Управление поверхностью атаки (ASM) — это обнаружение, оценка и устранение угроз в ИТ-экосистеме организации.
Управление поверхностью атаки (Attack Surface Management, ASM) — это подход к кибербезопасности, который помогает организациям эффективнее защищать свои данные и системы путем повышения видимости угроз. Этот подход подразумевает, что организация знает, где существуют риски, понимает их относительную серьезность и принимает меры для устранения пробелов в системе безопасности, связанных с людьми, процессами и технологиями.
Управление поверхностью атаки — это традиционный подход к кибербезопасности, который включает обнаружение и мониторинг активов. Он рассматривает потенциальные угрозы с точки зрения злоумышленника — как возможность нарушить защиту организации и нанести финансовый, операционный или репутационный ущерб.
Поверхность атаки — это совокупность всех способов, которыми злоумышленник может получить доступ к сети, данным или ИТ-ресурсам организации. Она состоит из трех компонентов:
Управление поверхностью атаки является важным элементом управления киберрисками, и вместе они помогают организациям повысить ситуационную осведомленность о кибербезопасности путем проактивного выявления, приоритизации и устранения угроз.
Управление киберрисками — это комплексный подход к кибербезопасности, который включает не только управление поверхностью атаки. Его цель — выявлять и снижать риски по всей организации. Надежная система управления киберрисками помогает определять наиболее актуальные риски и принимать решения на основе этой информации, чтобы защититься от угроз. Такой подход позволяет специалистам по безопасности укреплять защиту, минимизировать уязвимости и предоставлять информацию для управления рисками и стратегического планирования.
Управление внешней поверхностью атаки (External Attack Surface Management, EASM) направлено на уязвимости и риски, связанные с внешними устройствами и системами, в том числе подключенными к интернету. Внутренняя поверхность атаки, которая может включать локальное оборудование и разделенные ресурсы, не покрывается EASM.
Почему необходимо управлять поверхностью атаки?
В условиях повышенной динамичности и взаимосвязанности ИТ-сред, когда поверхность атаки становится все более обширной и разнообразной, особенно важно управлять поверхностью атаки. Традиционное обнаружение и мониторинг активов, а также специализированные решения по кибербезопасности, не могут обеспечить полную видимость, аналитику или необходимый уровень защиты. Управление поверхностью атаки, с другой стороны, позволяет специалистам по безопасности сокращать количество входов в ИТ-экосистему предприятия и в реальном времени получать представление о возникающих уязвимостях и векторах атак.
От чего защищает управление поверхностью атаки?
Управление поверхностью атаки помогает организациям защищаться от широкого спектра угроз, также называемых векторами атак. К ним относятся в том числе:
Как работает управление поверхностью атаки?
Управление поверхностью атаки состоит из трех основных этапов: обнаружение, оценка и устранение. Поскольку поверхность атаки постоянно меняется, все три процесса должны выполняться непрерывно.
Обнаружение
Этап обнаружения определяет поверхность атаки и все активы, составляющие ее. Цель обнаружения — определить все известные и неизвестные устройства, программное обеспечение, системы и точки доступа, которые составляют поверхность атаки, включая теневые ИТ-приложения, подключенные сторонние технологии и ресурсы, которые ранее не оценивались. Хотя многие решения для управления поверхности атаки предлагают функцию обнаружению, не все они одинаково эффективны. Ищите решение, которое включает не только обнаружение активов, но также комплаенс и количественную оценку киберрисков, чтобы составить полную картину угроз. Непрерывное обнаружение помогает отслеживать изменение поверхности атаки со временем.
Оценка
После обнаружения специалисты по безопасности оценивают каждый актив в поисках потенциальных уязвимостей — от ошибок конфигурации и кода до человеческого фактора, например подверженность фишингу или компрометации деловой электронной почты (BEC). Каждому риску присваиваются баллы, что позволяет специалистам по безопасности расставить приоритеты и сначала заняться безотлагательными угрозами.
Балльная оценка риска, как правило, основана на уровне риска, вероятности атаки, потенциальном вреде и сложностях устранения. В идеале также учитываются глобальные данные о том, какие уязвимости используются чаще всего и проще всего.
Пример. Если программное обеспечение предоставляет доступ к конфиденциальным данным, подключено к интернету и содержит известную уязвимость, которая уже была использована злоумышленниками, установка исправления станет приоритетом.
После балльной оценки каждого риска высчитывается общий показатель для предприятия. Это позволяет организации сопоставлять и отслеживать свой профиль риска с течением времени.
Снижение рисков
Снижение рисков — это принятие мер по устранению обнаруженных уязвимостей. Для этого можно, например, обновить программное обеспечение или установить исправления, настроить средства безопасности и аппаратное обеспечение или реализовать защитную стратегию, например политику нулевого доверия. Кроме того, можно отказаться от старых систем и программного обеспечения. В любом случае, очень важно подобрать правильное решение, которое поможет вам справиться с угрозами в масштабе всей организации.
Эффективное управление поверхностью атаки дает организациям широкий ряд преимуществ, начиная с укрепления общей безопасности путем повышения наблюдаемости всей ИТ-среды и поверхности атаки. Наблюдаемость, наряду с постоянным мониторингом и непрерывной оценкой, помогает снижать риски.
Такой подход упрощает работу специалистом по безопасности и дает ощутимые преимущества для всего бизнеса. Наблюдаемость поверхности атаки обеспечивает большую прозрачность и контроль над активами, снижает риск кибератак и позволяет экономить. Когда специалисты по безопасности действуют быстрее и эффективнее, организации получают больше возможностей для обеспечения непрерывности бизнеса. Чем раньше удастся выявить и устранить атаку, тем ниже вероятность того, что она помешает нормальной работе.
Как реализовать управление поверхностью атаки?
Для управление поверхностью атаки требуется решение по управлению киберрисками, интегрированное с платформой кибербезопасности, которая использует проактивный подход для обнаружения, оценки и устранения рисков.
Особенно важно выбрать платформу с надежными возможностями управления безопасностью, такими как управление информацией и событиями безопасности (SIEM), обнаружение угроз и реагирование на инциденты на конечных точках (EDR), а также расширенное обнаружение и реагирование (XDR). XDR, например, предоставляет важные данные и аналитику об эффективности текущих средств защиты поверхности атаки. Эти аналитические данные помогают повысить точность на этапе оценки рисков.
Где получить помощь в управлении поверхностью атаки?
Современный ландшафт угроз слишком сложен, чтобы можно было обойтись одним только решением для управления поверхностью атаки. Организациям требуется решение для управления киберрисками, которое путем прогнозирования, выявления, оценки и снижения киберрисков позволяет значительно сократить область их потенциального воздействия.
Trend Vision One™ предлагает революционное, централизованное и простое в использовании решение для управления киберрисками — Cyber Risk Exposure Management (CREM), объединяющее в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений.
Узнайте больше о том, как Cyber Risk Exposure Management поможет вам в управлении поверхностью атаки и не только.