U svijetu gdje se digitalni footprint organizacija stalno mijenja, a napadači redovno iskorištavaju sigurnosne propuste izloženih IT resursa, trud da se minimizira vaša vanjska površina napada je očigledan korak.
Cilj je jednostavan: učiniti vašu organizaciju teškom metom za napad i natjerati napadače da traže lakše ciljeve.
Da biste to postigli, morate biti u mogućnosti vidjeti kompletnu vanjsku površinu napada vaše organizacije onako kako je vide hakeri, i zatvoriti što je moguće više puteva napada.
Otkrivanje nepoznatog i smanjenje cyber rizika
Površina napada organizacije obuhvata sve tačke izloženosti koje napadač može iskoristiti za infiltraciju u sisteme ili izvlačenje osjetljivih podataka.
Vanjska površina napada obuhvata sve IT resurse i tehnologije koje organizacija posjeduje ili koristi i koje su dostupne putem interneta/IP adrese/domena/porta:
- Web stranice i domeni kompanije
- Web i mobilne aplikacije
- API-ji
- Cloud i email infrastruktura
- Tačke i portali za udaljeni pristup
- Mrežni uređaji i servisi
- Hostovi
- SSL/TLS certifikati
- DNS zapisi
- Dijeljene datoteke
- Repozitoriji koda
- Zastarjeli sistemi i zaboravljeni poddomeni
- Testna okruženja ostavljena online
- Napušteni nalozi
Slika 1: Outpost24 EASM otkriva kako su sredstva međusobno povezana, distribuirana i hostirana
Ali takođe: brend kompanije (koji koriste phishing napadi) i ukradene korporativne akreditive ili procurene podatke.
Nekada nije bilo ovako, ali sve veća digitalizacija kompanija; dolazak BYOD-a, rada na daljinu, clouda i SaaS-a; te beskonačna spajanja kompanija dovela su do širenja shadow IT-a, učinili površinu napada opsežnijom i složenijom, i otežali upravljanje zakrpama.
Kao rezultat toga, upravljanje vanjskom površinom napada (EASM) postalo je praktično obavezno za sve moderne organizacije: morate znati koji su resursi izloženi vanjskim napadima i biti u toku s ranjivostima i cyber rizicima koji mogu ugroziti kako finansijske rezultate vaše organizacije, tako i reputaciju.
Rješavanje svake ranjivosti čim se pojavi je gotovo nemoguće, ali znati koji bi izloženi resurs mogao biti sljedeća meta napada i minimizirati mogućnost da se to dogodi je ostvarivo, uz pravi alat – alat koji je jednostavan za implementaciju, nikada ne prestaje skenirati i izvještava o rizicima u stvarnom vremenu: tri stvari po kojima je poznato (i voljeno) Outpost24 EASM rješenje.
Neprekidna situacijska svijest
Outpost24 – evropska kompanija sa sjedištem u Švedskoj i međunarodnom klijentelom – nastoji pomoći organizacijama da upravljaju svojim sve većim površinama napada.
Njeno rješenje za upravljanje vanjskom površinom napada (EASM) – poznato i kao Sweepatic – je bazirano na cloudu, što proces uključivanja čini gotovo bez napora: kupac treba samo unijeti ime svoje organizacije, primarne domene ili vanjske IP adrese i skeniranje može početi.
Platforma traži stvari poput softverskih ranjivosti, slabe, isteknute ili nepostojeće enkripcije, pogrešne konfiguracije servera i cloud okruženja, nesigurne DNS implementacije, otvorene portove kao i nepotrebno izložene servise, shadow IT resurse, procurene akreditive, phishing web stranice, razgovore na dark webu i još mnogo toga. Zahvaljujući svojim pasivnim, neinvazivnim metodama skeniranja, može kontinuirano skenirati bez utjecaja na performanse resursa ili svakodnevne aktivnosti.
