Управление поверхностью атаки (ASM) — это обнаружение, оценка и устранение угроз в ИТ-экосистеме организации.
Содержание
Управление поверхностью атаки (Attack Surface Management, ASM) — это подход к кибербезопасности, который помогает организациям эффективнее защищать свои данные и системы путем повышения видимости угроз. Этот подход подразумевает, что организация знает, где существуют риски, понимает их относительную серьезность и принимает меры для устранения пробелов в системе безопасности, связанных с людьми, процессами и технологиями.
Управление поверхностью атаки — это традиционный подход к кибербезопасности, который включает обнаружение и мониторинг активов. Он рассматривает потенциальные угрозы с точки зрения злоумышленника — как возможность нарушить защиту организации и нанести финансовый, операционный или репутационный ущерб.
Что такое поверхность атаки?
Поверхность атаки — это совокупность всех способов, которыми злоумышленник может получить доступ к сети, данным или ИТ-ресурсам организации. Она состоит из трех компонентов:
- Цифровая поверхность атаки — это все оборудование, программное обеспечение и данные, к которым можно получить доступ извне, даже если они защищены шифрованием, протоколами аутентификации, брандмауэрами или другими мерами.
- Физическая поверхность атаки состоит из всего физического оборудования и устройств, которые могут быть украдены или физически использованы для компрометации или взлома.
- Социальная поверхность атаки включает всех людей в организации, имеющих доступ к системам и данным, которыми можно манипулировать с помощью обмана, шантажа или иным образом (например, с помощью фишинга или другого метода социальной инженерии) для компрометации или взлома систем.
Управление поверхностью атаки и управление киберрисками
Управление поверхностью атаки является важным элементом управления киберрисками, и вместе они помогают организациям повысить ситуационную осведомленность о кибербезопасности путем проактивного выявления, приоритизации и устранения угроз.
Управление киберрисками — это комплексный подход к кибербезопасности, который включает не только управление поверхностью атаки. Его цель — выявлять и снижать риски по всей организации. Надежная система управления киберрисками помогает определять наиболее актуальные риски и принимать решения на основе этой информации, чтобы защититься от угроз. Такой подход позволяет специалистам по безопасности укреплять защиту, минимизировать уязвимости и предоставлять информацию для управления рисками и стратегического планирования.
Управление поверхностью атаки и управление внешней поверхностью атаки
Управление внешней поверхностью атаки (External Attack Surface Management, EASM) направлено на уязвимости и риски, связанные с внешними устройствами и системами, в том числе подключенными к интернету. Внутренняя поверхность атаки, которая может включать локальное оборудование и разделенные ресурсы, не покрывается EASM.
Почему необходимо управлять поверхностью атаки?
В условиях повышенной динамичности и взаимосвязанности ИТ-сред, когда поверхность атаки становится все более обширной и разнообразной, особенно важно управлять поверхностью атаки. Традиционное обнаружение и мониторинг активов, а также специализированные решения по кибербезопасности, не могут обеспечить полную видимость, аналитику или необходимый уровень защиты. Управление поверхностью атаки, с другой стороны, позволяет специалистам по безопасности сокращать количество входов в ИТ-экосистему предприятия и в реальном времени получать представление о возникающих уязвимостях и векторах атак.
От чего защищает управление поверхностью атаки?
Управление поверхностью атаки помогает организациям защищаться от широкого спектра угроз, также называемых векторами атак. К ним относятся в том числе:
- Кибератаки. В корпоративные системы могут проникать программы-вымогатели, вирусы и другие вредоносные программы, с помощью которых злоумышленники получают доступ к сетям и ресурсам, похищают данные, взламывают устройства и повреждают активы и данные.
- Ошибки в коде и неправильные конфигурации. Неправильная конфигурация сетевых и облачных активов, таких как порты, точки доступа и протоколы, оставляет открытые лазейки для злоумышленников и является частой причиной взлома.
- Фишинг. К ним относятся мошеннические электронные письма, текстовые сообщения, голосовые сообщения и даже видеозвонки с дипфейками, которые обманом заставляют пользователей совершить действия, нарушающие кибербезопасность. Это может быть предоставление конфиденциальной информации, переход по ссылкам, которые приводят к загрузке вредоносного ПО, перевод денежных средств и многое другое. При использовании ИИ фишинговые атаки становятся более правдоподобными и целенаправленным.
- Устаревшие технологии и приложения. Программное обеспечение, встроенное ПО и операционные системы устройств должны содержать правильный код и все исправления известных уязвимостей и угроз, иначе злоумышленники могут использовать их для взлома систем организации. Старые устройства, которые все еще входят в ИТ-среду, но не обслуживаются и почти не используются, также могут служить злоумышленникам удобными точками доступа, поскольку их часто не отслеживают.
