые можно использовать для проникновения в сеть или ИТ-среду — любое оборудование или программное обеспечение, локально, в интернете или в облаке.
Для большинства организаций поверхность атаки состоит из трех компонентов: цифровая, физическая и социальная (человеческий фактор). Традиционного подхода к управлению поверхностью атаки уже не достаточно. Все эти поверхности необходимо постоянно и проактивно контролировать с помощью решений по управлению киберрисками, чтобы обнаруживать и останавливать угрозы как можно раньше.
Поверхность атаки необходимо не только защищать, но и максимально сокращать, чтобы у киберпреступников было как можно меньше возможностей проникнуть в систему и причинить ей вред. Это непросто, потому что системы и ИТ-среды многих организаций становятся все более взаимосвязанными и открытыми.
Узнайте больше об управлении поверхностью атаки.
Поверхность атаки и вектор атаки
Векторы атак — один из аспектов общей поверхности атаки. Это методы, которые злоумышленники используют для незаконного доступа к данным и системам. Многие векторы могут использоваться на нескольких компонентах поверхности атаки, например:
Что следует знать о нашей поверхности атаки?
Как уже упоминалось ранее, традиционного подхода к управлению поверхностью атаки недостаточно. Организациям и их специалистам по кибербезопасности требуются решения для управления киберрисками, позволяющие получить четкую и полную картину всей поверхности атаки. Любой анализ поверхности атаки должен включать все: от сетевого оборудования, облачных серверов и устройств Интернета вещей (IoT) до учетных записей пользователей, прав доступа и т. д.
Организации также должны знать, где хранятся все их данные, особенно это касается критически важных для бизнеса, конфиденциальных, засекреченных или чувствительных данных.
Для составления этой картины и поддержания ее актуальности необходимо тщательно сопоставлять цифровые, физические и социальные компоненты поверхности атаки, а также отслеживать происходящие изменения.
Каковы основные риски для поверхности атаки?
Каждый компонент поверхности атаки (цифровой, физический, социальный) связан с особенными рисками, которые защитники должны знать и контролировать. Эти риски, включая определенные векторы атак, постоянно меняются по мере развития технологий и угроз. Ниже приведены некоторые примеры.
Риски для цифровой поверхности атаки
Любой сетевой ресурс или ресурс данных, доступ к которому можно получить за пределами компании, даже если он защищен шифрованием, аутентификацией, брандмауэрами или другими мерами, является частью цифровой поверхности атаки и уязвим для следующих проблем:
- Кибератаки. В корпоративные системы могут проникать программы-вымогатели, вирусы и другие вредоносные программы, с помощью которых злоумышленники получают доступ к сетям и ресурсам, похищают данные, взламывают устройства и повреждают активы и данные.
- Проблемы с кодом и ошибки конфигурации. Неправильная конфигурация сетевых и облачных активов, таких как порты, точки доступа и протоколы, оставляет открытые лазейки для злоумышленников и является частой причиной взлома.
- Общедоступные ресурсы. Любой ресурс, подключенный к общедоступному Интернету, открыт для хакеров и уязвим для атак. Это могут быть веб-приложения, веб-серверы, облачные серверы и приложения и многое другое.
- Устаревшие технологии и приложения. Программное обеспечение, встроенное ПО и операционные системы устройств должны содержать правильный код и все исправления известных уязвимостей и угроз, иначе злоумышленники могут использовать их для взлома систем организации. Старые устройства, которые все еще входят в ИТ-среду, но не обслуживаются и почти не используются, также могут служить злоумышленникам удобными точками доступа, поскольку их часто не отслеживают.
- Теневые ИТ. Инструменты, используемые сотрудниками организации, но не зарегистрированные и не одобренные для ИТ-среды, считаются теневыми ИТ и могут создавать уязвимости именно потому, что специалисты по кибербезопасности о них не знают. Это могут быть приложения, портативные устройства хранения, личные телефоны и планшеты и многое другое.
- Слабые пароли и шифрование. Пароли, которые легко отгадать, — очевидные, слишком простые или используемые для нескольких учетных записей, — упрощают злоумышленникам доступ к цифровым ресурсам организации. Украденные учетные данные пользуются высоким спросом среди киберпреступников по аналогичным причинам. Шифрование предназначено для сокрытия информации, чтобы ее могли прочитать только уполномоченные лица. Если оно недостаточно надежное, хакеры могут заполучить данные, которые затем можно будет использовать для масштабных атак.
Риски для физической поверхности атаки
Физическая поверхность атаки включает в себя технологии, которыми люди владеют (например, ноутбуки) или к которым можно получить доступ только на определенных объектах. С физической поверхностью атаки связано две категории рисков:
- Кража устройств. Ноутбуки и другие устройства регулярно крадут из автомобилей и общественных мест, когда они остаются без присмотра, и даже при проникновении в офисы и другие здания. Заполучив эти устройства, злоумышленники могут использовать их и хранящиеся на них учетные данные, чтобы попасть в корпоративную сеть или получить доступ к другим ресурсам.
- Приманки. Преступники могут оставить на видном месте устройства хранения данных, такие как USB-накопители, в надежде, что кто-то подключит устройство к компьютеру, чтобы увидеть, что на нем хранится. Эти USB-накопители содержат вредоносные программы, которые затем загружаются в систему пользователя и начинают атаку.