Slika 2: Pregled za brzo sortiranje, označavanje i filtriranje najvažnijih ranjivosti
Martin Jartelius, CISO i vlasnik proizvoda u Outpost24, kaže da su najčešće slijepe tačke koje rješenje otkriva izložena upravljačka interfejsi uređaja, izložene baze podataka u cloudu, pogrešno konfigurisana S3 skladišta ili jednostavno niz starije infrastrukture koja više nije u upotrebi, ali je i dalje povezana s domenom organizacije. Sve ovo može pružiti ulaznu tačku u interne mreže, a neke se mogu koristiti za imitaciju organizacija u ciljanom phishing napadu.
Ali ove slijepe tačke nisu pokazatelj lošeg rukovodstva ili slabog IT sigurnosnog učinka: “Većina onih koji po prvi put vide sveobuhvatan izvještaj o svojoj površini napada iznenade se da je ona često znatno veća nego što su razumjeli. Neki reaguju s nelagodom i vide svoj prethodni nedostatak uvida kao neuspjeh, ali to nije slučaj. Prihvaćanje situacije, procjena njenog utjecaja i donošenje obrazovanih odluka je važno, umjesto izbjegavanja ili odgađanja problema. Neznanje može biti blaženstvo, ali to nije nešto čemu treba težiti,” rekao je za Help Net Security.
“Outpost24 EASM rješenje omogućava uvid u klijente, servere, infrastrukturu i aplikacije, spaja informacije s obavještajnim podacima o prijetnjama, kao i preporukama koje podržavaju obavještajni podaci o prijetnjama. Takođe smanjuje složenost uz pomoć prioritizacije asistirane vještačkom inteligencijom, sažetaka i drugih elemenata koji povećavaju efikasnost i nivo uvida.”
Sweepatic koristi obavještajne podatke o prijetnjama koje je prikupio tim Kraken Labs kompanije za svoje module Compromised Credentials i Dark Web, kao i za ocjenjivanje rizika. Platforma je takođe uključena u druge ponude Outpost24-a poput CyberFlex-a, koji kombinuje upravljanje površinom napada i penetracijsko testiranje kao uslugu.
Od ranjivosti do proaktivnog upravljanja rizicima
Upravljanje površinom napada je još uvijek tehnologijsko područje u razvoju, ali posjedovanje rješenja koje okuplja informacije na jednoj platformi daje rafiniraniji i dublji uvid s vremenom.
Upravljanje vanjskom površinom napada počinje kontinuiranim otkrivanjem izloženih resursa – u slučaju Sweepatic-a, to takođe uključuje napredno skeniranje portova kako bi se otkrili svi (ne samo najčešći) portovi podložni eksploataciji – zatim prelazi na automatiziranu sigurnosnu analizu i potom izvještavanje zasnovano na riziku.
Sweepatic koristi kontekstualno ocjenjivanje rizika za prioritetizaciju rizika: gleda na izložene resurse, ali i na kontekst izloženosti.
“Sistem ocjenjivanja je sličan školskim ocjenama: od A do F, od najmanjeg do najvećeg rizika. Ako vidimo, na primjer, dvije ranjivosti sa istim CVSS ocjenama, ali naša obavještajna služba nam kaže da je jedna pod aktivnim eksploatisanjem, a druga nije, ona koja je aktivno iskorištavana dobit će nižu ocjenu. Ali naravno, takođe pružamo i CVSS ocjenu, i ako neko želi filtrirati nalaze na osnovu toga, može to učiniti,” objasnio je Jartelius.
Takođr agregiraju nalaze u sedam kategorija i ocjenjuju ih, tako da kompanije mogu brzo vidjeti, na primjer, da imaju “E” u kategoriji “Enkripcija” i da bi trebali raditi na njenom poboljšanju.
“Mi takođe vršimo benchmarking industrija. Na osnovu rezultata svih naših drugih klijenata, možemo istaknuti kada organizacija ima nižu ocjenu od prosjeka svoje industrije, tako da znaju da moraju raditi na njenom povećanju. A ako hakeri aktivno ciljaju specifične sektore (kako to pokazuje naša obavještajna služba), možda bi trebali djelovati što prije da ne bi postali najlakša meta.”