- Слабые пароли и шифрование. Пароли, которые легко отгадать, — очевидные, слишком простые или используемые для нескольких учетных записей, — упрощают злоумышленникам доступ к цифровым ресурсам организации. Украденные учетные данные пользуются высоким спросом среди киберпреступников по аналогичным причинам. Шифрование предназначено для сокрытия информации, чтобы ее могли прочитать только уполномоченные лица. Если оно недостаточно надежное, хакеры могут заполучить данные, которые затем можно будет использовать для масштабных атак.
- Теневые ИТ. Инструменты, используемые сотрудниками организации, но не зарегистрированные и не одобренные для ИТ-среды, считаются теневыми ИТ и могут создавать уязвимости именно потому, что специалисты по кибербезопасности о них не знают. Это могут быть приложения, портативные устройства хранения, личные телефоны и планшеты и многое другое.
Как работает управление поверхностью атаки?
Управление поверхностью атаки состоит из трех основных этапов: обнаружение, оценка и устранение. Поскольку поверхность атаки постоянно меняется, все три процесса должны выполняться непрерывно.
Обнаружение
Этап обнаружения определяет поверхность атаки и все активы, составляющие ее. Цель обнаружения — определить все известные и неизвестные устройства, программное обеспечение, системы и точки доступа, которые составляют поверхность атаки, включая теневые ИТ-приложения, подключенные сторонние технологии и ресурсы, которые ранее не оценивались. Хотя многие решения для управления поверхностью атаки предлагают функцию обнаружения, не все они одинаково эффективны. Ищите решение, которое включает не только обнаружение активов, но также комплаенс и количественную оценку киберрисков, чтобы составить полную картину угроз. Непрерывное обнаружение помогает отслеживать изменение поверхности атаки со временем.
Оценка
После обнаружения специалисты по безопасности оценивают каждый актив в поисках потенциальных уязвимостей — от ошибок конфигурации и кода до человеческого фактора, например подверженность фишингу или компрометации деловой электронной почты (BEC). Каждому риску присваиваются баллы, что позволяет специалистам по безопасности расставить приоритеты и сначала заняться безотлагательными угрозами.
Балльная оценка риска, как правило, основана на уровне риска, вероятности атаки, потенциальном вреде и сложностях устранения. В идеале также учитываются глобальные данные о том, какие уязвимости используются чаще всего и проще всего.
Пример. Если программное обеспечение предоставляет доступ к конфиденциальным данным, подключено к интернету и содержит известную уязвимость, которая уже была использована злоумышленниками, установка исправления станет приоритетом.
После балльной оценки каждого риска высчитывается общий показатель для предприятия. Это позволяет организации сопоставлять и отслеживать свой профиль риска с течением времени.
Снижение рисков
Снижение рисков — это принятие мер по устранению обнаруженных уязвимостей. Для этого можно, например, обновить программное обеспечение или установить исправления, настроить средства безопасности и аппаратное обеспечение или реализовать защитную стратегию, например политику нулевого доверия. Кроме того, можно отказаться от старых систем и программного обеспечения. В любом случае, очень важно подобрать правильное решение, которое поможет вам справиться с угрозами в масштабе всей организации.
Что дает управление поверхностью атаки?
Эффективное управление поверхностью атаки дает организациям широкий ряд преимуществ, начиная с укрепления общей безопасности путем повышения наблюдаемости всей ИТ-среды и поверхности атаки. Наблюдаемость, наряду с постоянным мониторингом и непрерывной оценкой, помогает снижать риски.
Такой подход упрощает работу специалистом по безопасности и дает ощутимые преимущества для всего бизнеса. Наблюдаемость поверхности атаки обеспечивает большую прозрачность и контроль над активами, снижает риск кибератак и позволяет экономить. Когда специалисты по безопасности действуют быстрее и эффективнее, организации получают больше возможностей для обеспечения непрерывности бизнеса. Чем раньше удастся выявить и устранить атаку, тем ниже вероятность того, что она помешает нормальной работе.
Как реализовать управление поверхностью атаки?
Для управления поверхностью атаки требуется решение по управлению киберрисками, интегрированное с платформой кибербезопасности, которая использует проактивный подход для обнаружения, оценки и устранения рисков.
Особенно важно выбрать платформу с надежными возможностями управления безопасностью, такими как управление информацией о безопасности и событиями безопасности (SIEM), обнаружение угроз и реагирование на инциденты на конечных точках (EDR), а также расширенное обнаружение и реагирование (XDR). XDR, например, предоставляет важные данные и аналитику об эффективности текущих средств защиты поверхности атаки. Эти аналитические данные помогают повысить точность на этапе оценки рисков.
Где получить помощь в управлении поверхностью атаки?
Современный ландшафт угроз слишком сложен, чтобы можно было обойтись одним только решением для управления поверхностью атаки. Организациям требуется решение для управления киберрисками, которое путем прогнозирования, выявления, оценки и снижения киберрисков позволяет значительно сократить область их потенциального воздействия.
Trend Vision One™ предлагает революционное, централизованное и простое в использовании решение для управления киберрисками — Cyber Risk Exposure Management (CREM), объединяющее в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений.
Узнайте больше о том, как Cyber Risk Exposure Management поможет вам в управлении поверхностью атаки и не только.