Риски для социальной поверхности атаки
Людей часто называют «первой линией обороны» в кибербезопасности. Это связано с тем, что их действия могут напрямую усилить или ослабить поверхность атаки. Кибератаки, направленные на человека, используют методы социальной инженерии. Социальная поверхность складывается из всех пользователей, которые могут случайно или преднамеренно нанести вред организации.
Распространенные риски:
- Фишинг. К ним относятся мошеннические электронные письма, текстовые сообщения, голосовые сообщения и даже видеозвонки с дипфейками, которые обманом заставляют пользователей совершить действия, нарушающие кибербезопасность. Это может быть предоставление конфиденциальной информации, переход по ссылкам, которые приводят к загрузке вредоносного ПО, перевод денежных средств и многое другое. При использовании ИИ фишинговые атаки становятся более правдоподобными и целенаправленным.
- Внутренние злоумышленники. Сотрудники могут затаить обиду против своей организации, стать жертвой шантажа или получить взятку от злоумышленников, а затем с помощью законной учетной записи и доступа похитить данные компании, предоставить учетные данные, установить вредоносное ПО, повредить системы компании или совершить другие противозаконные действия.
Как сократить поверхность атаки?
Ни одна организация не может полностью устранить поверхность атаки, но ее можно свести к минимуму и контролировать. Составив схему поверхности атаки, специалисты по кибербезопасности могут реализовать управление киберрисками для непрерывного мониторинга любых изменений и прогнозирования потенциальных рисков. Таким образом можно находить возможности для сокращения уязвимых и открытых зон следующими способами:
- Оптимизация среды, вывод из эксплуатации устаревшего или неиспользуемого программного обеспечения и устройств, ограничение количества конечных устройств.
- Разделение сети и добавление брандмауэров и других барьеров затрудняет передвижения злоумышленников после получения доступа.
- Использование результатов анализа поверхности атаки для выявления и устранения пробелов и слабых мест, например, требования к созданию более надежных паролей, удаление устаревшего программного обеспечения и приложений, сокращение количества теневых ИТ-активов, внедрение целевых политик и средств контроля безопасности и многое другое.
- Укрепление мер безопасности путем внедрения передовых методов, включая двухфакторную или многофакторную аутентификацию и политику нулевого доверия. Политика нулевого доверия разрешает ограниченный доступ к конкретным данным, приложениям и ресурсам строго определенным пользователям в рамках служебной необходимости. Политика нулевого доверия определяет, кто может использовать ресурсы, какие ресурсы, когда и как долго. Такой подход одновременно защищает активы и позволяет сразу выявлять утечки.
- Повышение осведомленности сотрудников о кибербезопасности путем обучения, тестирования и периодического проведения повторных курсов. Возможные темы обучения: гигиена паролей, соблюдение политик компании, бдительность в отношении фишинга и других атак с применением социальной инженерии, а также действия в случае подозрений на нарушение безопасности.
Как управлять поверхностью атаки?
Управление поверхностью атаки (Attack Surface Management, ASM) — это традиционный подход к кибербезопасности, который помогает организациям эффективнее защищать свои данные и системы. Этот подход подразумевает, что организация знает, где существуют риски, понимает их относительную серьезность и принимает меры для устранения пробелов в системе безопасности, связанных с людьми, процессами и технологиями. ASM позволяет специалистам по безопасности сокращать количество входов в ИТ-экосистему предприятия и получать представление о возникающих уязвимостях и векторах атак.
В условиях повышенной динамичности и взаимосвязанности ИТ-сред, когда поверхность атаки становится все более обширной и разнообразной, особенно важно управлять поверхностью атаки. Традиционный подход к управлению поверхностью атаки, включающий обнаружение и мониторинг активов, а также специализированные решения по кибербезопасности, не может обеспечить полную видимость, аналитику или необходимый уровень защиты. В современной среде требуется постоянно отслеживать точки входа и приоритизировать меры по устранению угроз в зависимости от их влияния на бизнес. Такой подход помогает вписывать риски в бизнес-контекст и прогнозировать угрозы, чтобы нейтрализовать их еще до фактического инцидента.
Какую роль играет правительство в управлении поверхностью атаки?
Во многих странах действует законодательство, нормативные акты и требования в отношении того, как организации должны обеспечивать безопасность и защиту своих цифровых сред. К ним относятся такие политики, как Система оценки киберрисков Национального института стандартов и технологий США (NIST), которая используется для оценки поверхности атаки и управления ею.
Продуктивное сотрудничество между компаниями и правительством в области кибербезопасности способствует повышению уровня кибербезопасности в целом и поддерживает обмен опытом для эффективного управления поверхностью атаки.
Кто поможет нам управлять поверхностью атаки?
Управление поверхностью атаки требует особого подхода. Компании должны прогнозировать, выявлять, оценивать и снижать киберриски, чтобы сократить область их потенциального воздействия в условиях современного ландшафта угроз.
Trend Vision One™ предлагает революционное, централизованное и простое в использовании решение для управления киберрисками — Cyber Risk Exposure Management (CREM), объединяющее в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений.
Узнайте больше о решении Cyber Risk Exposure Management, чтобы эффективнее управлять поверхностью атаки.