Slika 3: Sistem ocjenjivanja i razvoj površine napada tokom vremena
Klijenti koji koriste samostalnu SaaS verziju koriste svoje interne sigurnosne stručnjake za pregled nalaza, uklanjanje lažnih pozitivnih nalaza i određivanje koji problemi trebaju biti riješeni prvi, na osnovu njihove razine tolerancije na rizik. Klijenti koji koriste upravljanu uslugu mogu dobiti pomoć i savjete kako poboljšati sigurnosnu higijenu svoje vanjske površine napada.
Platforma se može besprijekorno integrisati putem različitih konektora s postojećim cyber security alatima – sistemi za ticketing, SOAR i SIEM rješenja, alati za upravljanje ranjivostima itd. – i pruža akcione planove za sanaciju prioritetnih prijetnji.
Praktičan alat
Iako može biti koristan raznim odjelima, Outpost24 EASM se generalno koristi od strane IT sigurnosnog odjela.
“Administrator sistema možda neće redovno koristiti naše alate, ali arhitekta za cybersecurity ili CISO bi ga mogli koristiti da vide da li strategije i mjere koje preporučuju – i koje organizacija implementira – imaju efekta. Zahvaljujući kontinuiranom skeniranju, mogu vidjeti da li mjere funkcionišu ili ne,” primijetio je Jartelius.
“Postavljanjem rješenja za kontinuirano pronalaženje, procjenu, prioritetizaciju i dodjeljivanje odgovornosti za rješenje kroz lanac putem integracije moćnog otkrivanja naše EASM tehnologije s preciznošću naših rješenja za upravljanje ranjivostima, organizacije mogu ostati pod kontrolom svoje izloženosti, procijeniti je na nedostatke, izolirati rješenja za te probleme i dodijeliti posao rješavanja odgovornim stranama unutar organizacije. Ovo nije jedan korak automatizacije, već integralni koraci automatizacije unutar različitih rješenja, omogućavajući detaljniju kontrolu.”
Slika 4: Pregled svih web stranica koje su (ili bi mogle biti) povezane s vašom organizacijom
Ključne prednosti implementacije Outpost24 EASM-a
Sektori koji trenutno najviše koriste EASM su oni koji su snažno izloženi cyber kriminalcima ili se nalaze usred digitalnih transformacija.
“Prema regionalnim benchmark rezultatima Outpost24-a, zdravstvene organizacije trenutno su fokusirane na otkrivanje izloženih resursa (posebno kompromitovanih kredencijale) i popravljanje kritičnih ranjivosti, dok finansijske organizacije – koje su većinom već osigurale stvari zbog regulacija – koriste našu EASM platformu kako bi osigurale da je sve pravilno konfigurisano i da nijedna informacija koja bi mogla biti korištena od strane napadača ne procuri,” kaže Patrick Lehnis, menadžer marketinga za Outpost24.
Dok je ključna prednost korištenja Outpost24 EASM povećana vidljivost i smanjenje rizika koji vrebaju u vanjskoj površini napada, platforma također podstiče organizacije da implementiraju proaktivnu strategiju cybersecurity-ja.
“Nešto što često viđamo je da EASM pomaže klijentima da identifikuju specifične probleme – npr. loše upravljanje zakrpama – u njihovim internim IT procesima i da implementiraju mjere za njihovo poboljšanje,” primijetio je Lehnis.
“Još jedna mjerljiva korist je smanjenje vremena koje im je potrebno da reaguju na vremenski osjetljive cyber prijetnje poput nultog dana. U prošlosti, organizacije možda nisu znale sve pogođene resurse i morale su gubiti dragocjeno vrijeme da ih pronađu i odluče kada i kako ih zakrpati. Sada ulaze u našu EASM platformu, postavljaju filter koji identifikuje svaki ranjivi firmware/softver/komponentu i spremni su početi zakrpavanje za nekoliko minuta, sve vrijeme sigurni da ništa nisu propustili.”
Zašto je to važno?
Iako izloženi resursi i ranjivosti ne moraju nužno ugroziti kritične informacije, oni pokazuju da organizacija zanemaruje osnovne sigurnosne mjere. Oni su znakovi koji ukazuju na to da organizacija može biti vrijedna meta za napadače i doprinose lošijem online iskustvu za korisnike.
Izvor:Help Net Security
